面向服务架构(SOA)以及基于XML的Web服务稳健进入企业级应用，而这一切正在我们当中引起关于安全性的注意……

　　面向服务架构(SOA)以及基于XML的Web服务稳健进入企业级应用，而这一切正在我们当中引起关于安全性的注意。不要认为我说错了。到目前为止没有任何安全管理团队有过具体的这方面的工作。而这些工作是本应该有的。这就像在过去的很多年中，很多组织机构都只用SOA的方法进行测试，从而得出结论，对于聚焦于运作的IT部分而言，过深的涉及还是不成熟的。然而，随着这些IT实验开始逐渐成为重要的，承载业务开展的部分，它将人们带入了可以在企业级进行安全和管理的时代。

　　SOA所带来的巨大挑战就是SOA要求的关键性部分也恰恰是IT管理中的致命弱点。定义上的SOA具有松散的耦合性，高度的微粒性以及通常是分布广泛而且是多步的等特点。另外，它可以将内部服务和外部服务，独立的执行和非独立的平台统统结合起来。不幸的是，恰恰是这种松散的耦合引发了挑战，那就是所有的人都可以进行企业级的安全和管理有关的活动。

　　旧的伎俩，新的小人

　　就像之前已有的应用软件技术一样，SOA当中也有很多方面需要被管理。其中包括应用软件的性能、开发、网络和运行平台、数据以及毫无异议的关于安全和认证方面的问题。尽管上述这些方面没有一个是新的IT管理上的挑战，但是SOA的自然本性将他们在比例上和复杂性上大大放大了。

　　幸运的是，传统的应用软件为已经存在的应用程序提供了安全以及认证方面的管理提供了很好的方法。像认证，授权以及审计等安全功能方法为每一个应用程序仓都开发了独立的方法。这样做在大多数组织中都可以稳健的解决问题。不幸的是，在坚定不移的重建并复兴采用基于XML的Web服务以及SOA构架的过程中，安全方面是相当危险的。很多组织在没有恰当的考虑并对他们即将面对的安全方面的挑战做出计划时就一窝蜂的扑向SOA。这种情况在他们采用的基于SOA的方法的应用程序和数据是为内部业务单元和外部支持者的需求量身定做的时候尤为突出。历史经验告诉我们随着特殊的技术使用快速迸发，安全性和管理挑战也持续的随之迸发。

　　默认的安全性

　　有相当多的公司很明显的将安全决定置之不理或者是将其设置成默认交给应用程序开发或网络团队。一般情况下，在这些团队中缺少度量控制、必要的考虑大体的企业IT管理以及特别的安全管理的经验和方面。他们有足够的为不同客户群体提供建立、维护以及加强应用软件和网络的钢板。

　　我可以告诉你第一手的资料，那就是在不久之前，上一次的技术革新浪潮当中，我们就到达了这个境地了。如果你将时钟调回到十年前，应用软件的首次展示以及雇员、顾客和商业伙伴的数据都通过互联网发生了。在大多数例子中，应用软件级的安全也通常交给了软件开发人员或者网络引擎去处理。这对我们有什么启示呢?有些时候有力的结果就是根本没有任何应用软件安全。如果一个用户有权利进入内部网络，那么如果他们知道那些驻留软件在哪里的话，他们可以随意进入它们。结果就是，网络边界安全并没有被充分的考虑。但是在网络当中，边界安全到底是什么含义呢?这个技术要归功于认证和访问管理(IAM)市场的欣欣向荣才得以实现。这也是我们在过去的五年里一直盼望的。

　　相同的实现正在SOA的领域开始进行，原因就是IAM也和SOA紧密相关。因为这些新的基于SOA的应用软件提供了对关键业务流程和敏感数据的访问、验证以及Web服务用户的权限(在这篇文章中，这即可以指人也可以指应用程序)，就像他们为网络应用软件用户所做的那样。这些认证的管理，他们的信任以及其他的属性及对Web服务的访问控制都需要被控制和管理，而且潜在的有相当大的比例。

　　企业安全保护

　　幸运的是，在互联网安全和IT管理中的我们只是Web服务和SOA安全与管理的案例之一。对这些问题的解决方案已经开始涌现。SOA平台的合并，XML的网管，应用程序服务器以及承载安全性的Web服务IAM解决方案能够在管理和基于XML的Web服务的安全以及有充分资格的SOA框架在他们离开企业的时候衡量比例。

　　所以当你提出你的SOA战略并部署你的Web服务的时候，一定要确保你至少将你的认证和访问管理事务和SOA安全事务连接起来。SOA的应用正在来临，并很有可能在你的组织中的某部分已经实现。是到了用正确的方法对它们进行管理和保护了。