從SOA到云計算：軟件服務安全進化

在某種程度上，云安全的狀態取決于對其的觀點。危言聳聽者（那些半吊子家伙們）將其看作是“狂野西部（Wild West）”，而云支持者又認為這些關注點是過分夸大的。

Jeff Schmidt是信息安全和JAS全球顧問，他認為從安全觀點來看，相比桌面上的機器或者是IT部門運營的機器，云或多或少本身都不夠安全。問題僅僅是不同而已。“通常我們認為在規模經濟中云更為安全，因為擁有專業的管理人員，理論上和管理實踐的高水平的廉潔以及良好的成熟度模型相關，”他說道。這意味著云提供商應該在基礎安全實踐之上，像更新補丁和法規遵從，“在很多例子中，如果你不是自己做的話很難得到，除非公司大而復雜。”然而，折中的辦法就是失去控制， “包括技術，甚至有時候是業務和法律控制，”他說道。這也正是云計算有時候是一種冒險所在。

實際上，Adrian Lane指出，盡管云服務和傳統SOA在一些事情上存在疊合，像ID管理服務如何處理，但也存在差異型。例如，Lane指出，通常每一個云提供商都用自己的方法構架。提供一種聯合的ID管理系統或者為其他類型的認證處理加密的關鍵管理系統就成為挑戰，因為這些將在云端運行。

他說大多數客戶最終使用一種混合的方法，例如，客戶的傳統基礎架構同云直接通信。目的就是確保ID在二者之間是一致的。“SAML的使用似乎更引人注目；它允許企業創建認證，并且跨越不同的WEB服務并使用一些相同的ID服務進行斷言，”他如是說道。這樣做要求管理ID和訪問控制。“這是我們常用的方法，但是哪個人單方面采納并獲取就不清楚了。”

還有異常處理。例如，他指出，通過微軟的云方法Azure，所有的一切“通過微軟的技術更多地封裝起來，至少和Rackspace和Amazon AWS服務比起來是這樣，在這二者上面，主要是用自己的方法構建服務環境，”他說。

Lane再一次強調云服務中ID管理的API使用不同于SOA中的使用。尤其是，他指出OpenStack的存在，這是一個開源項目，由Rackspace和其他云企業贊助，目的是提供一個開源云平臺。“在這個項目中，構建了一些訪問控制和授權軟件，”他說，“所有的云提供商都將有一個那樣的機制，已經構建起來了，但是通常他們達不到應用的期望或者需求，尤其是聯合身份識別，”他補充道。這意味著你可能仍舊需要“加點料”，以便支持云端基礎架構。

“人們可能會選擇不同的實現，但是通常會用像SAML或者OpenID這樣的，”他說道。這意味著軟件架構師可能需要為云安全服務區別設計。“我們在教課時，從架構開始教起，然后是獨立廠商提供什么，但是你需要對你實際需要什么來做最后決定，”他解釋道。

你所做的決定也受到你要實現哪種類型的云所驅動。例如，他指出，一些企業愿意采納私有云方法。“這意味著他們可以把已有的東西放到云端，然后從更為彈性的資源中獲利，現收現付的方法不需要做一個計劃云出來，”他說。通常意味著使用同樣的軟件，架構沒有根本變化。

另一方面，如果你遷移到像亞馬遜這樣的公有云上，事情可能就更復雜了。“幾乎可以以任何方式安裝，很多種連接，從開放到公共或者關閉，只訪問你自己的數據中心，”他表示。

盡管本質上，從SOA開始很好。“SAML和OpenID也存在已久，”他說。業界已經開始收集一些可以解決很多基本授權問題的工具。“我們選擇使用那種形式，是完全開發的，但是還是會變得很復雜，”他補充道。