四种解决方案模式保证SOA安全

faxian

要确保面向服务架构(SOA)的安全，最简单也是最常见的方案就是通过虚拟专用网(VPN)来传送服务请求。这种方案提供的安全性足以满足简单、粗粒度的要求，而且与简单对象访问协议(SOAP)、代表性状态传输(REST)及非Web服务协议兼容，甚至足以满足许多外部集成场景的要求。不过并非所有的安全场景都很简单:对比较复杂的要求和细粒度的SOA安全而言，架构师们必须大大加强规划和设计。要为SOA安全制定一套综合的策略和架构，架构师就必须考虑方方面面的安全要求、业务场景和应用基础架构，把多个产品、标准和自定义组件结合起来，形成一套灵活、稳健的SOA安全解决方案。

至少有10类产品可以在SOA安全架构中发挥作用，它们在几个重要方面存在功能重叠。SOA和Web服务安全规范具有模块化的结构，这意味着架构师们必须针对将来使用哪些规范、何时使用这些规范作好认真规划。对安全有不同要求的业务场景可能需要结合不同的规范和产品。进一步增添复杂性的是，诸多标准和规范还没有完全成熟。所以对许多规范来说，业界在最佳实践方面还没有太多的经验可谈。架构师们可能面临另外几个挑战，包括不同的SOA基础架构、多个SOA消息交换模式、需要跨多个环境联合安全，以及一个服务调用另一个服务时，需要跨各层宣布身份。更不用说那些常见问题了，比如组织摩擦、成本和架构治理方面的难题。

正是由于这些难题，很少有企业能够事先进行投入，构建一套全面、综合的SOA安全解决方案来满足将来的所有要求。这意味着架构师面临的最终挑战是，逐渐完善综合的解决方案。为了帮助获得这种循序渐进的方案，本文介绍了一系列完整的四种解决方案模式，表明了如何把不同的产品整合到SOA安全解决方案以满足今天的要求，以及今天的解决方案如何为满足明天的要求留有一条后路。