四大可行方案护航SOA安全落地

    SOA安全的最简单和最常用的方法是在虚拟专用网上传送服务请求。这为简单的、粗颗粒的请求提供了充分的安全。它兼容SOAP、REST和非Web服务协议，甚至对于许多外部的集成情况都是非常充分的。不过，并非所有的安全情况都是简单的。对于更复杂的需求和精细的SOA安全，设计师必须进行大量的规划和设计。

    SOA安全的最简单和最常用的方法是在虚拟专用网上传送服务请求。这为简单的、粗颗粒的请求提供了充分的安全。它兼容SOAP、REST和非Web服务协议，甚至对于许多外部的集成情况都是非常充分的。不过，并非所有的安全情况都是简单的。对于更复杂的需求和精细的SOA安全，设计师必须进行大量的规划和设计。为了制定一个全面的战略和SOA安全架构，设计师必须考虑安全要求、业务状况和应用程序基础设施的广泛的多样性，把多种产品、标准和客户化制作的组件结合到一个灵活的和强大的SOA安全解决方案。

    至少有10种产品种类能够在SOA安全战略中发挥作用并且这些产品存在功能重叠的地方。SOA的构件结构和Web服务安全技术规范意味着设计师必须认真规划他们将使用哪一种技术规范和什么时候使用这个技术规范。拥有不同安全要求的业务情况也许需要不同的技术规范和产品的组合。标准和技术规范仍在成熟之中，这进一步增加了复杂性。因此，这个行业还缺少许多技术规范的最佳做法。设计师也许面临额外的挑战，包括分散的SOA基础设施、多种SOA消息交换方式、把多个环境的安全统一起来的需求以及在一个服务呼叫另一个服务时在多个层次上传送身份识别的需求。这还没有提到一些常见的问题，如机构之间的摩擦、成本和架构治理的困难等等。

    由于这些复杂性，几乎没有企业承受得起建立一个完整的和全面的SOA安全解决方案的前期投资。这些SOA安全解决方案将解决所有未来的需求。这意味着设计师的最终挑战是要随着时间的推移逐步总结出一个全面的解决方案。为了帮助执行这个逐步增强的方法，这里有四个广泛的解决方案方式。这些方式表明如何把不同的产品结合为一个SOA安全解决方案以满足目前的需求以及表明目前的解决方案如何为未来的需求开辟一个道路。

    方案1：简单的虚拟专用网在短时间内提供一个基本的解决方案

    作为一个共同的起点，一些SOA用户有一些直接的方案，要求他们迅速找到一个可接受的、即使是不理想的SOA安全解决方案。在这些情况下，SOA请求和回应仅使用传输级安全进行保护。采用SOAP和REST协议，这个工作一般是通过双向SSL(安全套接层)完成的。采用虚拟专用网连接，甚至在公共互联网上的请求也是保密的和安全的。简单的虚拟专用网方法通常使用明确的身份识别：任何通过虚拟专用传送的请求都允许访问可用的服务。虽然一条简单的VPN线路支持单个用户的身份识别，但是，这种应用是很少的，因为管理每一个用户的证书管理成本太高。一条简单的虚拟专用网线路通常配置为这项服务的用户平台与这个服务平台之间的一条直接的传送级连接。这个服务平台也许是一台应用服务器或者是一个简单的Web服务环境。在Forrester进行的一项调查中，三分之二的SOA用户说仅仅使用一条简单的虚拟专用网线路是他们SOA安全武器库中的一个重要选择。

2