SOA安全的最簡單和最常用的方法是在虛擬專用網(wǎng)上傳送服務(wù)請求。這為簡單的、粗顆粒的請求提供了充分的安全。它兼容SOAP、REST和非Web服務(wù)協(xié)議，甚至對于許多外部的集成情況都是非常充分的。不過，并非所有的安全情況都是簡單的。對于更復(fù)雜的需求和精細的SOA安全，設(shè)計師必須進行大量的規(guī)劃和設(shè)計。

SOA安全的最簡單和最常用的方法是在虛擬專用網(wǎng)上傳送服務(wù)請求。這為簡單的、粗顆粒的請求提供了充分的安全。它兼容SOAP、REST和非Web服務(wù)協(xié)議，甚至對于許多外部的集成情況都是非常充分的。不過，并非所有的安全情況都是簡單的。對于更復(fù)雜的需求和精細的SOA安全，設(shè)計師必須進行大量的規(guī)劃和設(shè)計。為了制定一個全面的戰(zhàn)略和SOA安全架構(gòu)，設(shè)計師必須考慮安全要求、業(yè)務(wù)狀況和應(yīng)用程序基礎(chǔ)設(shè)施的廣泛的多樣性，把多種產(chǎn)品、標準和客戶化制作的組件結(jié)合到一個靈活的和強大的SOA安全解決方案。

至少有10種產(chǎn)品種類能夠在SOA安全戰(zhàn)略中發(fā)揮作用并且這些產(chǎn)品存在功能重疊的地方。SOA的構(gòu)件結(jié)構(gòu)和Web服務(wù)安全技術(shù)規(guī)范意味著設(shè)計師必須認真規(guī)劃他們將使用哪一種技術(shù)規(guī)范和什么時候使用這個技術(shù)規(guī)范。擁有不同安全要求的業(yè)務(wù)情況也許需要不同的技術(shù)規(guī)范和產(chǎn)品的組合。標準和技術(shù)規(guī)范仍在成熟之中，這進一步增加了復(fù)雜性。因此，這個行業(yè)還缺少許多技術(shù)規(guī)范的最佳做法。設(shè)計師也許面臨額外的挑戰(zhàn)，包括分散的SOA基礎(chǔ)設(shè)施、多種SOA消息交換方式、把多個環(huán)境的安全統(tǒng)一起來的需求以及在一個服務(wù)呼叫另一個服務(wù)時在多個層次上傳送身份識別的需求。這還沒有提到一些常見的問題，如機構(gòu)之間的摩擦、成本和架構(gòu)治理的困難等等。

由于這些復(fù)雜性，幾乎沒有企業(yè)承受得起建立一個完整的和全面的SOA安全解決方案的前期投資。這些SOA安全解決方案將解決所有未來的需求。這意味著設(shè)計師的最終挑戰(zhàn)是要隨著時間的推移逐步總結(jié)出一個全面的解決方案。為了幫助執(zhí)行這個逐步增強的方法，這里有四個廣泛的解決方案方式。這些方式表明如何把不同的產(chǎn)品結(jié)合為一個SOA安全解決方案以滿足目前的需求以及表明目前的解決方案如何為未來的需求開辟一個道路。

方案1：簡單的虛擬專用網(wǎng)在短時間內(nèi)提供一個基本的解決方案

作為一個共同的起點，一些SOA用戶有一些直接的方案，要求他們迅速找到一個可接受的、即使是不理想的SOA安全解決方案。在這些情況下，SOA請求和回應(yīng)僅使用傳輸級安全進行保護。采用SOAP和REST協(xié)議，這個工作一般是通過雙向SSL(安全套接層)完成的。采用虛擬專用網(wǎng)連接，甚至在公共互聯(lián)網(wǎng)上的請求也是保密的和安全的。簡單的虛擬專用網(wǎng)方法通常使用明確的身份識別：任何通過虛擬專用傳送的請求都允許訪問可用的服務(wù)。雖然一條簡單的VPN線路支持單個用戶的身份識別，但是，這種應(yīng)用是很少的，因為管理每一個用戶的證書管理成本太高。一條簡單的虛擬專用網(wǎng)線路通常配置為這項服務(wù)的用戶平臺與這個服務(wù)平臺之間的一條直接的傳送級連接。這個服務(wù)平臺也許是一臺應(yīng)用服務(wù)器或者是一個簡單的Web服務(wù)環(huán)境。在Forrester進行的一項調(diào)查中，三分之二的SOA用戶說僅僅使用一條簡單的虛擬專用網(wǎng)線路是他們SOA安全武器庫中的一個重要選擇。

