从SOA到云计算：软件服务安全进化

在某种程度上，云安全的状态取决于对其的观点。危言耸听者(那些半吊子家伙们)将其看作是“狂野西部(Wild West)”，而云支持者又认为这些关注点是过分夸大的。

Jeff Schmidt是信息安全和JAS全球顾问，他认为从安全观点来看，相比桌面上的机器或者是IT部门运营的机器，云或多或少本身都不够安全。问题仅仅是不同而已。“通常我们认为在规模经济中云更为安全，因为拥有专业的管理人员，理论上和管理实践的高水平的廉洁以及良好的成熟度模型相关，”他说道。这意味着云提供商应该在基础安全实践之上，像更新补丁和法规遵从，“在很多例子中，如果你不是自己做的话很难得到，除非公司大而复杂。”然而，折中的办法就是失去控制， “包括技术，甚至有时候是业务和法律控制，”他说道。这也正是云计算有时候是一种冒险所在。

实际上，Adrian Lane指出，尽管云服务和传统SOA在一些事情上存在叠合，像ID管理服务如何处理，但也存在差异型。例如，Lane指出，通常每一个云提供商都用自己的方法构架。提供一种联合的ID管理系统或者为其他类型的认证处理加密的关键管理系统就成为挑战，因为这些将在云端运行。

他说大多数客户最终使用一种混合的方法，例如，客户的传统基础架构同云直接通信。目的就是确保ID在二者之间是一致的。“SAML的使用似乎更引人注目;它允许企业创建认证，并且跨越不同的WEB服务并使用一些相同的ID服务进行断言，”他如是说道。这样做要求管理ID和访问控制。“这是我们常用的方法，但是哪个人单方面采纳并获取就不清楚了。”

还有异常处理。例如，他指出，通过微软的云方法Azure，所有的一切“通过微软的技术更多地封装起来，至少和Rackspace和Amazon AWS服务比起来是这样，在这二者上面，主要是用自己的方法构建服务环境，”他说。

Lane再一次强调云服务中ID管理的API使用不同于SOA中的使用。尤其是，他指出OpenStack的存在，这是一个开源项目，由Rackspace和其他云企业赞助，目的是提供一个开源云平台。“在这个项目中，构建了一些访问控制和授权软件，”他说，“所有的云提供商都将有一个那样的机制，已经构建起来了，但是通常他们达不到应用的期望或者需求，尤其是联合身份识别，”他补充道。这意味着你可能仍旧需要“加点料”，以便支持云端基础架构。

“人们可能会选择不同的实现，但是通常会用像SAML或者OpenID这样的，”他说道。这意味着软件架构师可能需要为云安全服务区别设计。“我们在教课时，从架构开始教起，然后是独立厂商提供什么，但是你需要对你实际需要什么来做最后决定，”他解释道。

你所做的决定也受到你要实现哪种类型的云所驱动。例如，他指出，一些企业愿意采纳私有云方法。“这意味着他们可以把已有的东西放到云端，然后从更为弹性的资源中获利，现收现付的方法不需要做一个计划云出来，”他说。通常意味着使用同样的软件，架构没有根本变化。

另一方面，如果你迁移到像亚马逊这样的公有云上，事情可能就更复杂了。“几乎可以以任何方式安装，很多种连接，从开放到公共或者关闭，只访问你自己的数据中心，”他表示。

尽管本质上，从SOA开始很好。“SAML和OpenID也存在已久，”他说。业界已经开始收集一些可以解决很多基本授权问题的工具。“我们选择使用那种形式，是完全开发的，但是还是会变得很复杂，”他补充道。