作 者:chlvud
面向服务的体系结构(SOA)使安全决策变得复杂,原因在于,作为最终应用的许多移动部件,必须在模块程序中集成。因此,IT和安全人员在SOA计划实施之初就需要密切协调,才能保证其实现机密性、完整性和可用性。
对于一些组织机构和IT管理者而言,利用分布式计算,如SOA和集成式Web服务,意味着对设计的复杂性和安全性要求更高。
随着计算进一步趋向分布式,以及新型威胁和有组织的互联网犯罪的增多,开放式标准在制定和更好地利用有效的安全措施等方面起着重大的作用。除此之外,如何在管理层次以及安全对策、程序和相关工作中利用这些标准,来提高内部员工的安全意识、促进业务伙伴访问企业服务、监测网络所面临的威胁也是至关重要的。
本文探讨了SOA面临的安全挑战,安全标准制定取得的进展,以及安全标准在扩展时可能遇到的问题。
SOA使安全决策难度大
面向服务的体系结构从本质上说是一种由元数据和XML(可扩展的标记语言)一类的标准数据结构协议生成的应用程序。SOA所面临的安全问题与应用其他任何分布式系统时所遇到的安全问题是相同的,即如何确保机密性、完整性和可用性。
SOA虽然在某些方面使安全简化,但是在其他方面却使安全问题变得复杂。业界人士认为,由于在基础设施中使用了XML一类的数据结构通用协议、IP通信协议和通用操作系统,因此SOA有助于简化某些安全决策;但在模块程序中,由于许多移动部件作为最终应用要集成在一起,因此使安全决策变得复杂。
启动开放性安全标准
分布式系统安全业务的开放性标准,如SAML(安全断言标记语言)、XACML(可扩展访问控制标记语言)和Web服务安全标准,已被OASIS(结构化信息标准促进组织)所采用。业界认为,新的SOA和分布式系统标准能够有效提升安全性。
可用性和可复用性要求采用更新、更灵活的标准,即用于联合等同的SAML、精确访问控制的XACML、性能先进的SOA应用的WS安全标准。据称,SAML现在包括若干基于实时应用环境的新文档,并将融进更多的新文档。目前,推广应用SAML的成功者为数不少。某些政府也正在推广应用,其用户多达数千万。
Web服务安全标准的制定工作已经基本完成。可以预计的是,如果用户进行相对简单的通用数据存取,他们将可以顺利完成这一过程。如果Web服务安全标准复杂或者实施起来比较困难,那么用户可能就会遇到某些互操作性的问题。不过,等同联合的交替模块(包括Web服务联合和开放ID)能够解决这些问题。
改编新标准引争议
OASIS技术委员会正在编写一套扩展式Web服务安全对策样本。这套对策比较复杂,并且还没有在实际中应用过。
OASIS数字签名业务扩展(DSS-X)技术委员会正在制定标准的XML框架,用来管理机构之间的身份信息和系统资源及其分配。业界人士认为,XML标准框架有利于管理身份信息和系统资源。不过现在的问题是必须推出和测试能互操作的产品,并部署和测试实时应用环境。
尽管为SOA指定的各种安全标准的制定还存在着种种障碍,但是把这些标准融入SOA以及将其大量应用于工业进程的工作正在进行中。
互操作性问题
Web服务常常作为应用互操作性的理想解决方案,而且对于与平台、销售商和编程语言无关的综合应用也是非常有效的,它们不受互操作性问题的影响。因此,大多数互操作性问题并非来自于成熟稳定的Web服务规范,而是来自各种Web服务规范的扩展和Web服务安全标准的一系列扩展。随着这些标准的扩展,销售商必须选择所要支持的规范草案,开发商有时需要协商解决不同规范之间的不兼容问题。
SOA倾向于模块化设计
业界认为,SOA即使只作为实现模块设计的手段,其优点也非常突出。用SOA设计的模块就是将应用程序的不同功能单元(称为服务)通过这些服务之间定义良好的接口和契约联系起来。接口是采用中立的方式进行定义的,这使得构建在各种这样系统中的服务可以采用一种统一和通用的方式进行交互。这是一种松散藕合的接口方式,其易损性比内部数据结构之间基于代码的交互作用低得多。其优点与面向对象的设计非常相似,甚至更胜一筹。
SOA内部模块化并不会引发安全问题,因为它不会将新的功能暴露给其他系统或外部机构。但是,代码库的重复使用和开放可存取性却存在着危险性,即通过与用户和供应链上的合作伙伴所建立的业务接口,可能暴露新的服务功能。当这种情况发生时,预定的服务供给可能中断,给企图扩展权限和进行服务攻击不怀好意者留下路径。
任何一种安全标准或所支持的标准总数,都不足以评估SOA或Web服务平台的效能。因此,对安全标准的支持并不就意味着安全。在许多情况下,安全标准只是定义了让各种服务模式能彼此互操作的框架,实际上它并不等于任何一种特殊服务模式都能良好运行。
即使完全按照Web服务安全实施办法,服务仍可能因为使用弱密码、受简单的密约管理,或者数据库未加密而出现不安全的情况。应当说安全是一种实际应用状态,而不仅仅是一系列所支持的标准。
SOA通过分布式系统的开放性标准以及模块化设计来提供安全的Web服务。
动态
●Juniper推UAC2.1方案Juniper网络公司近日推出统一访问控制UAC 2.1安全解决方案。这项解决方案提供了先进的网络保护、应用可见性和监控、简化网络访问控制安装,有效遵循相关规定,同时降低风险,满足不断发展的访问控制及高性能业务的安全要求。
●金山捕获新病毒金山公司近日发现新病毒,该病毒的作者借病毒来发布寻人启示,自行修改文件夹选项,同时会关闭任务管理器,如果不隐藏运行,则不断弹出恶意代码。为此,金山毒霸反病毒应急中心建议用户及时更新病毒库。
●CheckPoint推网关新功能Check Point软件技术有限公司近日宣布,其企业安全网关将Check Point的SmartDefense?与入侵防御技术相整合,可以阻止企业员工使用个人VoIP应用程序Skype v3.5,协助企业更好地管理,降低因其员工使用自行下载及自用程序所带来的安全风险。
●垃圾邮件利用PDF漏洞攻击反病毒厂商F-secure近日发现一种利用最近一个AcrobatReader处理PDF的漏洞进行攻击的垃圾邮件。这种垃圾邮件通常以“你的信用记录”、“个人财务信息”之类的标题作为主题,内容空白,并携带一个文件名为Report.pdf的文档,这个文档如果不小心被用户开启后,会从一个位于马来西亚的服务器上下载并安装恶意软件。
●趋势科技将收购Provilla趋势科技近日宣布将收购内容安全厂商Provilla。Provilla是领先的数据泄漏防护产品厂商,主要生产基于指纹识别的数据泄漏防护智能终端方案。收购完成后,Provilla将作为趋势科技美国分公司下属的子公司存在,并为趋势科技的多层内容安全方案提供支持。
●RSA推SecurIDSoftwareToken 安全厂商RSA近日推出了支持Symbian OS平台的SecurID Software Token产品,Symbian OS是当前流行的移动电话操作系统,而SecurID Software Token属于双因素身份验证产品,这表明了RSA的软件Token产品再次扩展到更大范围的移动平台上,同时为企业使用RSA软件Token降低了成本和门槛。