Desarrollo Java EE

Al desarrollar una aplicación web siguiendo el patrón MVC, tenemos que el Controlador es el encargado de implementar toda la seguridad: autentificación, autorización, etc. Dado que el Controlador invoca/puede invocar clases del modelo implementadas como EJB que pueden ser remotas, mi pregunta es: ¿cómo se controla la seguridad en ese caso? Si el modelo está implementado en la misma JVM con Javabeans está claro: el controlador no instancia el javabean y no genera la vista correspondiente si no se cumplen las condiciones requeridas de seguridad, pero si nuestro modelo es una clase EJB remota, ¿cómo se impide que no se pueda invocar esa clase remota por algún procedimiento malicioso que no implique pasar previamente por el controlador?