SOA松耦合特性 易暴露安全弱點和局限性

　SOA為什么與現有的應用架構有如此大的不同呢?整體來說，在一個簡單的兩三層網絡應用軟件環境中，你能清楚的知道哪一個是消費型數據，以及他們是否有權限來操作。但如果你在這些數據源上建立一個Web服務界面，那么所有的聯系都變得松散了。這樣一來，任何地方的任何應用程序都能對這些數據提出疑義。

　　如果發展的好，認證和權限控制的類型將極大的增加，要使用這些數據源，你將需要申請。 反過來說，如果情況不好的話，需要預備和管理的數據消費者將呈指數增加。SOA對應用程序安全產生的改變的重要性并不亞于其給應用架構帶來的改變。對于任何應用程序來說，保護信息訪問的安全都是最基本的要求。由于按 SOA 原則而構造實現的服務、應用程序以及跨組織操作所具有的松耦合特性，這種環境往往更加容易暴露現有安全實現的弱點或局限性，因此缺乏良好的編程模型將嚴重威脅Web服務的安全。

　　在網絡發展初期，大的網站都傾向于在為自己的網絡應用建立自己的認證和權限技術。一度，這種做法運轉得很好，也提供了基本得保護。但不久之后，企業就開始實施獨立得WAM產品。目前，WAM已經成為了大規模網站架構中認可的一部分。網絡服務最常見的安全隱患大概就是信息泄露和欺詐，如果你和你的合作伙伴之間交易的敏感信息被競爭對手獲得，如果有人在網絡上以你的名義向你的供應商發送訂單，如果來自合作伙伴的發貨請求被人篡改，等等，所有這些都是商業活動中不希望發生的。當然，也不用為此因噎廢食，企業級SOA在一開始就應當考慮信息安全保證，在技術手段方面有各種有效的防范措施可選用。

　　安全職能的集中管理才是關鍵之所在。企業需要“采取政策驅動的執行模式，允許安全部門實際決定受保護內容、保護方式并對這些安全措施盡可能具體化”。核心安全問題是很困難的，而實際安全管理執行則顯得難上加難。因為安全威脅和條件是經常變化的。許多新的攻擊類型已被確定，也有新的規則實施，然后你又產生新的公司政策。又可能是因為你使用了新的基礎架構，想確保它使用新來源的識別信息。任何一種安全標準或所支持的標準總數，都不足以評估SOA或Web服務平臺的效能。因此，對安全標準的支持并不就意味著安全。在許多情況下，安全標準只是定義了讓各種服務模式能彼此互操作的框架，實際上它并不等于任何一種特殊服務模式都能良好運行。許多的SOA網絡安全策略和許多的基于Web的應用程序是采用相同的策略的，他們采用的方式都可以歸結為創建一個虛擬局域網(virtual private.network)來排除服務器和客戶端的交互，使用數字證書來建立SSL(secure socket layer)保護或者HTTPS，或者通過在軟件或者硬件上部署防火墻基礎架構來檢測通過SOA進來的可疑請求。

　　現在的擔心是，人們不會去等候解決方案，或者不會嘗試的去正確的使用它，從而增加了安全暴露，就會帶來安全缺陷。因為SOA非常強大，而且可以被用來輕松的利用外部程序和其他外部可信任伙伴的程序，這種缺陷可能會變得非常大。企業需要謹慎的制定安全策略，加上對用戶的安全意識和培訓，再輔以合適的技術，來將所面臨的危險降到最小。

　　但如果你在這些數據源上建立一個Web服務界面，那么所有的聯系都變得松散了。如果發展的好，認證和權限控制的類型將極大的增加，要使用這些數據源，你將需要申請。SOA平臺：為一套SOA應用軟件提供管理功能，不僅如此，還在認證和權限方面提供一些簡單的安全功能。

原文轉自：http://www.kjueaiud.com