要確保面向服務架構(SOA)的安全，最簡單也是最常見的方案就是通過虛擬專用網(VPN)來傳送服務請求。這種方案提供的安全性足以滿足簡單、粗粒度的要求，而且與簡單對象訪問協(xié)議(SOAP)、代表性狀態(tài)傳輸(REST)及非Web服務協(xié)議兼容，甚至足以滿足許多外部集成場景的要求。不過并非所有的安全場景都很簡單: 對比較復雜的要求和細粒度的SOA安全而言，架構師們必須大大加強規(guī)劃和設計。要為SOA安全制定一套綜合的策略和架構，架構師就必須考慮方方面面的安全要求、業(yè)務場景和應用基礎架構，把多個產品、標準和自定義組件結合起來，形成一套靈活、穩(wěn)健的SOA安全解決方案。

至少有10類產品可以在SOA安全架構中發(fā)揮作用，它們在幾個重要方面存在功能重疊。SOA和Web服務安全規(guī)范具有模塊化的結構，這意味著架構師們必須針對將來使用哪些規(guī)范、何時使用這些規(guī)范作好認真規(guī)劃。對安全有不同要求的業(yè)務場景可能需要結合不同的規(guī)范和產品。進一步增添復雜性的是，諸多標準和規(guī)范還沒有完全成熟。所以對許多規(guī)范來說，業(yè)界在最佳實踐方面還沒有太多的經驗可談。架構師們可能面臨另外幾個挑戰(zhàn)，包括不同的SOA基礎架構、多個SOA消息交換模式、需要跨多個環(huán)境聯(lián)合安全，以及一個服務調用另一個服務時，需要跨各層宣布身份。更不用說那些常見問題了，比如組織摩擦、成本和架構治理方面的難題。

正是由于這些難題，很少有企業(yè)能夠事先進行投入，構建一套全面、綜合的SOA安全解決方案來滿足將來的所有要求。這意味著架構師面臨的最終挑戰(zhàn)是，逐漸完善綜合的解決方案。為了幫助獲得這種循序漸進的方案，本文介紹了一系列完整的四種解決方案模式，表明了如何把不同的產品整合到SOA安全解決方案以滿足今天的要求，以及今天的解決方案如何為滿足明天的要求留有一條后路。

第一種場景: 簡單的VPN在短期內提供基本的解決方案。

先從第一種模式說起，有些SOA用戶會遇到這種場景: 眼下他們需要迅速找到一款可以接受、盡管并非最理想的SOA安全解決方案。在這種情況下，SOA請求和響應只使用傳輸層安全機制來確保安全。若是SOAP和REST，通常通過雙向的安全套接層(SSL)協(xié)議來實現(xiàn)。若是VPN連接，那么通過公共互聯(lián)網傳達的請求也是機密、安全的。簡單的VPN方案常常使用隱式授權(implicit authorization)，通過VPN進來的任何請求都可以訪問可用服務。雖然簡單的VPN能支持識別每個用戶身份的任務，但由于管理每個用戶的證書需要龐大的管理開銷，所以這種情況實際很少出現(xiàn)。簡單的VPN常常被配置成服務使用者平臺和服務平臺之間的直接傳輸層連接——服務平臺可能是應用服務器，或者是簡單的Web服務環(huán)境。據弗雷斯特調研公司的一項調查顯示，三分之二的SOA用戶表示，單單使用簡單的VPN也是確保SOA安全的一個重要手段。

方案成熟度: ★★★★☆

實施難易: ★★★☆☆

第二種場景: 基于應用服務器的方案滿足審計和合規(guī)方面的要求。

第二種模式基于應用服務器的方案與第三種模式單一中介方案，都能處理對單個用戶進行驗證和授權的任務?；趹梅掌鞯姆桨噶⒆阌诜諏崿F(xiàn)平臺中的SOA安全功能，服務實現(xiàn)平臺包括應用服務器、集成服務器、套裝應用軟件和軟件即服務(SaaS)等平臺。由于讓服務平臺可以根據實際最終用戶來保留安全環(huán)境，這種方案便于實現(xiàn)高級的授權策略。它還讓審計日志可以記錄實際最終用戶的服務請求活動，這種功能對隱私及其他法規(guī)所需的詳細審計和合規(guī)來說很重要。盡管這種方案有這樣的優(yōu)點: 不需要現(xiàn)金支出來購買新的SOA專門產品，但如果用戶有多個平臺，所需的配置及集成工作可能會導致在工時上所花的成本相當于或超過購買及配置SOA專門產品所需的成本。

