SOA加重企業(yè)的安全風(fēng)險(xiǎn)？

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

面向服務(wù)架構(gòu)(Service-Oriented Architecture，SOA)向第三方團(tuán)體敞開了你的系統(tǒng)的大門，因此增加了你要面對(duì)的系統(tǒng)漏洞。但是分析家稱SOA并沒有引入多少新的安全風(fēng)險(xiǎn)，而只是加重了已有的安全風(fēng)險(xiǎn)。

由于引入了對(duì)第三方應(yīng)用程序開發(fā)和運(yùn)作的更大的信任，人們認(rèn)為面向服務(wù)的體系架構(gòu)(SOA)改變了企業(yè)的安全平衡。但是根據(jù)Gartner公司負(fù)責(zé)信息安全和隱私的管理副總裁Ray Wagner表示，這只是一個(gè)程度的問題，而不是帶來了一個(gè)全新的安全問題。

一、外部服務(wù)安全問題

舉個(gè)例子來說，一個(gè)SOA應(yīng)用程序可能會(huì)依靠一個(gè)基于Web的第三方服務(wù)來提供重要的功能和服務(wù)，這具有非常明顯的安全問題。但是這種問題在企業(yè)用戶激活了微軟的自動(dòng)更新時(shí)就已經(jīng)存在了。

從根本上說，這是一個(gè)信任的問題，你決定是否信任微軟來發(fā)送給你好的程序。然后你的計(jì)算機(jī)通過使用像哈希和數(shù)字簽名之類的加密操作，來確認(rèn)它已經(jīng)收到微軟發(fā)送的內(nèi)容。

SOA可能會(huì)大大增加使用外部服務(wù)的次數(shù)。一個(gè)小時(shí)進(jìn)行數(shù)百次這樣的交互，可能意味著會(huì)影響你的計(jì)算機(jī)的運(yùn)算負(fù)載，但是它真的只是一個(gè)度的改變，而不是性質(zhì)上的改變。

正常的值得信賴的合作伙伴可能偶爾也會(huì)意外的發(fā)送壞的代碼或一個(gè)壞的身份驗(yàn)證。但是，總體上來說，更多的可能是，因?yàn)槟承阂獾恼军c(diǎn)假裝提供某種功能或服務(wù)，而欺騙某些人決定信任它。惡意軟件通常偽裝成有用代碼，而且有時(shí)候也會(huì)提供一些它承諾的功能，但是同時(shí)又在悄悄的進(jìn)行用戶不希望的事情。

這是SOA可能會(huì)給企業(yè)帶來的的三個(gè)主要安全影響之一，當(dāng)員工從他們的工作計(jì)算機(jī)上訪問了錯(cuò)誤的站點(diǎn)，意外地把惡意軟件引入到企業(yè)中，企業(yè)已經(jīng)經(jīng)歷過這個(gè)問題。反擊惡意軟件需要有個(gè)綜合技術(shù)和教育的戰(zhàn)略，無論它是與SOA相關(guān)的行為，還是企業(yè)中某個(gè)人從一個(gè)文件共享站點(diǎn)上下載"免費(fèi)"音樂，這些行為都要受到約束。

在惡意軟件感染企業(yè)網(wǎng)絡(luò)之前，這個(gè)安全技術(shù)能夠成功阻擋它們。但是最佳解決方案是教育用戶具有安全風(fēng)險(xiǎn)意識(shí)，讓他們知道未知站點(diǎn)的危險(xiǎn)性，從而在第一位置將風(fēng)險(xiǎn)最小化。

二、XML文件攜帶攻擊代碼

第二個(gè)主要缺陷發(fā)生在企業(yè)對(duì)XML文件的使用中，它更具有技術(shù)性，而且難于被截獲。從根本上來說，XML可以包含任何類型的數(shù)據(jù)或可執(zhí)行程序，其中包含那些故意搞破壞的東西。今天的大多數(shù)企業(yè)已經(jīng)在使用XML編碼的文件，因此它們已經(jīng)被處于無防護(hù)的狀態(tài)下。

但是，SOA肯定會(huì)以數(shù)量級(jí)來增加傳輸?shù)腦ML數(shù)量，這也就意味著安全缺陷的增加。而SOA架構(gòu)中大量的這類傳輸也讓IT人員難于截獲偶爾出現(xiàn)的惡意軟件。而且惡意軟件日益復(fù)雜的技術(shù)已經(jīng)非常清晰的告訴我們，攻擊者可以讓XML為它們所用。

在解決這種安全風(fēng)險(xiǎn)的時(shí)候，教育已經(jīng)效果不大，因?yàn)樗锌赡鼙蛔⑷氲揭粋€(gè)合法的數(shù)據(jù)包中來進(jìn)入企業(yè)網(wǎng)絡(luò)，甚至可能將自己分為好幾部分，混在不同的合法通信中。用戶可能沒有進(jìn)行任何錯(cuò)誤的操作。這類有針對(duì)性的攻擊正在變的越來越多。

但是，能夠解決這個(gè)問題的產(chǎn)品已經(jīng)出現(xiàn)，Crossbeam系統(tǒng)公司和Forum系統(tǒng)公司已經(jīng)結(jié)成聯(lián)盟，組合Crossbeam的X系列安全服務(wù)交換機(jī)、Forum的Xwall Web服務(wù)防火墻和Forum Sentry Web服務(wù)網(wǎng)關(guān)，推出一個(gè)單項(xiàng)最佳解決方案，來截獲在XML和其他進(jìn)入企業(yè)的數(shù)據(jù)流中截獲惡意軟件。

三、身份驗(yàn)證問題

第三個(gè)憂慮是企業(yè)身份管理的會(huì)話模式可能不滿足SOA的更復(fù)雜要求。在一個(gè)簡(jiǎn)單的交易中，在會(huì)話開始的時(shí)候進(jìn)行用戶身份認(rèn)證，然后這個(gè)認(rèn)證就會(huì)應(yīng)用在整個(gè)會(huì)話中。

但是，在SOA模型中，用戶可能最初發(fā)動(dòng)一個(gè)交易后然后從服務(wù)器斷開，而交易可能會(huì)經(jīng)過一組后端服務(wù)，因此用戶沒有與最終的交易沒有直接的聯(lián)系。不僅要識(shí)別是誰發(fā)起了交易，還要識(shí)別是誰(或則在自動(dòng)過程中是什么東西)批準(zhǔn)和處理了這個(gè)交易。需要認(rèn)證所有這些單個(gè)的進(jìn)程在這個(gè)交易中使用的信息，而不是在一個(gè)交互的會(huì)話中詢問它們的信息。這是一個(gè)到現(xiàn)在都沒完全解決的問題。

最好的解決這種問題的辦法是使用Security Assertion Markup Language來創(chuàng)建一個(gè)可以附加到交易中的代表性的身份。這個(gè)問題目前已經(jīng)存在，但是SOA架構(gòu)的使用被互聯(lián)網(wǎng)訪問的組件增加了這種安全缺陷的程度。

現(xiàn)在的擔(dān)心是，人們不會(huì)去等候解決方案，或者不會(huì)嘗試的去正確的使用它，從而增加了安全暴露，就會(huì)帶來安全缺陷。因?yàn)镾OA非常強(qiáng)大，而且可以被用來輕松的利用外部程序和其他外部可信任伙伴的程序，這種缺陷可能會(huì)變得非常大。企業(yè)需要謹(jǐn)慎的制定安全策略，加上對(duì)用戶的安全意識(shí)和培訓(xùn)，再輔以合適的技術(shù)，來將所面臨的危險(xiǎn)降到最小。 （it168）