Saugatuck Technology公司的West在去年发布的研究报告中写道,传统的应用安全机制“在
SOA下毫无成效、使用不便”,因为针对不同应用,身份和访问权限(包括密码和特权)也大不相同。
事实证明,单次登录在大企业环境下还不具有扩展性; 要是运用到横跨多个业务合作伙伴的
SOA环境下,单次登录会因隐私和竞争问题而变得更为复杂。
相对来说问题不大的是联合身份管理方案,它的工作方式是,信任安全声明来源,并使用安全声明标记语言(SAML)。West写道,对访问控制信息的请求可以编入到浏览器请求或者加入到Web服务事务中。他说: “这样一来,身份管理服务器可为应用所响应的用户生成有关身份和权限的声明。应用、服务或者‘封装起来的’服务接口就不需要访问目录或者信任单个用户,因为它只要知道及信任安全声明和声明来源即可。”
West认为在众多业务合作伙伴、客户和非员工之间传输数据时,
SOA有着自己特有的漏洞,需要在企业内外多个方面加强管理。
Mengerink显得比较乐观,他说,部署
SOA之后,安全实际上变得容易了。不过这仅仅是相对于PayPal在保护网上支付时面临的巨大任务。他强调,PayPal的
SOA是完全为了开发人员而提供的。
他说: “我们在网上的受攻击面实在太大了。现在‘你只要在我们网站上进行注册、输入名字,我们就知道你是谁,会给你一个特殊令牌,然后允许你与我们进行对话’,这就建立了一条非常狭窄的联系通道,外人无法窥视,因而安全大大提高。不然谁都可以上
www.PayPal.com网站开始攻击。”
6、SOA有哪些“阴暗面”? 安全显然至少给一部分部署
SOA的IT主管带来了挑战,不过安全不是在构建面向服务的架构时会发现的惟一一个“阴暗面”。据Fulton声称,
SOA的其中一个“阴暗面”是,很难提供数据的统一视图,也很难访问多个业务服务上的数据。
原有软件可以重复用于新的业务流程是很好,但同时暴露了大多数企业的一个致命弱点: 它们的客户数据会随着时间而发生变化。
Fulton举了个例子: 五年前,有线电视公司只要向客户居住的公寓或者房子寄送账单,对方就能收到。而如今,客户可以在多个地方收到账单。这只是很小的变化,可是原有应用对此束手无策。所以,可以操纵服务的所有构建模块来迅速做事,但一定要弄清楚如何统一数据。人们仍在为解决这个问题而努力。”
他说,目前大约有15家开发商在提供成熟的ESB,不过业界在管理数据方面的技术还不太成熟。
很难获得新
SOA项目所需的资金是另一个潜在的不利因素。Kumar说,就算从长远来看,
SOA确实能够为公司节省费用,还是很难说服掌控预算的人把眼光放远些。
他说: “现在的整套做法是按照具体的项目来进行拨款的。每个项目都要证明各自的投资回报。现在,我们让人们对
SOA引起了注意,不过还是很难让财务人员明白不能着眼于单个项目的道理。”
Hurwitz声称,
SOA的“阴暗面”就是“它根本不关技术”。她说,引起问题的是开发这项技术的人员,如果他们没有与公司的业务人员进行协作,或者没有考虑公司其实需要哪些服务,更是如此。
她说: “要是你构建了1万项业务服务,它们可能过于细化了,所以很难使用。这不会给你带来多大的帮助。阴暗面就是没有把它做好。”
Fulton则认为称“阴暗面”为 “影响面”更合适和中性一些。比如其中一个影响就是,需要购买技术来支持
SOA; 另一个影响就是,要是有人认识到面前有众多产品要选择,就会产生混淆。
他说: “现在市面上有ESB、
SOA管理产品、管理Web服务的产品、用于Web服务的硬件加速设备以及网关等等。问题在于‘我到底需要什么?’当然,实际答案是‘这还要看具体情况’。不过许多人说‘告诉我要买哪些东西,那样可以开始构建
SOA’。这恐怕是对待
SOA的糟糕至极的态度,因为你最后可能把钱浪费在了不会充分利用的东西上。”
(c112)
|
服 务 CIO 推 进 信 息 化 