方案2：根據(jù)應(yīng)用服務(wù)器完成審計和遵守法規(guī)的要求

這個連續(xù)的統(tǒng)一體的中間分為兩種方法，一種是中間的方法，另一種是基于應(yīng)用服務(wù)器的方法。這兩種方法中的每一個方法都能夠處理身份識別和單個用戶的授權(quán)。這種基于應(yīng)用服務(wù)器的方法是在服務(wù)實施平臺中的SOA安全功能的基礎(chǔ)上建立起來的。通過允許服務(wù)平臺根據(jù)實際的最終用戶保持安全環(huán)境，這種方法使實施高級的身份識別戰(zhàn)略更加方便。這種方法還允許審計登記記錄實際的最終用戶服務(wù)請求活動。這對于詳細的審計和遵守隱私和其它規(guī)定是非常重要的。雖然這有不要求對新的SOA特殊產(chǎn)品進行現(xiàn)金投資的優(yōu)勢，但是，如果一個企業(yè)有多個平臺，配置和集成工作也許會使這個解決方案的工作時間成本相當于或者甚至超過購買和配置SOA專業(yè)產(chǎn)品的成本。

基于應(yīng)用服務(wù)器的SOA安全通常使用一種簡單的虛擬專用網(wǎng)連接作為基礎(chǔ)。這種方案的一種可能的擴展也許包括使用一種SOA插件或者來自單一登錄或者身份識別管理環(huán)境的應(yīng)用服務(wù)器安全插件以便提供一臺應(yīng)用服務(wù)器和由身份識別管理產(chǎn)品控制的其它應(yīng)用資產(chǎn)之間的一致的安全性。

方案3：單個的直接的整合安全流程

這個連續(xù)的統(tǒng)一體中間的另一邊是單個的直接的方法。這種方法把SOA安全功能重點放在位于服務(wù)實施平臺前面的強制執(zhí)行政策點上。這種方法簡化了SOA安全，提供了一個單一的解決方案(包括中間的和管理的工具)。這些工具能夠提供所有的SOA服務(wù)的安全(至少對于消息格式和中間軟件支持的協(xié)議是如此)。然而，在單純地實施這種方法的過程中，服務(wù)平臺實際上將關(guān)閉SOA安全功能以支持可信賴的所有的SOA安全的中間軟件。這種中間軟件也許由幾種不同種類的產(chǎn)品提供，包括SOA設(shè)備、SOA管理解決方案、企業(yè)服務(wù)總線、以集成為中心的業(yè)務(wù)流程管理套裝軟件或者專業(yè)的SOA安全產(chǎn)品。

一個單個的中間軟件的方法也許還使用一個簡單的虛擬專用網(wǎng)連接作為基礎(chǔ)。這種中間軟件處理所有的SOA安全流程。因此，不要求服務(wù)平臺擁有任何具體的SOA安全支持。這將允許這個解決方案支持廣泛的服務(wù)平臺。

方案4：由經(jīng)紀人安排的、分層次的、統(tǒng)一的提供全面的SOA安全

在這個連續(xù)的統(tǒng)一體的遠端，SOA安全解決方案深入地集成到服務(wù)電話的多個層次中，以保證每一個服務(wù)平臺都能夠訪問用戶的身份，支持聯(lián)合和令牌交換等高級的安全方案。目前，甚至沒有幾家公司接近這種類型的解決方案。然而，隨著SOA安全解決方案、標準和產(chǎn)品的成熟，以及隨著隱私和金融法規(guī)越來越嚴格，高級的SOA解決方案將更可行(在財務(wù)上和在技術(shù)上都更可行性)，甚至?xí)霈F(xiàn)一些強制執(zhí)行的方案。由經(jīng)紀人安排的、分層次的、統(tǒng)一的SOA安全解決方案將使用多種標準，集成多種產(chǎn)品并且很可能需要客戶化的集成以便把所有這些功能結(jié)合起來。

為了說明你的SOA安全戰(zhàn)略的發(fā)展，你要盡可能在設(shè)計中讓比較簡單的SOA安全方式與更復(fù)雜的方式統(tǒng)一起來。雖然你的機構(gòu)已經(jīng)適應(yīng)了在安全上做出讓步以避開由經(jīng)紀人安排的、分層次的、統(tǒng)一的安全戰(zhàn)略的成本，但是，隨著SOA安全的成熟以及網(wǎng)絡(luò)安全需求的增長，更高級的安全戰(zhàn)略將更容易獲得和更強制地執(zhí)行。
 

【編輯推薦】

1. 四種解決方案模式保證SOA安全
2. 面向服務(wù)體系架構(gòu)的SOA安全
3. SOA也要安全服務(wù)