服务安全

　　是否允许任何人调用任何服务?具有一系列用户的服务是否允许其所有用户访问所有数据?服务使用者和提供者之间交换的数据是否需要进行保护?服务是否需要足够的安全，以满足其最偏执的用户或最懒散的用户的需求?

　　对于任何应用程序，安全是一个困难但必要的命题。功能需要限制为授权的用户，需要对数据进行保护，以防止被窃听。通过提供更多的功能访问点(即服务)，SOA 有可能会大幅度增加组合应用程序中的漏洞。

　　SOA 可创建非常容易重用的服务，甚至哪些不应该重用这些服务的使用者也能对其进行重用。即使在授权用户中，并非所有用户都应该具有服务能够访问的所有数据的访问权。例如，用于访问银行帐户的服务应该仅提供特定的用户帐户(尽管其代码也具有访问其他用户的其他帐户的权限)。一些服务使用者比相同服务的其他使用者具有更大的数据保密性、完整性和不可否认性。

　　服务调用技术必须能够提供所有这些安全功能。必须对服务的访问进行控制，且将访问权仅限于授权使用者。用户标识必须传播到服务中，并用于授权数据访问。数据保护的质量必须表示为相应范围内的策略。这就允许使用者说明最低级别的保护和最大功能，并能与可能实际包含其他保护的相应提供者进行匹配。

　　总结：治理对 SOA 的成功非常关键

　　本文说明了为什么 SOA 治理对企业的 SOA 成功非常关键。治理涉及到建立相关职责和授权负责方，而管理则涉及到确保治理策略实际执行。技术不仅可以用于设置治理，也可以用于执行管理。服务调用期间管理的治理可以由 ESB 进行有效的管理，可简化提供者和使用者的职责。

　　SOA 治理涉及很多方面，其中包括以下内容：

　　服务定义(服务的范围、接口和边界)

　　服务部署生命周期(各个生命周期阶段)

　　服务版本治理(包括兼容性)

　　服务迁移(启用和退役)

　　服务注册中心(依赖关系)

　　服务消息模型(规范数据模型)

　　服务监视(进行问题确定)

　　服务所有权(企业组织)

　　服务测试(重复测试)

　　服务安全(包括可接受的保护范围)

　　如何处理其中的每个方面本身都足以另外单独成文。