SOA环境下的安全一定首先要处理好访问控制的问题。必须经得起“千锤百炼”的考验。在本此访谈中,Gartner研究公司的副总裁Ross Altman向我们解释了保证Web服务安全的常见安全令牌解决方案。 依你之见,SOA安全最关心问题是什么? ALTMAN:你需要对服务请求的来源进行认证,而对于服务请求者你需要验证其来自何方——对此二者的考虑是对等的。
其它相关的挑战是授权。典型地是要去为服务请求者对服务的访问进行授权。通常这不会是一种对称的关系,因为服务的所有者希望对服务的访问进行保护。 还有就是不可抵赖性的概念。
从根本上来说,你是希望确保消息来源不能对该消息进行否定的,同样地,如果……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
SOA环境下的安全一定首先要处理好访问控制的问题。必须经得起“千锤百炼”的考验。在本此访谈中,Gartner研究公司的副总裁Ross Altman向我们解释了保证Web服务安全的常见安全令牌解决方案。
依你之见,SOA安全最关心问题是什么?
ALTMAN:你需要对服务请求的来源进行认证,而对于服务请求者你需要验证其来自何方——对此二者的考虑是对等的。其它相关的挑战是授权。典型地是要去为服务请求者对服务的访问进行授权。通常这不会是一种对称的关系,因为服务的所有者希望对服务的访问进行保护。
还有就是不可抵赖性的概念。从根本上来说,你是希望确保消息来源不能对该消息进行否定的,同样地,如果你发送了一条消息,你也希望接收方不能抵赖说没收到。我发出一条消息是想要下一个订单。我希望能证实我发出去了且你也收到了。
有没有技术或标准来帮助我们确保安全?
ALTMAN:有一些安全标准。一个是WS-Security,这个标准是认证的标准方式,它提供了隐私性和消息的安全性,要结合一个叫做安全声明标记语言(SAML)的东西来使用。WS-Security和SAML一起使用允许你对来源和目标进行认证。这一点使得你可以通过运用安全令牌来保证消息安全,安全令牌就像是对消息进行签名。这个令牌独此一家、别无分号,是你自己的。当你接收到那个消息你可以查看相应的令牌来验证一下这个消息是否来自于“我”。你还可以做的一件事情是用安全代码去加密这个消息,这样的话你最终可以具备以下三方面的能力:
1.如果你使用这个代码的话你会知道它来自于我。
2.该令牌可用于验证消息没有被篡改过。
3.你可以用它来对整条消息进行加密,这样可确保其他人无法查看此消息。
SOA安全方面现在的进展如何,或者换句话说最大的担心是什么?
ALTMAN:没有什么太多的新东西,但是你可以进行两项观察。一个是有关“重负荷”应用的。这也许是使用SOAP作为一种方式来组织消息和WS标准,以便作为那些服务的实现指南,然后运用WS安全和SAML。因为它的困难性和挑战性,许多人优先选择去回避这些更为正规、负荷更重的web服务。它需要在这些服务供应商和用户之间进行大量额外的协作。这将需要金钱,还牵涉到风险、时间以及市场问题等。但如果它是至关重要的话,比方说如果是金钱交易的话,特定消息被接收与否的意义则是很重大的,会改变结果。
然后还有所谓的“轻载”SOA。又被称为REST式Web服务。被我们视为SOA的子集的REST式或面向Web架构,更具备Web特性,由于它直接利用了Web最基本的概念,像URL和HTTP,可以说它是利用了Web原则的优点来运作的。在安全方面则使用安全套接字(SSL)(或HTTPS)。这是安全的另一种实现方式。
有关SSL的意见有趣的事情是SSL是以点到点的方式实现安全性的,典型地是从浏览器到Web服务器——但并非只有这种情况。它也可以是从一台服务器到另一台服务器。许多情况下这是可接受的,有若干原因——主要的原因是人们认为东西在开放的互联网上传递(从一台防火墙之后到另一台防火墙之后)是重要的安全问题。但最终的决定因素在于对于对方来说什么是可接受的。
对于这些观察你有何建议?
ALTMAN:人们应该理解一切与搭建起应用有关的安全问题,并考虑不同方案的优缺点,以便处理这些安全问题。安全是需要付出代价的。SOA安全性需要发送者和接收方之间进行大量的协作,在许多情况下还需要一个可信任的第三方,一个可为双方作出担保的人。
SOA安全不是锦上添花可有可无的东西,它真的需要千锤百炼经得起考验。当然了,它也是某种你可以“自给自足”的东西,但需要你具备安全的基础知识。SOA的安全会是一件相当麻烦的事情。它不会是简洁明了的。安全不可能仅仅把它植入进去然后就“大功告成”了。
相关推荐
-
案例管理如何强化SOA环境
保持SOA环境平滑运行牵涉到大量移动部件的管理:API、微服务、移动性以及日益火爆的物联网。在这基础上,还会涉及安全、隐私、监管合规性等问题。
-
REST的缺点是什么?
几年前,Ganesh Prasad问道,Internet比REST更基本吗?这些年,他不断围绕REST SOA、以及更时新的云计算提出相关讨论,并且钟情于REST的指导原则。
-
SOA的企业信息平台开发关键技术浅析
SOA是个很独特的架构,强调协作、复用、本地透明组件和网络之间的链接。它的特点体现在“可重用性”和“互操作性”能为企业解决多方面的问题。
-
企业SOA的安全性问题不容忽视
SOA为那些要实施跨部门、跨系统和跨企业集大的机会,允许企业在不放弃和不更换老式系统的情况下重新焕发青春,但也有一些需要注意的问题。