SOA的安全风险与好处相并存

集成能够帮助简化商业流程、提高产品上市的时间、使企业对业务、共享的数据和服务中的变化更快地做出反应。例如，正确建立的SOA架构能够让一个电子商务网站与自己的供应商、分销商、信用卡公司和消费者无缝地集成在一起。在一个客户下订单之后，系统将自动编排大量的信息，不须要在每一次登录时都询问用户或者系统。

SOA还允许企业在不放弃和不更换老式系统的情况下通过抽象化某些商业流程、服务或者数据来重新焕发这些老系统的青春。企业能够利用它们对现有的老式系统的投资，同时建立无缝地与老系统集成在一起的新系统。

对于最终用户来说，这是涅盘。对于安全部门的人来说，这是他们最糟糕的噩梦。

集成的负面影响

上面提到的SOA的好处伴随着在安全、隐私和遵守法规方面的很大风险。对于那些轻松地把 防火墙后面和防火墙外面的 其它服务集成在一起的服务来说，它们必须是可发现的和容易转变的。许多SOA实施使用Web服务。Web服务使用WSDL（Web服务说明语言）说明如何启用这个服务。UDDI（统一描述、发现和集成）是一种标准，通常与Web服务一起使用，允许发现和提取服务。SOA中常用的另外两个标准是XML（可扩展标记语言）和SOAP（简单对象访问协议）。XML是一种自我说明格式，包含明文形式的信息，而SOAP是交换基于XML的信息的协议并且以明文提供重要的信息。虽然这些标准让企业更容易地集成服务，但是，如果没有适当的安全措施，它也会把这个王国的钥匙交给黑客。

许多老式的系统的构造从来都不是要暴露给外部的，特别是不能暴露给防火墙外部的系统。现在，采用SOA之后，由于SOA的可发现的和自我说明的性质，黑客能够访问他们以前无法接触的系统和数据。

企业中的挑战

业内人士向许多架构师、厂商、培训师和安全专家提出了一个简单的问题：你认为在实施SOA的时候架构师需要解决的最大的安全风险是什么？这个问题的答案有如下几类：

机构中缺乏对这种风险的严重的认识和知识。

在服务、系统和企业之间传播证书。

监视、审计和强制执行政策的能力。