SOA須打造四重安全性

　安全性是較為寬泛的概念，涉及到從端點(服務器和最終用戶的PC等)到核心的所有網絡層。有觀點認為既然SOA是應用級實施，那么只需確保應用服務器和端點提供適當的驗證和授權功能以及端到端的安全傳輸(如SSL)即可。Juniper網絡公司中國區總經理張小琳認為，這種認識比較片面，SOA須在四個方面打造安全性。

　　網絡安全性

　　談到網絡安全性，張小琳認為，業內首先想到的是防火墻。然而，隨著端口80/443傳輸越來越多的web流量，基于L3/4防火墻的傳統網絡安全方法雖然仍有存在的必要，但卻不足以提供全面的保護。需要深層檢測并保護這些端口中的流量。因此，必須部署入侵檢測與防御專用的應用層安全產品來補充網絡防火墻。這些產品可檢測到惡意用戶或惡意代碼(如蠕蟲)創建的模式(攻擊簽名)或異常流量及協議，以防它們利用應用的安全漏洞，從而在攻擊到達目的地之前阻斷它們。

　　訪問安全性

　　張小琳表示，遠程訪問是企業應用中的關鍵組件。移動用戶(包括內部員工、顧問、業務伙伴和客戶)需要安全而輕松地訪問企業應用，包括互聯網上的SOA應用。通過VPN和SSL加密線路來連接企業應用現已成為業界標準，用于確保安全地訪問面向公眾的應用。業界正在朝著SSLVPN遷移并在SSLVPN上實施技術標準化，以便獲得更高的靈活性和粒度更細的控制。使用JuniperSA系列等最新的SSLVPN網關解決方案，管理員將能夠利用SSLVPN細粒度的應用、文件和URL級訪問控制功能以及客戶端安全保護功能，以便基于用戶身份和客戶端點安全評估結果(使用主機檢查器等技術完成)動態控制應用訪問。這將使企業能夠使用SSLVPN在各種情況下安全地設置訪問控制機制。

　　端點安全性

　　不僅是遠程端點需要安全保護，在辦公室外圍訪問SOA應用的端點也需要適當的安全保護。例如，員工可繞過所有的外圍防御措施，將染毒的筆記本電腦輕松帶入辦公室。這些受感染的設備可發動web服務器攻擊并中斷網絡中web服務的運行。

　　張小琳認為，端點安全策略執行不當是造成近期大量蠕蟲和威脅泛濫的罪魁禍首。缺乏直接控制以及未能合理地執行端點策略使企業屢遭安全威脅，包括最新的防病毒保護機制、主機入侵防御機制、可接受的軟硬件配置以及限制程序的運行等。

原文轉自：http://www.kjueaiud.com