Переход на SOA-архитектуру, на первый взгляд, может показаться кошмаром для специалиста по информационной безопасности, так как SOA является распределенной и открытой архитектурой, в которой взаимодействуют приложения от разных поставщиков, установленные в разных организациях, подчиняющихся различным политикам безопасности. Управление рисками в таких условиях является нетривиальной задачей.
К чести создателей стандартов в рамках SOA они уделили повышенное внимание безопасности при разработке этих стандартов. Механизмы безопасности органично встраиваются в концепцию Web-сервисов и позволяют не только избежать основных проблем, но и существенно повысить эффективность как механизмов защиты, так и средств управления политикой безопасности.
Напомним, что SOA-архитектура строится на обмене SOAP-сообщениями между Web-сервисами, реализующими бизнес-функции. Например, приложение, реализующее сервис клиент-банка, может запросить сервис выставления счета у бухгалтерского приложения. SOAP-сообщение включает в себя XML-описание необходимой бизнес-транзакции. Таким образом, достигается единый формат запросов на сервис и ответов с результатами предоставления сервиса. Безопасность Web-сервисов обеспечивается за счет дополнительных заголовков (security-tokens) и обработки тела SOAP-сообщений (то есть содержания транзакции), которые указывают или непосредственно реализуют политику безопасности для данного типа Web-сервисов (например, политику аутентификации, ЭЦП или авторизации).
Подробнее о стандартах и архитектуре безопасности Web-сервисов, а также о компонентах схемы управления защитой в SOA-архитектуре читайте в статье Дмитрия Шепелявого, MBA, PMP, CISSP, руководителя технологического направления по продуктам безопасности Oracle СНГ
