SOA加重企業(yè)的安全風(fēng)險？

申請免費試用、咨詢電話：400-8352-114

面向服務(wù)架構(gòu)(Service-Oriented Architecture，SOA)向第三方團體敞開了你的系統(tǒng)的大門，因此增加了你要面對的系統(tǒng)漏洞。但是分析家稱SOA并沒有引入多少新的安全風(fēng)險，而只是加重了已有的安全風(fēng)險。

由于引入了對第三方應(yīng)用程序開發(fā)和運作的更大的信任，人們認(rèn)為面向服務(wù)的體系架構(gòu)(SOA)改變了企業(yè)的安全平衡。但是根據(jù)Gartner公司負(fù)責(zé)信息安全和隱私的管理副總裁Ray Wagner表示，這只是一個程度的問題，而不是帶來了一個全新的安全問題。

一、外部服務(wù)安全問題

舉個例子來說，一個SOA應(yīng)用程序可能會依靠一個基于Web的第三方服務(wù)來提供重要的功能和服務(wù)，這具有非常明顯的安全問題。但是這種問題在企業(yè)用戶激活了微軟的自動更新時就已經(jīng)存在了。

從根本上說，這是一個信任的問題，你決定是否信任微軟來發(fā)送給你好的程序。然后你的計算機通過使用像哈希和數(shù)字簽名之類的加密操作，來確認(rèn)它已經(jīng)收到微軟發(fā)送的內(nèi)容。

SOA可能會大大增加使用外部服務(wù)的次數(shù)。一個小時進行數(shù)百次這樣的交互，可能意味著會影響你的計算機的運算負(fù)載，但是它真的只是一個度的改變，而不是性質(zhì)上的改變。

正常的值得信賴的合作伙伴可能偶爾也會意外的發(fā)送壞的代碼或一個壞的身份驗證。但是，總體上來說，更多的可能是，因為某些惡意的站點假裝提供某種功能或服務(wù)，而欺騙某些人決定信任它。惡意軟件通常偽裝成有用代碼，而且有時候也會提供一些它承諾的功能，但是同時又在悄悄的進行用戶不希望的事情。

這是SOA可能會給企業(yè)帶來的的三個主要安全影響之一，當(dāng)員工從他們的工作計算機上訪問了錯誤的站點，意外地把惡意軟件引入到企業(yè)中，企業(yè)已經(jīng)經(jīng)歷過這個問題。反擊惡意軟件需要有個綜合技術(shù)和教育的戰(zhàn)略，無論它是與SOA相關(guān)的行為，還是企業(yè)中某個人從一個文件共享站點上下載"免費"音樂，這些行為都要受到約束。

在惡意軟件感染企業(yè)網(wǎng)絡(luò)之前，這個安全技術(shù)能夠成功阻擋它們。但是最佳解決方案是教育用戶具有安全風(fēng)險意識，讓他們知道未知站點的危險性，從而在第一位置將風(fēng)險最小化。

二、XML文件攜帶攻擊代碼

第二個主要缺陷發(fā)生在企業(yè)對XML文件的使用中，它更具有技術(shù)性，而且難于被截獲。從根本上來說，XML可以包含任何類型的數(shù)據(jù)或可執(zhí)行程序，其中包含那些故意搞破壞的東西。今天的大多數(shù)企業(yè)已經(jīng)在使用XML編碼的文件，因此它們已經(jīng)被處于無防護的狀態(tài)下。

但是，SOA肯定會以數(shù)量級來增加傳輸?shù)腦ML數(shù)量，這也就意味著安全缺陷的增加。而SOA架構(gòu)中大量的這類傳輸也讓IT人員難于截獲偶爾出現(xiàn)的惡意軟件。而且惡意軟件日益復(fù)雜的技術(shù)已經(jīng)非常清晰的告訴我們，攻擊者可以讓XML為它們所用。

在解決這種安全風(fēng)險的時候，教育已經(jīng)效果不大，因為它更有可能被注入到一個合法的數(shù)據(jù)包中來進入企業(yè)網(wǎng)絡(luò)，甚至可能將自己分為好幾部分，混在不同的合法通信中。用戶可能沒有進行任何錯誤的操作。這類有針對性的攻擊正在變的越來越多。

但是，能夠解決這個問題的產(chǎn)品已經(jīng)出現(xiàn)，Crossbeam系統(tǒng)公司和Forum系統(tǒng)公司已經(jīng)結(jié)成聯(lián)盟，組合Crossbeam的X系列安全服務(wù)交換機、Forum的Xwall Web服務(wù)防火墻和Forum Sentry Web服務(wù)網(wǎng)關(guān)，推出一個單項最佳解決方案，來截獲在XML和其他進入企業(yè)的數(shù)據(jù)流中截獲惡意軟件。

三、身份驗證問題

第三個憂慮是企業(yè)身份管理的會話模式可能不滿足SOA的更復(fù)雜要求。在一個簡單的交易中，在會話開始的時候進行用戶身份認(rèn)證，然后這個認(rèn)證就會應(yīng)用在整個會話中。

但是，在SOA模型中，用戶可能最初發(fā)動一個交易后然后從服務(wù)器斷開，而交易可能會經(jīng)過一組后端服務(wù)，因此用戶沒有與最終的交易沒有直接的聯(lián)系。不僅要識別是誰發(fā)起了交易，還要識別是誰(或則在自動過程中是什么東西)批準(zhǔn)和處理了這個交易。需要認(rèn)證所有這些單個的進程在這個交易中使用的信息，而不是在一個交互的會話中詢問它們的信息。這是一個到現(xiàn)在都沒完全解決的問題。

最好的解決這種問題的辦法是使用Security Assertion Markup Language來創(chuàng)建一個可以附加到交易中的代表性的身份。這個問題目前已經(jīng)存在，但是SOA架構(gòu)的使用被互聯(lián)網(wǎng)訪問的組件增加了這種安全缺陷的程度。

現(xiàn)在的擔(dān)心是，人們不會去等候解決方案，或者不會嘗試的去正確的使用它，從而增加了安全暴露，就會帶來安全缺陷。因為SOA非常強大，而且可以被用來輕松的利用外部程序和其他外部可信任伙伴的程序，這種缺陷可能會變得非常大。企業(yè)需要謹(jǐn)慎的制定安全策略，加上對用戶的安全意識和培訓(xùn)，再輔以合適的技術(shù)，來將所面臨的危險降到最小。 （it168）