Спецификация WS-Security, регламентирующая реализацию механизма безопасности прикладного уровня для SOAP-систем, поддерживается сегодня многими продуктами для защиты Web-сервисов. Однако спецификации конфигурирования настроек безопасности Web-сервисов пока не ратифицированы. В условиях отсутствия соответствующих
стандартов эксперты рекомендуют экстернализировать защиту, обеспечив возможность централизованного управления ею, для чего наилучшим способом сейчас является использование XML-шлюзов и систем управления Web-сервисами. Продукты этого класса позволяют совместно с защитой уровня приложений применять набор механизмов безопасности транспортного уровня - HTTP-аутентификацию, двустороннюю аутентификацию SSL и SSL-шифрование. В настоящее время каждая из существующих платформ Web-сервисов конфигурируется по-своему. Упростить задачу настройки и отменить необходимость в единственной системе управления Web-сервисами поможет ратификация в качестве стандарта спецификаций WS-Policy и WS-Trust, однако, по мнению аналитиков, до появления единого механизма конфигурирования пройдет еще более трех лет.