面向服务体系结构作为一个安全性时机

TD Ameritrade公司的首席安全官Bill Edwards认为，不久后他将被拉入面向服务体系结构（SOA）的浪潮中。可能他也要利用SOA来提高安全性。

   安全性很少成为采用SOA的驱动因素之一。Edwards恳求改变这种看法。随着越来越多的公司利用SOA来构建网络服务和连接各种业务功能，就会出现一个安全性时机。

    星期五在费城的沃顿技术会议中，Edwards在一个金融服务网上欺诈专题讨论中说：“当构架者向我提议SOA时，我的第一反应就是‘不，你不能那样做，’但是，后来我意识到无论如何我要牵扯上SOA了，所以我要利用它从头开始重建安全体系。我知道它是势在必行的，所以我的团队对结构组很友好。”

具体的好处：有了SOA，Edwards可以将他安全性方面的精力集中于有问题的模块。假如一个模块需要一个补丁，Edwards可以利用SOA在一个网络服务中将其降为零，而不需要修补和破坏多个应用程序。甚至还有更好的选择，Edwards可以重新构建模块，使其更加安全，而不需要打补丁。

“安全性将会拥抱SOA。我不知道行业是否准备好了迎接基于SOA的安全，但是我很期待它的到来，因为这样会使我的工作变的更容易。SOA使你的安全工作细化并集中于具体的模块。”他说。

其他可能和结果：
想看看人们的反应吗？询问浏览器安全性。在会议的网上欺诈小组讨论上，我问了三个问题。（Ryan Naraine提供）。
• 为什么浏览器安全性（网上欺诈永远存在的地方）要依赖没有人能理解的证书警告？
• 我们在自己负责的领域有浏览器构架危机吗？
• 有人在将弃用IE一个官方政策吗？

然后踢踏舞表演就开始了。Secure Computing公司的首席技术官Paul Judge博士在提出问题之前说，黑客们很明显是上升到应用程序层以集中攻击，之后，他又说到，这并不真是一个浏览器的问题。Judge说：“这和你可以在某个星期三关闭Internet并改进浏览器不一样。”
他的确承认浏览器架构是在攻击不那么普遍的时代被构建的。

Capital One公司的首席信息官Gregor Bailar则认为浏览器存在安全性问题是因为它们的插件程序结构，但是所做的努力最好集中于用户。如果你告诉用户不要去点击一封电子邮件并且不要运行陌生的程序，那么你的收获会比在浏览器上吹毛求疵要大得多。他建议“在5岁的时候强制进行Internet行为准则训练。”

小组讨论者也注意到他们必须支持所有的浏览器。底线是：没有人会选择去谴责浏览器。
有人考虑过补丁星期二的成本吗？我没有看到过确定的数据，但是它一定数目可观的。
Edwards注意到，当TD Ameritrade遇到补丁星期二就要“停下所有事情来为环境打补丁。”他的团队完成了这项任务，但是它确实花时间。

Capital One的Bailar补充道“它是一种成本。X加上5个小时。”

虚拟化会带来新的安全性威胁吗？
Edwards承认“从安全性角度看，虚拟化让我感到害怕。”
假如你有在一个虚拟化基础结构上有3个标准化的操作系统，那么如果你的虚拟化软件遭到黑客攻击，你所拥有的所有操作系统就会突然全部被毁坏。
挺吓人的哈？

Bailar表示最终公司可能需要利用虚拟化软件的多样性来降低风险。
投资回报率和找到神奇的安全性解决办法。Edwards称没有神奇的安全魔弹，一个更令人困扰的问题就是多强的安全性才够？

“这样又回到了投资回报率的问题上。那结局是什么样呢？可能今天没有一个解决方案。我们怎么解决浏览器问题呢？”

如果没有安全补丁，Edwards问到是否金融服务公司需要对可以满足公司要求的新安全公司进行投资呢？对新安全公司进行投资并非一个馊主意，并且鉴于TD Ameritrade已经为其客户赠送了第三方反流氓软件，这也是一个很自然的扩展。