本红皮书是面向服务的体系结构 (SOA) 系列之一,主要通过名为 JKHL Enterprises (JKHLE) 的虚构公司阐述一个案例研究。本红皮书中的案例研究重点说明与 SOA 安全性和管理相关的挑战和解决方案。本红皮书描述如何使用“SOA 安全性和管理场景”的实现和解决方案模式来解决与该案例研究相关的业务和 IT 挑战。
我们在本文中介绍的案例研究包括以下人员和角色:
- Sandy Osbourne-Archer,首席技术架构师
- Edmund Smythe-Barrett,企业架构师
- Steve Optman,IT 运营经理
- Axel Setrust,安全架构师
- Budi Manmon,管理架构师
JKHLE 已经部署了一个成熟的管理环境来管理现有的应用程序。帐户开立项目中新引入的共享服务、流程和组合应用程序带来了新的管理挑战。本文讨论与保护和管理应用程序服务以及与用于帐户开立项目案例研究的支持基础设施相关的挑战和解决方案。
IT 运营经理 Steve Optman 与首席技术架构师 Sandy Osbourne-Archer 进行会谈,讨论帐户开立项目的安全性和管理挑战及目标。Steve 提出了对运营团队当前无法及时了解帐户开立项目设计情况的担忧。Steve 重点强调了从一开始就参与到流程中的重要性,这样可以避免他的运营团队因延迟参与投入运行之前的一些部署而遇到的问题。Sandy 赞同并承诺在开发周期中尽早让运营团队参与进来。
Sandy 概述了运营团队在部署本项目时需要满足的三个关键安全性和管理目标:
- 发现资源和服务
需要提供一种自动化方法来发现服务注册中心中定义的应用程序组件、中间件和服务。需要将从发现过程中捕获的数据提供给现有的更改控制流程。
- 在通用管理控制台中监视服务
需要以一种与现有管理环境和通用管理控制台一致的方式监视帐户开立流程应用程序服务和支持基础设施。
- 安全性和遵从性审核功能
需要端到端的安全性以及能够提供审核记录,以确保满足遵从性要求。
Sandy 建议 Steve 及其运营团队直接与企业架构师 Edmund Smythe-Barrett 合作。
Edmund 负责帐户开立项目应用程序和支持基础设施的体系结构和设计。
|
Steve 安排与 Edmund、安全分析人员 Axel Setrust和管理架构师 Budi Manmon 会面,检查帐户开立项目体系结构并概述关键安全性和管理设计点(请参见图 1)。
图 1 SOA 安全性和管理部署体系结构的注意事项简而言之,反向代理部署在隔离区 (DMZ) 中。
此处的门户用于提供表示层和使用 ESB 或直接与流程服务器及后端应用程序进行交互。客户端可以是企业内部和外部的用户或服务使用者。
类似地,应用程序和服务既可以属于企业内部也可以属于企业外部。
在部署体系结构中的各个点上强制执行安全性。
在从帐户开立流程门户中使用时,Edmund 引用了客户概要服务(请参见图 2)。Edmund 解释说,此事务在应用程序体系结构和支持基础设施中具有代表意义。简而言之,在客户从门户中输入概要信息之后,客户概要服务(中介)就会与由 CICS® 后端系统承载的帐户记录应用程序进行交互,用于存储客户概要信息供进一步处理。
图 2 帐户开立流程门户——客户概要服务本文转自IBM Developerworks中国