SOA和Web服务安全问题在大型企业中占据首要位置，来自Burton Group的chris Haddad在面对媒体的访谈中论述了相关Web服务工具及SOA发展……

　　旧金山——所有的企业都必须找到如基于网络语言这种能保护Web服务的工具，例如可扩展的标识语言(XML)将逐步的引进系统体系结构中。在Burton Group近期面对媒体的会议访谈中，Burton Group的体系结构技术主管chris Haddad探讨了XML网关应用的不断增长现象，以及企业所用来保护服务相互作用的其他工具。“现今的开发者有制造Web服务的工具，而机构的数据中心和横跨其应用的领域中有大量的难以管理的、不安全的Web服务。”Hadded说，“公司正逐步认识到它们必须获得这种环境的掌控权。”在此问答中，Hadded谈到了SOA的发展，Web服务的引进，早期的接收器选择何种方式来保护应用和系统之间所发送的基于网络的信息。

　　谈到SOA部署的发展。多数的企业处于什么阶段?安全问题在整个过程中处于什么位置?

chris Haddad: 在过去的两年内，组织机构处于计划阶段。它们使自己接受其所必须减轻的安全威胁和风险。它们构思了适应安全策略的服务。它们在理解如何才能弥补它们的技术缺陷，什么时候它们需要购买新的框架以及采用新的安全协议。我们已经看到在最近的几个月中组织机构从这一计划阶段中跨出，并迈入架构选择和部署阶段。它们已经经历了RFP阶段，如今在购买各种各样的产品来确保服务信息传输。

　　企业所考虑、认定的安全性能最好的Web服务安全产品是什么样的?

　　Haddad: 从我们开始对合伙人、客户、供应商开放我们的商务系统到现在，安全已经变得最重要，因为我们把敏感的商业资产都暴露给了外界，在我们正常的防火墙之外的外界。当你走向服务方向，你所建立的、包围着你的系统的、坚固的围墙突然消失。边界和周界都已离去。组织机构非常关心它们可能引入的风险，并适当的添加额外的技术来保护服务的相互作用，例如引入一种【扩展的标志语言】XML网关，一种XML虚拟个人网络，一种XML防火墙到它们的基础架构组合中。

　　卖方领域是怎样的?早期的投资是怎样的?

　　Haddad: 我们已经了解了企业所提供的意义重大的XML网关产品的采用。我们也了解了今年年初那一领域的产品交换量戏剧性的突飞猛进并仍将继续。大量的产品种类发展是由有领导地位的启动卖主的收购所驱动的【例如2005年IBM收购XML网络卖方DataPower，二月份宣布的Cisco系统公司计划以现金1.35亿美元收购XML网关卖方Reactivity公司】。那都带来了额外的市场和装备很好的销售渠道来出手这些产品股票。

　　什么是XML网关?为何它对于公司的Web服务安全策略如此重要?

　　Haddad: XML网关是一种使硬件具备加密和数字签名性能的硬件应用。这些都是能够从服务平台中卸到专用设备的昂贵的操作。XML网关作为中央瓶颈来监听、控制和保护Web服务传输，并能将鉴定、授权、加密、数字处理、证书映射、消息扫描和服务攻击防御等安全服务应用到这些传输。这些都是具有很多特性、昂贵的，并非常关注安全的设备。除此之外，它们还有很多其他的附加功能，例如服务监测，客户端和服务间的策略供应，并提供一个中央地点来通过这些系统中策略定义来控制安全状态，这些策略定义分布在终端，是你的环境中执行的公开策略。

　　为什么Web服务威胁不能通过传统的安全设施得以缓和?

　　Haddad: 我们考虑了网络应用平台自身能够减轻这些平台内部的攻击。我们考虑了在这些信息到达我们的应用服务之前将其截获，并在传统的网络技术上的某一级别审查这些信息。比起用一个防火墙来理解如何抵御服务攻击，XML信息自检的方式更利于信息意图的获知。

　　企业开始部署WS-Security OASIS标准?

　　Haddad:企业刚刚采用WS-Security为主流的交易手段。过去让组织机构接受WS-Security是非常困难的，因为实现规范所要做的加工技术相当的不成熟。你必须要是一个飞速成长的科学家，才能用这一规范将一个.NET的服务客户端和一个J2EE服务连接在一起。如XML网关、XML个人虚拟网络等Web服务安全产品的引入使得团队能够以简单的多的方式实现此规范。

　　WS-Security和SSL之间有何区别?对于安全的消息传输，它们是否是足够好的协议?

　　Haddad：SSL是保护套接层，通过将客户端和服务之间的消息传输加密的方式实现。加密发生在网络层，只有在单独的客户端和单独的服务器之间才会体现出优越性。它在客户端和服务器之间建立了非常紧密的链接。如果消息丢失或者路由到其它服务提供者，安全上下文就消失。WS-Security这样的协议使得安全上下文可以横越多重媒介，只要这些媒介可以侦听消息并能将其路由、发送。当消息丢失时，这就是一个使你能保存我所放置的加密信息的、网络之上的平台。