至今，你可能听到了所有的关于云简化了一切，通过软件即服务（SaaS），流程即服务（PaaS），以及其它不同的即服务之类的东西（统称为XaaS）。

　　虽然这些听起来是有价值的，但是业务和IT执行者要实现这些，需要克服在这些服务和投资回报率（ROI）之间的一个重大障碍：现代业务中的软件不运行在真空中。

　　在云的XaaS模型中运行软件的一个负面是软件并不在你的物理地址上。许多BPM应用依靠于集成组织网络内的其它系统，所以在外部托管这些与系统通信的基础设施是当前的一大挑战。这篇来自Macedon Technologies的文章探索了企业服务总线（ESB）作为这些挑战的构架解决方案。

　　正如任何一个BPM套件（BPMS）厂商将会告诉你的那样，BPM技术面很大程度上被设计成与其它信息技术系统通信。有些自动化程序存储数据到他们更换的遗留系统的数据库上，因此现存的报告将继续有效，一直到他们的阶段完成。有些流程集成了第三方系统记录的应用程序，例如ERP或CRM系统。还有些流程利用外部文档管理系统来管理文档数据，或卸载规则评估到RMS（记录管理服务）中。

　　理想情况，大部分自动化流程呼叫面向服务架构（SOA）访问点，从而通过Web服务从其它系统检索数据，而不是通过直接与那些系统的后端对话。

　　这些交互的每一项都需要网络与其它系统通信，这意味着连接必须建立，数据将会被传输。如果BPMS托管在一个组织内（可能是在共同的数据中心），那么就会很容易建立这样的连接。两个系统已经存在于一个相同的网络中，所以他们默认就可以互相通信。如果他们之间有一个防火墙，那么IT的某一人通常是在防火墙上捅一个洞，从而允许该系统与其它进行通信。另外，因为网站流量都是在一个网络上，别人偷窥数据在系统之间传递的风险，几乎是没有的。

　　当其中的一个系统（BPMS在内）托管在远程，那么通信就变得棘手了。现在网络外部的一些东西需要向网络内部的系统后端发出请求。对SQL通信，系统可能甚至会要求通过高层许可直接访问数据库。大部分的IT部门政策禁止这类的通信，并标记为安全漏洞（或理应如此）。

　　标准的解决方案模式是，从外部网络入站请求只能访问在“非军事区（DMZ）的标准接口（即Web服务器）。直接访问后端对于在DMZ中的无论是内部的网络还系统都是受限的。这种情况下，唯一可能会暴露给黑客的访问点就是那些有最大的安全，暴露出最少灵活的数据访问。

　　最简单的解决方案：建立一个系统架构，使所有的从BPMS而来的集成请求运往集中的ESB中。通过这个方法，就会有一个单一的组件的来监听一个单一的一个网络通信。大多数ESB包括执行身份验证和授权的模型，这可以确保只有BPMS和其它预定义的系统可以消耗特定的服务。

　　通常，ESB也会接受通过加密链接（SSL）的请求，这样入侵者就不能在BPMS与ESB流动间拦截数据。ESB可以置前通过Web服务器，并限制原标准端口的通信，但允许DMZ式的分离类似于面向公共的Web应用程序。真正网络的服务和终端用户/集成系统的核心到处都有，但是通信只能过Web服务器进入到网络，而且Web服务器是唯一允许与这些核心进行通信的组件。

　　另外，一些现代，云兼容的BPMS工具支持更复杂的安全通信，例如允许云实例建立一个VPN连接进入到内部网络。这一模型支持与任意的，内部暴露的遗留系统进行直接通信，就好像是在BPMS托管在内部而不在云上。

　　对于简化BPMS和遗留系统之间的接口，ESB仍然是一个有用的架构模式，但是安全通信的附加层就意味着IT部分不能暴露任何一个集成接口给外部网络。