Burton: WS-*說明書不足以解決SOA安全問題

Web Services Framework (WSF)中的安全標準已經取得了顯著的進展，越來越多的產品都支援WS-*安全架構的基礎——Web Services Security (WS-S)。但Burton公司的高階分析師Diana Kelley認為僅有標準不代表我們已經解決了所有問題，組織仍然必須在這方面考慮很多。

　　自從安全問題被越來越多的關注，原先在Web服務和SOA部署階段採用的安全標準被寄予了更多的厚望。但Kelley強調，標準只是安全策略的一部分。

　　她說:“我們很高興看到安全問題在專案中考慮的更多，更早，但標準並不能做所有的事。公司必須在安全問題上更加用心。否則產品即使有豐富的安全效能，也沒人願意用。”

　　在她以前的報告"Web Services Security Standards 2006: Where Are We Now?"中，她回顧了由IBM和Microsoft在2002年首次提出的WSF安全協議棧的歷史。今天，包含WS-S, Web Services Secure Exchange (WS-SX) and WS-Policy的標準在標準體系中有著不同的進展，其中WS-S走的最遠。OASIS 在二月批准了WS-S 1.1版，而WS-SX和WS-Policy將在四月的World Wide Web Consortium (W3C)會議上提交給OASIS。

　　Kelley認為，WS-S提供了端到端的加密和訊息安全的粒度控制。但是，她說盡管產品可以支援WS-S，但很多組織還沒有實現這個級別的安全。她說，組織應該為保護SOAP訊息傳遞使用HTTP認證、安全套接認證和SSL加密。

　　她說:“對於很多隻是測試或做原型和規劃的公司，很多都用簡單的方法實現，即使用純SSL和點到點安全。我們還沒有發現複雜的WS-S和更簡單的解決方案一樣被廣泛使用，但這種狀況看來已經在改變，因為部署已經變複雜了。”

　　驅動力就是構建他們面向服務的架構，讓它更令人滿意，然後才增加其安全性。這種做法在IT部門非常普遍。即先編碼，然後才考慮安全。在Web服務中這種做法並不多，但隨著公司的部署，他們的安全性也越來越複雜。

　　儘管WS-S得到了關注， 但其它說明書還沒有太大進展。包括三份擴充套件安全功能的WS-SX說明書，WS-Trust、WS-SecureConversation和WS-SecurityPolicy。根據Burton公司的報告，最終版本要到2007年6月才能釋出。

　　Kelley 說，已經在W3C的手中WS-Polic更復雜更隨意。它為描述和交換規則和策略方面資訊提供了一個框架。但是，Kelley強調，企業依然需要確定自己的策略。

　　“這些標準可以把它們自己該做的事做好，但我們需要理解它們做的事。WS-Policy和WS-SecurityPolicy並非說明要遵守的策略，它們不會說明這是正確，那是錯誤的。”Kelley說。

　　她說:“當我們考慮組織內的策略時，我們總在圍繞資料考慮粒度控制，問一些類似金鑰得多長之類的問題。?WS-Policy 和 WS-SecurityPolicy被認為是一種表述和共享這種資訊的方法。而最終策略決策依賴於組織自身實現的Web服務。”

　　待發布的說明書

　　兩份安全說明書WS-Authorization 和 WS-Privacy還沒有釋出，Kelley說它們有可能停滯下來。WS-Federation用於跨信任域的身份認證、驗證和授權共享，並不是一個標準。但是，她說:“有的人覺得Federation很重要，而有的人則覺得它會被淘汰。它已經被用在Microsoft Active Directory中，所以我覺得它不會被淘汰。”

　　Kelley說，Web服務安全說明書已經取得重大進展，但她希望組織意識到這些說明書還是嶄新的，還在工作中，所以不要期待所有問題都已解決。

　　SOA安全的核心是整個應用安全的核心的一部分。Kelly說:“不管是Web應用還是一部分SOA，應用理解和資料保護和管理都變得更加關鍵，可見性也更高。”SOA會變得混雜，會出現訪問後臺資料的一層，你必須確保這種訪問是非常安全的。

　　她說，只實現WS-S和相關安全說明書是不夠的。組織依然需要分層的安全。這不意味著當你把安全加入到SOA後，就可以不管周邊的防火牆。你依然需要擔心宿主的安全性。只使用標準或產品來實現標準並不能為你決定所有的安全問題。

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/14780828/viewspace-406855/，如需轉載，請註明出處，否則將追究法律責任。