以文本方式查看主题 - W3CHINA.ORG讨论区 - 语义网·描述逻辑·本体·RDF·OWL (http://bbs.xml.org.cn/index.asp) -- 『 Web Services & Semantic Web Services 』 (http://bbs.xml.org.cn/list.asp?boardid=10) ---- Burton: WS-*说明书不足以解决SOA安全问题 (http://bbs.xml.org.cn/dispbbs.asp?boardid=10&rootid=&id=34683) |
-- 作者:admin -- 发布时间:6/21/2006 1:35:00 PM -- Burton: WS-*说明书不足以解决SOA安全问题 【2006-06-21 09:06】【Colleen Frye】【TechTarget】 Web Services Framework (WSF)中的安全标准已经取得了显著的进展,越来越多的产品都支持WS-*安全架构的基础——Web Services Security (WS-S)。但Burton公司的高级分析师Diana Kelley认为仅有标准不代表我们已经解决了所有问题,组织仍然必须在这方面考虑很多。 自从安全问题被越来越多的关注,原先在Web服务和SOA部署阶段采用的安全标准被寄予了更多的厚望。但Kelley强调,标准只是安全策略的一部分。 她说:“我们很高兴看到安全问题在项目中考虑的更多,更早,但标准并不能做所有的事。公司必须在安全问题上更加用心。否则产品即使有丰富的安全性能,也没人愿意用。” 在她以前的报告"Web Services Security Standards 2006: Where Are We Now?"中,她回顾了由IBM和Microsoft在2002年首次提出的WSF安全协议栈的历史。今天,包含WS-S, Web Services Secure Exchange (WS-SX) and WS-Policy的标准在标准体系中有着不同的进展,其中WS-S走的最远。OASIS 在二月批准了WS-S 1.1版,而WS-SX和WS-Policy将在四月的World Wide Web Consortium (W3C)会议上提交给OASIS。 Kelley认为,WS-S提供了端到端的加密和消息安全的粒度控制。但是,她说尽管产品可以支持WS-S,但很多组织还没有实现这个级别的安全。她说,组织应该为保护SOAP消息传递使用HTTP认证、安全套接认证和SSL加密。 她说:“对于很多只是测试或做原型和规划的公司,很多都用简单的方法实现,即使用纯SSL和点到点安全。我们还没有发现复杂的WS-S和更简单的解决方案一样被广泛使用,但这种状况看来已经在改变,因为部署已经变复杂了。” 驱动力就是构建他们面向服务的架构,让它更令人满意,然后才增加其安全性。这种做法在IT部门非常普遍。即先编码,然后才考虑安全。在Web服务中这种做法并不多,但随着公司的部署,他们的安全性也越来越复杂。 尽管WS-S得到了关注, 但其它说明书还没有太大进展。包括三份扩展安全功能的WS-SX说明书,WS-Trust、WS-SecureConversation和WS-SecurityPolicy。根据Burton公司的报告,最终版本要到2007年6月才能发布。 Kelley 说,已经在W3C的手中WS-Polic更复杂更随意。它为描述和交换规则和策略方面信息提供了一个框架。但是,Kelley强调,企业依然需要确定自己的策略。 “这些标准可以把它们自己该做的事做好,但我们需要理解它们做的事。WS-Policy和WS-SecurityPolicy并非说明要遵守的策略,它们不会说明这是正确,那是错误的。”Kelley说。 她说:“当我们考虑组织内的策略时,我们总在围绕数据考虑粒度控制,问一些类似密钥得多长之类的问题。?WS-Policy 和 WS-SecurityPolicy被认为是一种表述和共享这种信息的方法。而最终策略决策依赖于组织自身实现的Web服务。” 待发布的说明书 两份安全说明书WS-Authorization 和 WS-Privacy还没有发布,Kelley说它们有可能停滞下来。WS-Federation用于跨信任域的身份认证、验证和授权共享,并不是一个标准。但是,她说:“有的人觉得Federation很重要,而有的人则觉得它会被淘汰。它已经被用在Microsoft Active Directory中,所以我觉得它不会被淘汰。” Kelley说,Web服务安全说明书已经取得重大进展,但她希望组织意识到这些说明书还是崭新的,还在工作中,所以不要期待所有问题都已解决。 SOA安全的核心是整个应用安全的核心的一部分。Kelly说:“不管是Web应用还是一部分SOA,应用理解和数据保护和管理都变得更加关键,可见性也更高。”SOA会变得混杂,会出现访问后台数据的一层,你必须确保这种访问是非常安全的。 她说,只实现WS-S和相关安全说明书是不够的。组织依然需要分层的安全。这不意味着当你把安全加入到SOA后,就可以不管周边的防火墙。你依然需要担心宿主的安全性。只使用标准或产品来实现标准并不能为你决定所有的安全问题。 |
W 3 C h i n a ( since 2003 ) 旗 下 站 点 苏ICP备05006046号《全国人大常委会关于维护互联网安全的决定》《计算机信息网络国际联网安全保护管理办法》 |
1,722.656ms |