SOA安全噩夢何時休？

時間：2009-04-21 05:38:34

關鍵字：加密 PCI 防火墻電子

手機看文章

掃描二維碼
隨時隨地手機看文章

[導讀]SOA為那些要實施跨部門、跨系統(tǒng)和跨企業(yè)集成的公司創(chuàng)造了巨大的機會。集成能夠幫助簡化商業(yè)流程、提高產(chǎn)品上市的時間、使企業(yè)對業(yè)務、共享的數(shù)據(jù)和服務中的變化更快地做出反應。例如，正確建立的SOA架構能夠讓一個電

SOA為那些要實施跨部門、跨系統(tǒng)和跨企業(yè)集成的公司創(chuàng)造了巨大的機會。

集成能夠幫助簡化商業(yè)流程、提高產(chǎn)品上市的時間、使企業(yè)對業(yè)務、共享的數(shù)據(jù)和服務中的變化更快地做出反應。例如，正確建立的SOA架構能夠讓一個電子商務網(wǎng)站與自己的供應商、分銷商、信用卡公司和消費者無縫地集成在一起。在一個客戶下訂單之后，系統(tǒng)將自動編排大量的信息，不須要在每一次登錄時都詢問用戶或者系統(tǒng)。

SOA還允許企業(yè)在不放棄和不更換老式系統(tǒng)的情況下通過抽象化某些商業(yè)流程、服務或者數(shù)據(jù)來重新煥發(fā)這些老系統(tǒng)的青春。企業(yè)能夠利用它們對現(xiàn)有的老式系統(tǒng)的投資，同時建立無縫地與老系統(tǒng)集成在一起的新系統(tǒng)。

對于最終用戶來說，這是涅槃。對于安全部門的人來說，這是他們最糟糕的噩夢。

集成的負面影響

上面提到的SOA的好處伴隨著在安全、隱私和遵守法規(guī)方面的很大風險。對于那些輕松地把防火墻后面和防火墻外面的其它服務集成在一起的服務來說，它們必須是可發(fā)現(xiàn)的和容易轉(zhuǎn)變的。許多SOA實施使用Web服務。Web服務使用WSDL(Web服務說明語言)說明如何啟用這個服務。UDDI(統(tǒng)一描述、發(fā)現(xiàn)和集成)是一種標準，通常與Web服務一起使用，允許發(fā)現(xiàn)和提取服務。SOA中常用的另外兩個標準是XML(可擴展標記語言)和SOAP(簡單對象訪問協(xié)議)。XML是一種自我說明格式，包含明文形式的信息，而SOAP是交換基于XML的信息的協(xié)議并且以明文提供重要的信息。雖然這些標準讓企業(yè)更容易地集成服務，但是，如果沒有適當?shù)陌踩胧?，它也會把這個王國的鑰匙交給黑客。

許多老式的系統(tǒng)的構造從來都不是要暴露給外部的，特別是不能暴露給防火墻外部的系統(tǒng)。現(xiàn)在，采用SOA之后，由于SOA的可發(fā)現(xiàn)的和自我說明的性質(zhì)，黑客能夠訪問他們以前無法接觸的系統(tǒng)和數(shù)據(jù)。

企業(yè)中的挑戰(zhàn)

業(yè)內(nèi)人士向許多架構師、廠商、培訓師和安全專家提出了一個簡單的問題：你認為在實施SOA的時候架構師需要解決的最大的安全風險是什么？這個問題的答案有如下幾類：

機構中缺乏對這種風險的嚴重的認識和知識。

在服務、系統(tǒng)和企業(yè)之間傳播證書。

監(jiān)視、審計和強制執(zhí)行政策的能力。

缺乏認識和知識

重要的是企業(yè)架構師要得到適當?shù)呐嘤?，這樣他們就能夠很好地理解SOA以識別這種風險。許多SOA計劃都是企業(yè)架構師小組從技術的觀點推動的。如果架構師不熟悉風險和其它問題，他們不僅不知道需要建立什么來這個服務的安全，而且他們還不知道在什么時候引進安全和審計專家。安全需要提前建立，不應該在事后建立。把安全建在每一個服務中對于每一項服務的性能和可維護性可能是一個負擔。安全應該作為一套核心的服務實施，允許集中管理和維護安全。此外，管理層必須理解這個風險并且提供適當?shù)闹С趾唾Y金以便有效地保證企業(yè)的安全。

