SOA安全解决方案:不断发展的四种模式

您如何才能将各种产品组合到满足当今需求的SOA安全解决方案中,并为未来的需求留出一条道路? Forrester的Randy Heffner分享了四种广泛的解决方案模式。

面向服务的体系结构(SOA)的最简单,最常见的安全性方法是通过虚拟专用路由路由服务请求 网络(VPN)。这可以为简单的粗粒度需求提供足够的安全性,并且可以与SOAP,REST和非Web服务一起使用 协议,即使对于许多外部集成方案也足够了。但是,并非所有安全方案都是简单的,并且满足更复杂的需求 以及细粒度的SOA安全性,架构师必须做更多的规划和设计。为以下方面制定全面的策略和架构 SOA安全性,架构师必须考虑各种各样的安全性要求,业务场景和应用程序基础架构, 将多个产品,标准和定制组件组合在一起,形成一个灵活而强大的SOA安全解决方案。

[有关数据中心策略的及时数据中心新闻和专家建议,请参见CIO.com的 数据中心明细 部分。 ]

至少10个产品类别可以在SOA安全体系结构中发挥作用,并且它们之间存在主要的功能重叠领域。的 SOA和Web服务安全规范的构建块结构意味着架构师必须仔细计划要使用的规范 以及何时使用它们。具有不同安全性要求的业务场景可能需要规格和产品的不同组合。 更加复杂的是,标准和规范仍在日趋成熟,因此,几乎没有行业经验,缺乏最佳实践。 许多规格。架构师可能面临其他挑战,包括多样化的SOA基础架构,多种SOA消息交换 模式,跨多个环境联合安全性的需求以及在一项服务调用另一项服务时跨层传播身份的需求。 更不用说组织冲突,成本和体系结构治理困难等常见问题。

由于这些复杂性,很少有人能够承担起投资来构建可解决所有问题的完整而全面的SOA安全解决方案的费用。 未来的需求,这意味着架构师的最终挑战是随着时间的推移发展一个全面的解决方案。协助追求增量 的方法,这是四个广泛的解决方案模式的连续体,这些模式展示了如何将各种产品组合到当今的SOA安全解决方案中 需求以及当今的解决方案如何为明天的需求开辟道路。

方案1:简单VPN在短时间内提供基本解决方案

作为一个共同的起点,一些SOA用户有立即发生的情况,要求他们快速找到可以接受的情况-即使 次优— SOA安全解决方案。在这些情况下,仅使用传输级安全性来保护SOA请求和响应。用 SOAP和REST,通常是通过双向安全套接字层(SSL)来完成的。使用VPN连接,甚至可以通过公共请求 互联网是机密和安全的。通常,简单的VPN方法使用隐式授权:允许通过VPN发出的任何请求 访问可用的服务。尽管简单的VPN可以支持识别单个用户,但是由于管理上的原因,这种情况很少见 为每个用户管理证书的开销。通常将简单的VPN配置为服务之间的直接传输级连接 客户平台和服务平台,可以是应用程序服务器或简单的Web服务器环境。在Forrester调查中, 三分之二的SOA用户表示,仅使用简单的VPN是其SOA安全库中的重要选择。

方案2:基于应用程序服务器的审核和合规性要求

连续体的中间部分分为两种方法,即单一中间方法和基于应用程序服务器的方法,每种方法都可以 处理单个用户的身份验证和授权。基于应用服务器的方法基于服务中的SOA安全功能 实施平台(例如,应用程序服务器,集成服务器,打包的应用程序和软件即服务)。通过允许服务 平台基于实际最终用户维护安全上下文,此方法有助于实施高级授权策略。它 还允许审核日志记录实际的最终用户服务请求活动,这对于详细审核和隐私遵从性很重要 和其他法规。尽管它的优点是不需要为新的SOA专用产品提供现金支出,但是如果有多个平台,则 所需的配置和集成工作可能导致解决方案的工作时间成本等于或超过购买和配置SOA的成本 specialty products.

基于应用服务器的SOA安全性通常会使用简单的VPN连接作为基础。这种情况的可能扩展 包括使用来自单点登录或身份管理环境的SOA或应用程序服务器安全性插件,以提供一致的 应用程序服务器上的SOA服务与身份管理产品控制的其他应用程序资产之间的安全性。

方案3:单一中介整合安全处理

连续过程中间的另一面是单一中介方法,该方法将SOA安全功能集中到策略中 位于一个服务实现平台前面的执行点。这简化了SOA安全性,提供了一个解决方案(包括 可以在任何和所有SOA服务之间提供安全性的中介机构及其管理工具(至少对于消息格式和 中介支持的协议)。但是,在这种方法的纯实现中,服务平台实质上会关闭用户级SOA。 安全性功能支持对所有SOA安全性信任中介。中介可能由几种不同的产品提供 类别包括SOA设备,SOA管理解决方案,企业服务总线(ESB),以集成为中心的业务流程 管理套件(IC-BPMS)或专用SOA安全产品。

单一中介方法也可以使用简单的VPN连接作为基础。中介机构处理所有SOA安全性 加工因此,服务平台不需要具有任何特定的SOA安全支持,从而使该解决方案可以支持多种 服务平台范围。

方案4:代理,分层,联合提供了全面的SOA安全性

在连续过程的最高级端,SOA安全解决方案已跨多个服务调用深度集成,从而确保了 每个服务平台都可以访问用户的身份,并且支持联合身份验证和令牌交换等高级安全方案。今天, 很少有公司能近似这种解决方案。但是,随着SOA安全解决方案,标准和产品的成熟以及隐私和财务的发展 法规变得更加严格,先进的SOA安全解决方案(在财务和技术上)将变得更加可行,实际上, 在某些情况下是强制性的。代理的,分层的,联合的SOA安全解决方案将使用多种标准,集成多种产品以及 很可能需要定制集成才能将所有组件整合在一起。

为了说明您的SOA安全策略随着时间的变化,请尽可能简化设计之间的一致性。 SOA安全模式和更复杂的模式。尽管您的组织可能习惯于进行安全性折衷以避免费用 在高级代理,分层,联合安全策略中,高级策略将变得更容易实现且更具强制性 随着SOA安全性的成熟和网络安全性要求的提高而加班。

兰迪·赫夫纳是Forrester Research的副总裁,为企业架构专业人士提供服务。他是 架构和设计方法来构建企业应用程序,这些应用程序在面对持续的业务和 technology change.

在Twitter上关注CIO.com的所有内容 @CIOonline.

有关:

版权© 2009 IDG通讯,Inc.