科技行者

行者學院 轉型私董會 科技行者專題報道 網紅大戰科技行者

知識庫

知識庫 安全導航

知識庫分類索引
技術分類
廠商分類

身份和訪問管理

管理身份和訪問企業應用程序的控制仍然是當今的IT面臨的最大挑戰之一。雖然企業可以在沒有良好的身份和訪問管理策略的前提下利用若干云計算服務,從長遠來說延伸企業身份管理服務到云計算確是實現按需計算服務戰略的先導。因此對企業基于云的身份和訪問管理(IAM)是否準備就緒進行一個誠實的評估,以及理解云計算供應商的能力,是采納現今公認為不成熟的云生態系統的必要前提。

我們將討論以下幾個在云中實施成功有效的身份管理必不可少的 IAM功能:

· 身份供應/取消供應(provisioning/deprovisioning)

· 認證

· 聯盟

· 授權和用戶配置文件管理

合規是整個過程的關鍵考慮因素。

身份供應:對企業采納云計算服務機構的主要挑戰之一是在云端安全和及時地管理報到(供應,即創建和更新帳戶)和離職(取消供應,即刪除用戶帳戶)的用戶。此外,已經實行內部用戶管理的企業將尋求將這些進程和實踐引伸到云端服務。

認證:當機構開始利用云端服務時,以可信賴及易于管理方式來認證用戶是一個至關重要的要求。機構必須解決跟身份認證有關的挑戰,例如憑證管理、強認證(通常定義為多因素身份認證)、委派身份認證、及跨越所有云服務類型的信任管理。

聯盟:在云計算環境,聯盟身份管理在使企業能夠利用所選擇的身份提供商(IdP)去認證云用戶提供了至關重要的作用的。在這方面,身份提供商(IdP)與服務提供商(SP)以安全的方式交換身份屬性也是一個重要的要求。機構在考慮云聯盟身份管理應該了解的以下各種挑戰和可能的解決方案,這包括有關身份生命周期管理、可用的認證方法來保護機密性和完整性;與此同時支持不可抵賴性。

授權和用戶配置文件管理:為用戶配置文件和訪問控制方針的要求,取決于用戶是否以自己的名義行事(如消費者)或作為一個機構(如雇主,大學,醫院的成員,或其他企業)。在SPI環境下的訪問控制的要求包括建立可信任用戶配置文件和規則信息,不但用它來控制在云端服務的訪問,而且運行方式符合審核的要求。

身份供應 - 建議

• 由云供應商提供的身份供應功能目前沒有足以滿足企業的需求。客戶應避免專用的解決方案諸如創建云供應商獨有的自定義連接器,因為這些加劇了管理的復雜性。

• 客戶應利用由云供應商提供標準的連接器,這些最好是建立在服務供應標記語言SPML模式上。若您的云供應商目前尚未提供,您應該要求SPML支持。

• 云客戶應修改或擴展其權威身份數據庫(authoritative repositories),以便它包括在云端的應用和進程。

認證 - 建議

云提供商和客戶企業都應考慮與憑證管理和強認證相關的挑戰,并實施符合成本效益的解決方案來適當地減少風險。

SaaS和PaaS提供商通常提供的選擇是內置的認證服務到他們的應用程序或平臺,或將認證以委派身份(delegating authentication)方式呈交給企業。

客戶有以下幾種選擇:

• 企業認證。企業應考慮通過他們的身份認證提供者(IdP)的認證用戶,并通過聯盟方式建立與SaaS提供商的信任。

• 個人用戶以自己的名義認證。企業應該考慮使用以用戶為中心的認證方式,如谷歌、雅虎、OpenID、及 Live ID等,建立能在多個網站有效使用的單套憑據(credentials)。

• 任何SaaS提供商如果需要依賴專有方法來委托認證(例如,用共享加密的cookie或其他方式來處理可信性),在此情況下應做一個徹底適當的安全評價后,方可繼續。通常應優先采納使用開放標準的委托認證方法。

對于IaaS,認證方面可以利用現有企業的能力。

• 對于IT人員,建立一個專門的虛擬專用網(VPN)將是一個更好的選擇,因為他們可以利用現有的系統和過程。

• 一些可能的解決方案包括建立一個通往公司網絡或聯盟的專門VPN隧道。當應用程序利用現有的身份管理系統(如SSO方案管理系統或基于LDAP身份認證提供的權威身份數據源)時,專門VPN隧道技術可發揮更好功用。

• 在專用VPN隧道是不可行的情況下,應用程序的設計應該接受各種形式的身份認證斷言(SAML、WS-Federation等),結合如SSL標準的網絡加密技術。這種方法能使機構不僅在企業內部配置聯合SSO的,而且可應用到云端應用程序。