傳播證書

許多服務是“無頭的”，也就是說這些服務沒有相關的用戶接口。這些服務是通過啟動其它服務并且由其它服務啟動的，而且必須要把證書按照順序從頭到尾不間斷傳遍整個系統(tǒng)。更有挑戰(zhàn)性的是一個信息可能包含為多個服務用戶提供的XML數(shù)據(jù)。

以一個電子商務網(wǎng)站為例，一個訂單能夠引發(fā)一個包含提供給一個供應商、分銷商和信用卡公司的XNL數(shù)據(jù)，每一方都有不同的安全要求。只有信用卡公司有權訪問這個信用卡信息(信用卡信息應該按照PCI的要求加密)。供應商需要知道什么產(chǎn)品和在目錄的什么地方。分銷商需要知道有關產(chǎn)品和發(fā)貨地址的信息。因此，你從這個例子可以看出，過去簡單地使用SSL的日子是不夠的。在這個例子中，同樣的信息要同時發(fā)給三個不同的公司并且不需要任何一家公司登錄。許多公司采用WS-*標準(如Ws-Security、WS-Trust、WS-Federation、Ws-Policy等)來解決這些風險。

最佳做法包括XML加密，使用公共密鑰和/或者令牌，政策驅(qū)動的安全方法，而不是采用硬編碼。但是，在建立這些最佳做法的時候，事情會變得更加復雜。XML加密可以造成性能下降，從而產(chǎn)生XML設備/加速器的需求。政策驅(qū)動的安全需要用于更新、維護和審計安全政策的工具。這將把我們帶到下一類問題...

審計、監(jiān)視和強制執(zhí)行政策

許多回答這個問題的人強調(diào)了對于所有的服務的端對端的監(jiān)視和審計重要性。說把適當?shù)陌踩胧┙ㄔ谶@個架構中是一回事。證明這個事情是另一回事。

把安全建成一種服務的架構師需要從審計和管理規(guī)定的角度考慮這種需求。我們有SOX、HIPAA、PCI和許多其它的法規(guī)。有時候，這些法規(guī)是相互沖突的。例如，SOX要求我們存儲有所有關金融交易的一切記錄，而PCI法規(guī)要求我們不能用明文存儲信用卡號碼。而且我們同時還必須把信用卡號碼信息傳送給金融機構。要實現(xiàn)這個目的，企業(yè)的所有種類的加密和其它加密措施都要進行審計。要通過這些審計，我們必須記錄每一個服務電話的正確的信息級別，向各種審計人員和管理部門提供一種方法，證明我們是遵守它們的規(guī)定的。一次糟糕的交易就會讓審計失敗。

一個大的挑戰(zhàn)是外部服務用戶以意想不到方式適應了某些服務。必須要有預見性地監(jiān)視服務的消費以便識別出出人意料的不符合安全政策的用戶，在災難性結果出現(xiàn)之前迅速達成一個解決方案。最后，我們必須保證正確的數(shù)據(jù)在正確的時間交給正確的人。

我們能做什么？

有兩件事情能夠緩解這種風險。第一是提高認識。投資進行培訓和培訓每一個人，不僅僅使培訓開發(fā)人員。管理層需要高水平的培訓課程，而架構師、安全專家、審計師、開發(fā)人員、測試人員、商業(yè)分析師和其他人需要針對他們需求的培訓。

第二，安全是每一個人的責任，不僅僅是企業(yè)架構師和安全架構師的責任。機構要全力保證企業(yè)的安全。業(yè)內(nèi)人士建議企業(yè)雇用有經(jīng)驗的SOA安全人員或者雇用一個顧問把這個知識傳授給機構內(nèi)部的安全部門。