总结分析SOA的三个安全威胁

来源: 比特网   
2013/3/25 19:23:47
在当前如火如荼的SOA运动中,SOA的业务价值和架构方法成了所有人关注的焦点,而安全则被有意或无意的忽略。但是如果没有对安全的充分重视,SOA不仅解决不了现实的问题,反而会引起更大的麻烦。

本文关键字: SOA 安全威胁

在当前如火如荼的SOA运动中,SOA的业务价值和架构方法成了所有人关注的焦点,而安全则被有意或无意的忽略。但是如果没有对安全的充分重视,SOA不仅解决不了现实的问题,反而会引起更大的麻烦。

外部服务安全问题

举个例子来说,一个SOA应用程序可能会依靠一个基于Web的第三方服务来提供重要的功能和服务,这具有非常明显的安全问题。不过这种问题在企业用户激活了微软的自动更新时就已经存在了。

从根本上说,这是一个信任的问题,例如你决定是否信任微软发送给你的更新程序。SOA可能会大大增加使用外部服务的次数,一个小时可能进行数百次这样的交互。

某些恶意的站点假装提供某种功能或服务,而欺骗某些人决定信任它。恶意软件通常伪装成有用代码,而且有时候也会提供一些它承诺的功能,但是同时又在悄悄的进行用户不希望的事情。

这是SOA可能会给企业带来的的三个主要安全影响之一,反击恶意软件需要有个综合技术和教育的战略,无论它是与SOA相关的行为,还是企业中某个人从一个文件共享站点上下载“免费”音乐,这些行为都要受到约束。

在恶意软件感染企业网络之前,这个安全技术能够成功阻挡它们。但是最佳解决方案是教育用户具有安全风险意识,让他们知道未知站点的危险性,从而在第一位置将风险最小化。

XML文件携带攻击代码

第二个主要缺陷发生在企业对XML文件的使用中,它更具有技术性,而且难于被截获。从根本上来说,XML可以包含任何类型的数据或可执行程序,其中包含那些故意搞破坏的东西。今天的大多数企业已经在使用XML编码的文件,因此它们已经被处于无防护的状态下。

但是,SOA肯定会以数量级来增加传输的XML数量,这也就意味着安全缺陷的增加。而SOA架构中大量的这类传输也让IT人员难于截获偶尔出现的恶意软件。而且恶意软件日益复杂的技术已经非常清晰的告诉我们,攻击者可以让XML为它们所用。

在解决这种安全风险的时候,教育已经效果不大,因为它更有可能被注入到一个合法的数据包中来进入企业网络,甚至可能将自己分为好几部分,混在不同的合法通信中。用户可能没有进行任何错误的操作。这类有针对性的攻击正在变得越来越多。

但是,能够解决这个问题的产品已经出现,Crossbeam公司和Forum公司已经结成联盟,组合Crossbeam的X系列安全服务交换机、Forum的Xwall Web服务防火墙和Forum Sentry Web服务网关,推出一个单项最佳解决方案,来截获在XML和其他进入企业的数据流中截获恶意软件。

 

责编:李红燕
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
推荐博客
创新平台技术,助力政企私有云..

创新平台技术,助力政企私有云建设金蝶中间件有限公司 奉继承 博士第16届软博会高峰论坛,2012.05.31……

畅享
首页
返回
顶部
×
    信息化规划
    IT总包
    供应商选型
    IT监理
    开发维护外包
    评估维权
客服电话
400-698-9918