• OpenID 是當應用程序是針對企業用戶之外使用的另一個選擇。然而,由于OpenID的憑據控制是在企業外部,因此應適當限制這些用戶的訪問權限。

• 任何云提供商實施的本地認證服務應兼容開放式認證-OATH。OATH兼容的解決方案將可避免公司被鎖定成為只能夠接受某一個供應商的身份認證憑據。

• 為了能應用強認證(不論是哪種技術),云應用程序都應該支持委托認證給享用此程序的企業,例如通過SAML的服務。

• 云供應商應該考慮支持各種強認證選擇,例如一次性密碼、生物識別、數字證書和Kerberos。這將為企業使用他們現有的基礎設施提供另一種選擇。

聯盟 – 建議

在云計算環境,身份聯盟是可使聯盟的企業進行身份認證、提供單一或減少登錄系統(SSO)、服務提供商(SP)和身份提供者(IdP)之間的交換身份屬性等的關鍵。機構在考慮云聯合身份管理應該了解的各種挑戰和可能的解決方案,以解決有關身份生命周期管理、身份認證方法、令牌格式、和不可抵賴性。

• 企業在尋找云提供商過程中應確認云提供商支持至少有一個突出的標準(SAML和WS - Federation)。 SAML是正在成為一個得到廣泛支持的聯盟標準,主要的SaaS和PaaS云提供商都支持。支持多標準能實現更大程度的靈活性。

• 云提供商應該有更靈活地接受來自不同的身份提供者的標準聯盟格式。但大部分云供應商當前只支持單一的標準,例如,SAML的1.1或SAML 2.0。渴望支持多種格式聯盟令牌(Token)的云提供商商應該考慮采取某些類型的聯盟網關(federation gateway)。

• 機構可能希望評估比較聯盟公共SSO與聯盟私有SSO。聯盟公共 SSO的是基于標準,例如SAML和與云供應商的WS-Federation,而聯盟私有SSO則在VPN上利用現有的SSO架構。長遠而言,聯盟公開SSO將是最理想的,但如果機構有一個成熟的SSO架構,并且云部署數量有限的話,可能會從聯盟私有SSO獲得短期的成本效益。

• 機構不妨選擇聯盟網關來外部化(externalize)聯盟實施,以便管理令牌的簽發和核查。 使用這種方法,機構委托聯盟網關簽發不同類型的令牌,并且聯盟網關還處理把令牌從一種格式轉換到另一個格式。

訪問控制 – 建議

選擇或審查云服務訪問控制解決方案是否足夠,需要以下考慮許多方面:

• 審查訪問控制模型的服務或數據類型是否適當。

• 識別策略和用戶配置信息的權威來源。

• 評估所需的數據隱私策略的支持。

• 選擇一種格式,用以規定策略和用戶信息。

• 確定從策略管理點(PAP)到策略決策點(PDP)的策略傳輸機制。

• 確定從策略信息點(PIP)到策略決策點(PDP)的用戶信息傳輸機制。

• 從策略決策點(PDP)請求一個策略決定。

• 在策略執行點(PEP)強化一個策略執行。

• 計錄審計所需的日志資料。

身份作為服務IDaaS – 建議

身份作為服務(IDaaS)應遵循與內部的IAM部署同樣的最佳實踐,都輔以保密性、完整性、和可審計性的考慮。

• 對于內部企業用戶,保管人必須審查云供應商的選擇以提供到云端的安全訪問,或者直接通過VPN,或者通過諸如SAML和強認證等行業標準。需要平衡使用云的成本降低與所需的風險緩解措施,應該解決掉將雇員信息存儲在外部天然會帶來隱私的擔憂。

• 對于諸如伙伴的外部用戶,信息所有者需要與IAM的提供商在SDLC生命周期上合作,并將威脅評估也考慮進來。應用安全 – 各個組件之間的相互作用、以及由此產生的脆弱性(如SQL注入和跨站腳本,等等) - 也必須考慮和保護。

• PaaS用戶應研究IDaaS提供商對行業標準支持程度,包括供應、認證、對訪問控制策略的通信、以及審計信息。

• 專有的解決方案對云端的IAM環境構成重大風險,這是因為專有組件缺乏透明度。專有網絡協議、加密算法和數據通信往往不太安全、不太可靠、,互操作性不夠等。所以對外部化的IAM組件采用開放標準非常重要。

• 對于IaaS客戶,用于發布虛擬服務器的第三方系統鏡像(images),需要驗證用戶和鏡像的真實性。對鏡像的生命周期管理提供支持的審查必須與驗證內部網絡上安裝的軟件遵循同樣的原則。

相關新聞
云南时时彩福利