【IT168 技术文章】
我们已经看到了太多SOA安全问题留给个别开发商的例子,他们竭尽所能的兴建SOA安全功能却但不能处理SOA复杂的内部和外部安全问题。那么在部署SOA的时候,需要考虑周全的SOA安全问题该如何解决呢?
我正好有机会进行由Burton集团的Anne Thomas Manes和AmberPoint公司Andrew Brown主讲的网络直播,涉及SOA一个最迫切需要解决的问题:安全。
Anne指出“安全问题确实是SOA比较头疼的问题,你不能指望一个商业开发商完全了解这一切。即使是你用于一群训练有素的开发人员比一般开发人员要了解得更多,我仍然不指望依靠他们根据公司的政策实施适当的安全职能,事实上他们所有的编写都被直接写入其应用代码。”
由于SOA向基础架构引入了许多连接,安全变成了多方面的挑战。Anne说:“如果你在SOA方面有一些经验,你会意识到它增加了新层面的安全问题,这主要是因为你建立了自己的一套松耦合连接,其中包含了大量的依赖关系问题。”她还指出:安全威胁和要求十分复杂,你必须认为一般的开发商都不能完全认识存在的威胁和挑战。事实上要让开发商独立管理安全问题是不恰当的。
Anne说:灌输安全理念关键在于通过有效治理。为了贯彻执行一致的安全条件,具体化你的安全条件,非常重要的是要有很好的治理流程以确保适当的安全措施应用到每一个服务当中去。
在Anne看来,安全职能的集中管理才是关键之所在。企业需要“采取政策驱动的执行模式,允许安全部门实际决定受保护内容、保护方式并对这些安全措施尽可能具体化”。
核心安全问题是很困难的,而实际安全管理执行则显得难上加难。因为安全威胁和条件是经常变化的。许多新的攻击类型已被确定,也有新的规则实施,然后你又产生新的公司政策。又可能是因为你使用了新的基础架构,想确保它使用新来源的识别信息。