安全性是较为宽泛的概念,涉及到从端点(服务器和最终用户的PC等)到核心的所有网络层。有观点认为既然SOA是应用级实施,那么只需确保应用服务器和端点提供适当的验证和授权功能以及端到端的安全传输(如SSL)即可。Juniper网络公司中国区总经理张小琳认为,这种认识比较片面,SOA须在四个方面打造安全性。
网络安全性
谈到网络安全性,张小琳认为,业内首先想到的是防火墙。然而,随着端口80/443传输越来越多的web流量,基于L3/4防火墙的传统网络安全方法虽然仍有存在的必要,但却不足以提供全面的保护。需要深层检测并保护这些端口中的流量。因此,必须部署入侵检测与防御专用的应用层安全产品来补充网络防火墙。这些产品可检测到恶意用户或恶意代码(如蠕虫)创建的模式(攻击签名)或异常流量及协议,以防它们利用应用的安全漏洞,从而在攻击到达目的地之前阻断它们。
访问安全性
张小琳表示,远程访问是企业应用中的关键组件。移动用户(包括内部员工、顾问、业务伙伴和客户)需要安全而轻松地访问企业应用,包括互联网上的SOA应用。通过VPN和SSL加密线路来连接企业应用现已成为业界标准,用于确保安全地访问面向公众的应用。业界正在朝着SSLVPN迁移并在SSLVPN上实施技术标准化,以便获得更高的灵活性和粒度更细的控制。使用JuniperSA系列等最新的SSLVPN网关解决方案,管理员将能够利用SSLVPN细粒度的应用、文件和URL级访问控制功能以及客户端安全保护功能,以便基于用户身份和客户端点安全评估结果(使用主机检查器等技术完成)动态控制应用访问。这将使企业能够使用SSLVPN在各种情况下安全地设置访问控制机制。
端点安全性
不仅是远程端点需要安全保护,在办公室外围访问SOA应用的端点也需要适当的安全保护。例如,员工可绕过所有的外围防御措施,将染毒的笔记本电脑轻松带入办公室。这些受感染的设备可发动web服务器攻击并中断网络中web服务的运行。
张小琳认为,端点安全策略执行不当是造成近期大量蠕虫和威胁泛滥的罪魁祸首。缺乏直接控制以及未能合理地执行端点策略使企业屡遭安全威胁,包括最新的防病毒保护机制、主机入侵防御机制、可接受的软硬件配置以及限制程序的运行等。
数据中心安全性
无论是否正在使用SOA,数据中心都需要通过防火墙和IDP等技术得到适当保护。张小琳表示,如果SOA大量使用web服务交易,将带来更繁重的SSL加密负担(https)。在加密/解密以及对SSL交易进行密钥处理时,将生成大量的CPU处理杂务,对CPU利用率产生负面影响,进而影响性能和可扩展性。JuniperDX等SSL卸载产品能够解决可扩展性问题并加密整个应用交易。对于需要端到端加密的环境,SSL产品能够从客户端加密/解密连接,还能重新加密与后端服务器之间的连接,这对负载平衡器和广域网加速器等需要纯文本数据才能运行的其它网络服务至关重要。
张小琳表示,总而言之,SOA的安全风险同时来自内外部。企业中使用Web服务进行互操作的系统对于内外部攻击的防御能力越来越差。当这些系统使用的Web服务由供应商和业务伙伴等外部机构提供时,SOA和web服务的部署工作将变得更加复杂。因此,应全面考虑上述所有因素并谨慎部署最新的安全解决方案,如应用级防火墙、IDP、SSLVPN和SSL卸载产品等,以便为企业中的SOA环境提供安全保护。
