當(dāng)前位置：首頁 > 消費(fèi)電子 > 消費(fèi)電子

SOA安全噩夢何時(shí)休？

時(shí)間：2009-04-21 05:38:34

關(guān)鍵字：加密 PCI 防火墻電子

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀]SOA為那些要實(shí)施跨部門、跨系統(tǒng)和跨企業(yè)集成的公司創(chuàng)造了巨大的機(jī)會(huì)。集成能夠幫助簡化商業(yè)流程、提高產(chǎn)品上市的時(shí)間、使企業(yè)對業(yè)務(wù)、共享的數(shù)據(jù)和服務(wù)中的變化更快地做出反應(yīng)。例如，正確建立的SOA架構(gòu)能夠讓一個(gè)電

SOA為那些要實(shí)施跨部門、跨系統(tǒng)和跨企業(yè)集成的公司創(chuàng)造了巨大的機(jī)會(huì)。

集成能夠幫助簡化商業(yè)流程、提高產(chǎn)品上市的時(shí)間、使企業(yè)對業(yè)務(wù)、共享的數(shù)據(jù)和服務(wù)中的變化更快地做出反應(yīng)。例如，正確建立的SOA架構(gòu)能夠讓一個(gè)電子商務(wù)網(wǎng)站與自己的供應(yīng)商、分銷商、信用卡公司和消費(fèi)者無縫地集成在一起。在一個(gè)客戶下訂單之后，系統(tǒng)將自動(dòng)編排大量的信息，不須要在每一次登錄時(shí)都詢問用戶或者系統(tǒng)。

SOA還允許企業(yè)在不放棄和不更換老式系統(tǒng)的情況下通過抽象化某些商業(yè)流程、服務(wù)或者數(shù)據(jù)來重新煥發(fā)這些老系統(tǒng)的青春。企業(yè)能夠利用它們對現(xiàn)有的老式系統(tǒng)的投資，同時(shí)建立無縫地與老系統(tǒng)集成在一起的新系統(tǒng)。

對于最終用戶來說，這是涅槃。對于安全部門的人來說，這是他們最糟糕的噩夢。

集成的負(fù)面影響

上面提到的SOA的好處伴隨著在安全、隱私和遵守法規(guī)方面的很大風(fēng)險(xiǎn)。對于那些輕松地把防火墻后面和防火墻外面的其它服務(wù)集成在一起的服務(wù)來說，它們必須是可發(fā)現(xiàn)的和容易轉(zhuǎn)變的。許多SOA實(shí)施使用Web服務(wù)。Web服務(wù)使用WSDL(Web服務(wù)說明語言)說明如何啟用這個(gè)服務(wù)。UDDI(統(tǒng)一描述、發(fā)現(xiàn)和集成)是一種標(biāo)準(zhǔn)，通常與Web服務(wù)一起使用，允許發(fā)現(xiàn)和提取服務(wù)。SOA中常用的另外兩個(gè)標(biāo)準(zhǔn)是XML(可擴(kuò)展標(biāo)記語言)和SOAP(簡單對象訪問協(xié)議)。XML是一種自我說明格式，包含明文形式的信息，而SOAP是交換基于XML的信息的協(xié)議并且以明文提供重要的信息。雖然這些標(biāo)準(zhǔn)讓企業(yè)更容易地集成服務(wù)，但是，如果沒有適當(dāng)?shù)陌踩胧?，它也?huì)把這個(gè)王國的鑰匙交給黑客。

許多老式的系統(tǒng)的構(gòu)造從來都不是要暴露給外部的，特別是不能暴露給防火墻外部的系統(tǒng)。現(xiàn)在，采用SOA之后，由于SOA的可發(fā)現(xiàn)的和自我說明的性質(zhì)，黑客能夠訪問他們以前無法接觸的系統(tǒng)和數(shù)據(jù)。

企業(yè)中的挑戰(zhàn)

業(yè)內(nèi)人士向許多架構(gòu)師、廠商、培訓(xùn)師和安全專家提出了一個(gè)簡單的問題：你認(rèn)為在實(shí)施SOA的時(shí)候架構(gòu)師需要解決的最大的安全風(fēng)險(xiǎn)是什么？這個(gè)問題的答案有如下幾類：

機(jī)構(gòu)中缺乏對這種風(fēng)險(xiǎn)的嚴(yán)重的認(rèn)識(shí)和知識(shí)。

在服務(wù)、系統(tǒng)和企業(yè)之間傳播證書。

監(jiān)視、審計(jì)和強(qiáng)制執(zhí)行政策的能力。

缺乏認(rèn)識(shí)和知識(shí)