基于應用服務器的SOA安全常常會使用簡單的VPN連接作為基礎。這種場景可能出現(xiàn)的一種延伸應用包括: 使用來自單次登錄或身份管理環(huán)境的SOA或應用服務器安全插件，為應用服務器上的SOA服務與身份管理產品控制的其他應用資產之間提供始終如一的安全性。

方案成熟度: ★★★★☆

實施難易: ★★★☆☆

第三種場景: 單一中介整合安全處理工作。

第三種模式是單一中介方案，這種方案把SOA安全功能全部集中到在用戶的服務實現(xiàn)平臺前的策略執(zhí)行點。這就簡化了SOA安全，提供的單一解決方案(包括中介及管理工具)能夠跨所有SOA服務來提供安全，至少對該中介支持的消息格式和協(xié)議來說是這樣。不過要是單純采用這種方案，服務平臺實際上關閉了用戶級的SOA安全功能，而改由中介來處理所有SOA安全。中介可能由幾類不同產品來提供，包括SOA設備、SOA管理解決方案、企業(yè)服務總線(ESB)、面向集成的業(yè)務流程管理套件(IC-BPMS)或者是專門的SOA安全產品。

單一中介方案可能也會使用簡單的VPN連接作為基礎。中介負責所有SOA安全處理工作; 因而，并不要求服務平臺支持任何特定的SOA安全; 這樣，該解決方案就可以支持一系列廣泛的服務平臺。

方案成熟度: ★★★★☆

實施難易: ★★★★☆

第四種場景: 代理、分層、聯(lián)合的方法提供完整的SOA安全。

屬于第四種模式的SOA安全解決方案深入全面地集成，可以跨多層服務調用，確保了每個服務平臺都可以訪問用戶的身份; 該方案還支持高級的安全場景，比如安全聯(lián)合和令牌交換。如今，很少有公司接觸這種解決方案，更不用說實現(xiàn)了。不過，隨著SOA安全解決方案、標準和產品的不斷成熟，加上隱私和金融法規(guī)變得更嚴格，高級的SOA安全解決方案會變得更切實可行(包括成本上和技術上)。而且，有些場景可能確實明確需要這種解決方案。代理、分層、聯(lián)合的SOA安全解決方案會使用多種標準、集成多個產品，而且極有可能需要自定義集成，以便把各部分整合起來。

為了逐步完善SOA安全策略，IT部門在設計時，應盡可能在簡單的SOA安全模式與較復雜的模式之間融入連貫性、一致性。雖然企業(yè)可能習慣于在安全方面做出妥協(xié)，以避免高級的代理、分層、聯(lián)合安全策略所需的成本，但隨著SOA安全日趨成熟、對網絡安全的要求與日俱增，高級的安全策略會逐漸變得更容易實現(xiàn)、更必不可少。

方案成熟度: ★★★☆☆

實施難易: ★★★★☆

鏈 接

SOA安全要素

SOA安全部署最有效的地方并非像傳統(tǒng)解決方案那樣在于網關。IT人員需要結合現(xiàn)行的情況進行部署，并要根據企業(yè)SOA的環(huán)境來評估決定。IT用戶可以借鑒企業(yè)解決網絡訪問管理(WAM)問題來提高互動狀態(tài)的方法來保護SOA，包括如下重點:

SOA安全網關: 網關為進入企業(yè)的XML流量提供了一個代理，并運用安全策略來確保某種形式的請求與驗證。

SOA平臺: 在為SOA應用提供管理的同時，平臺在驗證和授權方面也提供了一些基本的安全保護。

SOA容器: 最終每種應用都將直接建立自己的安全功能來保護數(shù)據安全。
 

【編輯推薦】

1. SOA質量和治理：滿足靈活性的元要求
2. 面向服務體系架構的SOA安全
3. SOA也要安全服務