软件安全从SOA到云计算的进化
云安全的状态取决于对其的观点。危言耸听者看作是“狂野西部(WildWest)”,而云支持者又认为这些关注点是过分夸大的。
Jeff Schmidt是信息安全和JAS全球顾问,他认为从安全观点来看,相比桌面上的机器或者是IT部门运营的机器,云或多或少本身都不够安全。问题仅仅是不同而已。“通常我们认为在规模经济中云更为安全,因为拥有专业的管理人员,理论上和管理实践的高水平的廉洁以及良好的成熟度模型相关,”他说道。这意味着云提供商应该在基础安全实践之上,像更新补丁和法规遵从,“在很多例子中,如果你不是自己做的话很难得到,除非公司大而复杂。”然而,折中的办法就是失去控制,“包括技术,甚至有时候是业务和法律控制,”他说道。这也正是云计算有时候是一种冒险所在。
实际上,AdrianLane指出,尽管云服务和传统SOA在一些事情上存在叠合,像ID管理服务如何处理,但也存在差异型。例如,Lane指出,通常每一个云提供商都用自己的方法构架。提供一种联合的ID管理系统或者为其他类型的认证处理加密的关键管理系统就成为挑战,因为这些将在云端运行。
他说大多数客户最终使用一种混合的方法,例如,客户的传统基础架构同云直接通信。目的就是确保ID在二者之间是一致的。“SAML的使用似乎更引人注目;它允许企业创建认证,并且跨越不同的WEB服务并使用一些相同的ID服务进行断言,”他如是说道。这样做要求管理ID和访问控制。“这是我们常用的方法,但是哪个人单方面采纳并获取就不清楚了。”
还有异常处理。例如,他指出,通过微软的云方法Azure,所有的一切“通过微软的技术更多地封装起来,至少和Rackspace和AmazonAWS服务比起来是这样,在这二者上面,主要是用自己的方法构建服务环境,”他说。
Lane再一次强调云效劳中ID治理的API运用分歧于SOA中的运用。尤其是,他指出OpenStack的存在,这是一个开源项目,由Rackspace和其他云企业资助,目标是供应一个开源云平台。“在这个项目中,构建了一些拜访节制和受权软件,”他说,“一切的云供应商都将有一个那样的机制,曾经构建起来了,然则凡间他们达不到使用的希冀或许需求,尤其是结合身份辨认,”他增补道。这意味着你能够依旧需求“加点料”,以便支撑云端根底架构。
“人们能够会选择分歧的完成,然则凡间会用像SAML或许OpenID如许的,”他说道。这意味着软件架构师能够需求为云平安效劳区别设计。“我们在教课时,从架构开端教起,然后是自力厂商供应什么,然则你需求对你实践需求什么来做最终决议,”他分析道。
你所做的决议也遭到你要完成哪品种型的云所驱动。例如,他指出,一些企业情愿采用私有云办法。“这意味着他们可以把已有的器械放到云端,然后从更为弹性的资本中获利,现收现付的办法不需求做一个方案云出来,”他说。凡间意味着运用相同的软件,架构没有基本转变。
另一方面,假如你迁徙到像亚马逊如许的公有云上,工作能够就更复杂了。“简直可以以任何方法装置,良多种衔接,从开放到公共或许封闭,只拜访你本人的数据中间,”他透露表现。
虽然实质上,从SOA开端很好。“SAML和OpenID也存在已久,”他说。业界曾经开端搜集一些可以处理良多根本受权问题的东西。“我们选择运用那种方式,是完全开拓的,然则照样会变得很复杂,”他增补道。
(责任编辑:admin)- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。