如何确保适当的权限访问，特别是当第三方通过一个公共网络连接到应用程序的时候？这时候就需要安全层的作用，对调用到组织环境中的程序做出决定，使其发挥应有的作用。

　　Steve Craggs是Lustratus研究有限公司总监，他说：“如今最大的问题是，每个人都觉得使用SOA非常好，你可以将公司使用的应用程序提供给其他人。这就是开放公司的资源，为更多人使用。”根据Layer 7合作解决方案架构师Jaime Ryan所说，更多的用户认为安全性非常重要。

　　Ryan说：“一旦我们将之前存储在大型机或者数据库中的数据共享，安全性就会成为一个很重要的问题，这是因为原始应用程序不存在安全性问题。之前是点对点的模式，现在却是更通用的模式。”

　　Craggs认为值得注意的是，只需要向用户提供他们所需的服务权限。他说：“因为要开放所有这些，但是说起来容易，‘用户能够使用我们的服务，但是最好确保他们不会不满意。’”

　　Forrester副总裁Randy Heffner也强调了SOA应用网关和要考虑的安全问题。

　　他说：“如何能确定谁在访问应用程序并记录这次访问？当要确定如何在网关中配置每个独立服务时，我就会考虑到以上问题，这就是我所问的网关为也安全时具备的功能和性能。”　　

实现安全的应用程序

　　公司可以实现几种类型的安全功能,如身份验证、授权、数字签名和加密处理。

　　例如，对于身份验证和授权，他们可以访问各种类型的第三方数据库，如LDAP和Active Directory。大多数应用程序具备了安全功能，这样就可以访问证书权威机构。

　　Gartner研究副总裁Ross Altman说，除了这些安全功能，应用程序还可以“将一系列策略定义为级联结构的策略和子策略。”

　　安全问题还不止于此。Adolfo Rodriguez博士是IBM杰出工程师和数据动力首席架构师，他说：“在许多方面，当你在这种Web服务下处理安全问题时，你不仅是在负载方面做一些工作，而且要在该应用平台方面做一些工作。这与你怎样构建它和它的行为有关。”

　　Altman认为，几乎所有的SOA和XML应用程序都是从Linux开始的，只需要操作系统性能和设置密码。此外，他说，应用程序“通常是作为坚硬的机架设备进行交付。他们经常会有一些固定件，以至于普通的工具不能打开盒子。他们同时也强调软件的基础性。”

　　另外，一些厂商已经获得了应用程序安全属性认证。这些对于要求具备强大安全性的机构来说特别重要，例如政府机构和金融机构。Ryan说：“他们想要具备安全性和最高水平的安全认证，而有些只能通过硬件获得。”

　　不需要高安全性的公司想要运行一个虚拟的设备，而不是一个硬件设备。根据Ryan所说，这样的设备要结合堆栈。

　　Ryan说：“正是操作系统使其变得精简并有保障。运行时引擎强制实施所有已经定义的政策，这就是所有的连接器和适配器。所有应用在一个严密的安全包里，所以当你打开设备时或者启动VMware映像时，你所要做的就是要准备好配置网络。”　　

SOA应用网关功能不再局限于安全性

　　Altman说，尤其是在过去的三年里，随着时间的推移,公司对上述产品的重视已经超过了安全产品。

　　Altman提到：“当你要使用它解决安全问题时，你仍然需要一些东西为数据转换、路由和基于内容的路由服务。所以人们已经开始意识到他们可以通过使用该产品，来服务ESB(企业服务总线)类功能和访问控制功能。有时可以在同一个环境下完成，有时也可以在独立的节点上完成。”

　　曾经有一段时间,事情是非常具体的。Rodriguez说，它要么就是一个安全箱，要么就不是。客户现在受益于应用程序的融合功能。他说：“利用对内容和事务理解的中间件层客户就会实现路由、灾难恢复和优化额外流量的功能，并且这些功能都会融合到一个技术设备上。”