重要的是企業(yè)架構(gòu)師要得到適當(dāng)?shù)呐嘤?xùn)，這樣他們就能夠很好地理解SOA以識(shí)別這種風(fēng)險(xiǎn)。許多SOA計(jì)劃都是企業(yè)架構(gòu)師小組從技術(shù)的觀點(diǎn)推動(dòng)的。如果架構(gòu)師不熟悉風(fēng)險(xiǎn)和其它問題，他們不僅不知道需要建立什么來這個(gè)服務(wù)的安全，而且他們還不知道在什么時(shí)候引進(jìn)安全和審計(jì)專家。安全需要提前建立，不應(yīng)該在事后建立。把安全建在每一個(gè)服務(wù)中對于每一項(xiàng)服務(wù)的性能和可維護(hù)性可能是一個(gè)負(fù)擔(dān)。安全應(yīng)該作為一套核心的服務(wù)實(shí)施，允許集中管理和維護(hù)安全。此外，管理層必須理解這個(gè)風(fēng)險(xiǎn)并且提供適當(dāng)?shù)闹С趾唾Y金以便有效地保證企業(yè)的安全。

傳播證書

許多服務(wù)是“無頭的”，也就是說這些服務(wù)沒有相關(guān)的用戶接口。這些服務(wù)是通過啟動(dòng)其它服務(wù)并且由其它服務(wù)啟動(dòng)的，而且必須要把證書按照順序從頭到尾不間斷傳遍整個(gè)系統(tǒng)。更有挑戰(zhàn)性的是一個(gè)信息可能包含為多個(gè)服務(wù)用戶提供的XML數(shù)據(jù)。

以一個(gè)電子商務(wù)網(wǎng)站為例，一個(gè)訂單能夠引發(fā)一個(gè)包含提供給一個(gè)供應(yīng)商、分銷商和信用卡公司的XNL數(shù)據(jù)，每一方都有不同的安全要求。只有信用卡公司有權(quán)訪問這個(gè)信用卡信息(信用卡信息應(yīng)該按照PCI的要求加密)。供應(yīng)商需要知道什么產(chǎn)品和在目錄的什么地方。分銷商需要知道有關(guān)產(chǎn)品和發(fā)貨地址的信息。因此，你從這個(gè)例子可以看出，過去簡單地使用SSL的日子是不夠的。在這個(gè)例子中，同樣的信息要同時(shí)發(fā)給三個(gè)不同的公司并且不需要任何一家公司登錄。許多公司采用WS-*標(biāo)準(zhǔn)(如Ws-Security、WS-Trust、WS-Federation、Ws-Policy等)來解決這些風(fēng)險(xiǎn)。

最佳做法包括XML加密，使用公共密鑰和/或者令牌，政策驅(qū)動(dòng)的安全方法，而不是采用硬編碼。但是，在建立這些最佳做法的時(shí)候，事情會(huì)變得更加復(fù)雜。XML加密可以造成性能下降，從而產(chǎn)生XML設(shè)備/加速器的需求。政策驅(qū)動(dòng)的安全需要用于更新、維護(hù)和審計(jì)安全政策的工具。這將把我們帶到下一類問題...

審計(jì)、監(jiān)視和強(qiáng)制執(zhí)行政策

許多回答這個(gè)問題的人強(qiáng)調(diào)了對于所有的服務(wù)的端對端的監(jiān)視和審計(jì)重要性。說把適當(dāng)?shù)陌踩胧┙ㄔ谶@個(gè)架構(gòu)中是一回事。證明這個(gè)事情是另一回事。

把安全建成一種服務(wù)的架構(gòu)師需要從審計(jì)和管理規(guī)定的角度考慮這種需求。我們有SOX、HIPAA、PCI和許多其它的法規(guī)。有時(shí)候，這些法規(guī)是相互沖突的。例如，SOX要求我們存儲(chǔ)有所有關(guān)金融交易的一切記錄，而PCI法規(guī)要求我們不能用明文存儲(chǔ)信用卡號(hào)碼。而且我們同時(shí)還必須把信用卡號(hào)碼信息傳送給金融機(jī)構(gòu)。要實(shí)現(xiàn)這個(gè)目的，企業(yè)的所有種類的加密和其它加密措施都要進(jìn)行審計(jì)。要通過這些審計(jì)，我們必須記錄每一個(gè)服務(wù)電話的正確的信息級(jí)別，向各種審計(jì)人員和管理部門提供一種方法，證明我們是遵守它們的規(guī)定的。一次糟糕的交易就會(huì)讓審計(jì)失敗。

一個(gè)大的挑戰(zhàn)是外部服務(wù)用戶以意想不到方式適應(yīng)了某些服務(wù)。必須要有預(yù)見性地監(jiān)視服務(wù)的消費(fèi)以便識(shí)別出出人意料的不符合安全政策的用戶，在災(zāi)難性結(jié)果出現(xiàn)之前迅速達(dá)成一個(gè)解決方案。最后，我們必須保證正確的數(shù)據(jù)在正確的時(shí)間交給正確的人。

