如果IT部门使用SOA,安全要求会变化吗?
5、如果IT部门使用SOA,安全要求会变化吗?
安飞士公司的IT主管在开始实施SOA时,以为安全只是次要问题; 现在安全成了他们非解决不可的最紧要问题之一。
使用SOA有助于与业务合作伙伴建立新渠道,而安飞士必须确保像司机的驾驶证和信用卡信息这些敏感数据在数据库内部及传输途中都经过加密。
Kumar说: “你会有队列,会有数据库,也会有渠道,所以我们力求每个过程都是安全的。你构建的是更加分布式的环境。从安全角度来看,管理起来更难了。这种环境里面有更多组件,而不是像在比较集中的大型机环境下,你只要关注一个地方。”
身份管理是IT管理人员在SOA方面必须克服的重大挑战之一。
Hurwitz说: “要是在SOA环境下,同一业务服务可能会有10种不同的使用方式。你要确保已落实了安全体系,表明谁在什么情况下可以访问哪些资源等等,这样情况变复杂了。在某些方面,风险也更大了,因为你在重复使用许多服务; 你一定要确保在这上面有合理的安全级别。”
Saugatuck Technology公司的West在去年发布的研究报告中写道,传统的应用安全机制“在SOA下毫无成效、使用不便”,因为针对不同应用,身份和访问权限(包括密码和特权)也大不相同。
事实证明,单次登录在大企业环境下还不具有扩展性; 要是运用到横跨多个业务合作伙伴的SOA环境下,单次登录会因隐私和竞争问题而变得更为复杂。
相对来说问题不大的是联合身份管理方案,它的工作方式是,信任安全声明来源,并使用安全声明标记语言(SAML)。West写道,对访问控制信息的请求可以编入到浏览器请求或者加入到Web服务事务中。他说: “这样一来,身份管理服务器可为应用所响应的用户生成有关身份和权限的声明。应用、服务或者‘封装起来的’服务接口就不需要访问目录或者信任单个用户,因为它只要知道及信任安全声明和声明来源即可。”
West认为在众多业务合作伙伴、客户和非员工之间传输数据时,SOA有着自己特有的漏洞,需要在企业内外多个方面加强管理。
Mengerink显得比较乐观,他说,部署SOA之后,安全实际上变得容易了。不过这仅仅是相对于PayPal在保护网上支付时面临的巨大任务。他强调,PayPal的SOA是完全为了开发人员而提供的。
他说: “我们在网上的受攻击面实在太大了。现在‘你只要在我们网站上进行注册、输入名字,我们就知道你是谁,会给你一个特殊令牌,然后允许你与我们进行对话’,这就建立了一条非常狭窄的联系通道,外人无法窥视,因而安全大大提高。不然谁都可以上www.PayPal.com网站开始攻击。”
