Web Services Framework (WSF)中的安全标准已经取得了显著的进展,越来越多的产品都支持WS-*安全架构的基础——Web Services Security (WS-S)。但Burton公司的高级分析师Diana Kelley认为仅有标准不代表我们已经解决了所有问题,组织仍然必须在这方面考虑很多。 自从安全问题被越来越多的关注,原先在Web服务和SOA部署阶段采用的安全标准被寄予了更多的厚望。但Kelley强调,标准只是安全策略的一部分。
她说:“我们很高兴看到安全问题在项目中考虑的更多,更早,但标准并不能做所有的事。公司必须在……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
Web Services Framework (WSF)中的安全标准已经取得了显著的进展,越来越多的产品都支持WS-*安全架构的基础——Web Services Security (WS-S)。但Burton公司的高级分析师Diana Kelley认为仅有标准不代表我们已经解决了所有问题,组织仍然必须在这方面考虑很多。
自从安全问题被越来越多的关注,原先在Web服务和SOA部署阶段采用的安全标准被寄予了更多的厚望。但Kelley强调,标准只是安全策略的一部分。
她说:“我们很高兴看到安全问题在项目中考虑的更多,更早,但标准并不能做所有的事。公司必须在安全问题上更加用心。否则产品即使有丰富的安全性能,也没人愿意用。”
在她以前的报告"Web Services Security Standards 2006: Where Are We Now?"中,她回顾了由IBM和Microsoft在2002年首次提出的WSF安全协议栈的历史。今天,包含WS-S, Web Services Secure Exchange (WS-SX) and WS-Policy的标准在标准体系中有着不同的进展,其中WS-S走的最远。OASIS 在二月批准了WS-S 1.1版,而WS-SX和WS-Policy将在四月的World Wide Web Consortium (W3C)会议上提交给OASIS。
Kelley认为,WS-S提供了端到端的加密和消息安全的粒度控制。但是,她说尽管产品可以支持WS-S,但很多组织还没有实现这个级别的安全。她说,组织应该为保护SOAP消息传递使用HTTP认证、安全套接认证和SSL加密。
她说:“对于很多只是测试或做原型和规划的公司,很多都用简单的方法实现,即使用纯SSL和点到点安全。我们还没有发现复杂的WS-S和更简单的解决方案一样被广泛使用,但这种状况看来已经在改变,因为部署已经变复杂了。”
驱动力就是构建他们面向服务的架构,让它更令人满意,然后才增加其安全性。这种做法在IT部门非常普遍。即先编码,然后才考虑安全。在Web服务中这种做法并不多,但随着公司的部署,他们的安全性也越来越复杂。
尽管WS-S得到了关注, 但其它说明书还没有太大进展。包括三份扩展安全功能的WS-SX说明书,WS-Trust、WS-SecureConversation和WS-SecurityPolicy。根据Burton公司的报告,最终版本要到2007年6月才能发布。
Kelley 说,已经在W3C的手中WS-Polic更复杂更随意。它为描述和交换规则和策略方面信息提供了一个框架。但是,Kelley强调,企业依然需要确定自己的策略。
“这些标准可以把它们自己该做的事做好,但我们需要理解它们做的事。WS-Policy和WS-SecurityPolicy并非说明要遵守的策略,它们不会说明这是正确,那是错误的。”Kelley说。
她说:“当我们考虑组织内的策略时,我们总在围绕数据考虑粒度控制,问一些类似密钥得多长之类的问题。?WS-Policy 和 WS-SecurityPolicy被认为是一种表述和共享这种信息的方法。而最终策略决策依赖于组织自身实现的Web服务。”
待发布的说明书
两份安全说明书WS-Authorization 和 WS-Privacy还没有发布,Kelley说它们有可能停滞下来。WS-Federation用于跨信任域的身份认证、验证和授权共享,并不是一个标准。但是,她说:“有的人觉得Federation很重要,而有的人则觉得它会被淘汰。它已经被用在Microsoft Active Directory中,所以我觉得它不会被淘汰。”
Kelley说,Web服务安全说明书已经取得重大进展,但她希望组织意识到这些说明书还是崭新的,还在工作中,所以不要期待所有问题都已解决。
SOA安全的核心是整个应用安全的核心的一部分。Kelly说:“不管是Web应用还是一部分SOA,应用理解和数据保护和管理都变得更加关键,可见性也更高。”SOA会变得混杂,会出现访问后台数据的一层,你必须确保这种访问是非常安全的。
她说,只实现WS-S和相关安全说明书是不够的。组织依然需要分层的安全。这不意味着当你把安全加入到SOA后,就可以不管周边的防火墙。你依然需要担心宿主的安全性。只使用标准或产品来实现标准并不能为你决定所有的安全问题。
作者
相关推荐
-
SAP收购CallidusCloud 与Salesforce竞争
一直被称为后台办公巨头的SAP现在似乎也想在前台办公大展拳脚。 最新的迹象是SAP收购CallidusClou […]
-
API设计如龙生九子 各不相同
IT咨询管理公司CA Technologies对API产业做了个问卷调查,问卷内容涉及API设计风格以及管理部署的新动向。调查结果表明,JSON与XML可谓两分天下。
-
从头开始实现领域驱动设计
领域描述业务;它是驱动企业的概念和逻辑的集合。如果遵循领域驱动设计(DDD)这一本质,那么领域就是应用程序中最重要的组成部分。
-
走出思维定式 数据库/大型机现代化不再是问题
升级和改变组织的主要利益驱动应用的前景,正处于一个压倒性的位置,所以组织将要面临一系列的改变。