我們能做什么？

有兩件事情能夠緩解這種風(fēng)險(xiǎn)。第一是提高認(rèn)識(shí)。投資進(jìn)行培訓(xùn)和培訓(xùn)每一個(gè)人，不僅僅使培訓(xùn)開發(fā)人員。管理層需要高水平的培訓(xùn)課程，而架構(gòu)師、安全專家、審計(jì)師、開發(fā)人員、測試人員、商業(yè)分析師和其他人需要針對他們需求的培訓(xùn)。

第二，安全是每一個(gè)人的責(zé)任，不僅僅是企業(yè)架構(gòu)師和安全架構(gòu)師的責(zé)任。機(jī)構(gòu)要全力保證企業(yè)的安全。業(yè)內(nèi)人士建議企業(yè)雇用有經(jīng)驗(yàn)的SOA安全人員或者雇用一個(gè)顧問把這個(gè)知識(shí)傳授給機(jī)構(gòu)內(nèi)部的安全部門。

本站聲明：本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布，目的在于傳遞更多信息，并不代表本站贊同其觀點(diǎn)，本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者，如若文章內(nèi)容侵犯您的權(quán)益，請及時(shí)聯(lián)系本站刪除。

換一批

阿維塔、賽力斯已入股！華為引望可能成“中國博世”

9月2日消息，不造車的華為或?qū)⒋呱龈蟮莫?dú)角獸公司，隨著阿維塔和賽力斯的入局，華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字：阿維塔塞力斯華為

[美通社全球TMT]

Trianz與AWS達(dá)成戰(zhàn)略合作協(xié)議，徹底改變云采用和管理方式

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布，該公司與Amazon Web Services （AWS）簽訂了...

關(guān)鍵字： AWS AN BSP 數(shù)字化

[美通社全球TMT]

人工智能驅(qū)動(dòng)工具SODA V將顛覆汽車市場，使汽車開發(fā)時(shí)間和成本降低90%

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V，這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具，可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時(shí)1.5...

關(guān)鍵字：汽車人工智能智能驅(qū)動(dòng) BSP

[美通社全球TMT]

從容應(yīng)對未知風(fēng)險(xiǎn)----解密亞馬遜云科技的韌性之道

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行，同時(shí)企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風(fēng)險(xiǎn)，如企業(yè)系統(tǒng)復(fù)雜性的增加，頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性，提升韌性，成...

關(guān)鍵字：亞馬遜解密控制平面 BSP

[通信先鋒]

中國游戲市場開始復(fù)蘇！騰訊、網(wǎng)易等巨頭縮減在日本投資

8月30日消息，據(jù)媒體報(bào)道，騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字：騰訊編碼器 CPU

[通信先鋒]

獨(dú)立自主！華為董事：致力打造不依賴西方的技術(shù)

8月28日消息，今天上午，2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)開幕式在貴陽舉行，華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字：華為 12nm EDA 半導(dǎo)體

[通信先鋒]

華為張平安：數(shù)字世界話語權(quán)最終由生態(tài)繁榮決定！

8月28日消息，在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)上，華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱，數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字：華為 12nm 手機(jī) 衛(wèi)星通信

[美通社全球TMT]

中國通信服務(wù)公布2024年中期業(yè)績

要點(diǎn)：有效應(yīng)對環(huán)境變化，經(jīng)營業(yè)績穩(wěn)中有升落實(shí)提質(zhì)增效舉措，毛利潤率延續(xù)升勢戰(zhàn)略布局成效顯著，戰(zhàn)新業(yè)務(wù)引領(lǐng)增長以科技創(chuàng)新為引領(lǐng)，提升企業(yè)核心競爭力堅(jiān)持高質(zhì)量發(fā)展策略，塑強(qiáng)核心競爭優(yōu)勢...

關(guān)鍵字：通信 BSP 電信運(yùn)營商數(shù)字經(jīng)濟(jì)

[美通社全球TMT]

NVI技術(shù)創(chuàng)新聯(lián)盟成立！自主生態(tài)將帶動(dòng)產(chǎn)業(yè)鏈高速發(fā)展

北京2024年8月27日 /美通社/ -- 8月21日，由中央廣播電視總臺(tái)與中國電影電視技術(shù)學(xué)會(huì)聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會(huì)上宣布正式成立。活動(dòng)現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字： VI 傳輸協(xié)議音頻 BSP

[美通社全球TMT]

軟通動(dòng)力與長三角投資達(dá)成戰(zhàn)略合作共謀數(shù)字生態(tài)新發(fā)展

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會(huì)上，軟通動(dòng)力信息技術(shù)（集團(tuán)）股份有限公司（以下簡稱"軟通動(dòng)力"）與長三角投資（上海）有限...

關(guān)鍵字： BSP 信息技術(shù)