身份和訪問管理簡介

時間：2022-02-27 12:45:01 | 來源：信息時代

時間：2022-02-27 12:45:01 來源：信息時代

管理身份和訪問企業(yè)應用程序的控制仍然是當今的IT面臨的最大挑戰(zhàn)之一。雖然企業(yè)可以在沒有良好的身份和訪問管理策略的前提下利用若干云計算服務，從長遠來說延伸企業(yè)身份管理服務到云計算確是實現(xiàn)按需計算服務戰(zhàn)略的先導。因此對企業(yè)基于云的身份和訪問管理(IAM)是否準備就緒進行一個誠實的評估，以及理解云計算供應商的能力，是采納現(xiàn)今公認為不成熟的云生態(tài)系統(tǒng)的必要前提。

我們將討論以下幾個在云中實施成功有效的身份管理必不可少的 IAM功能：

· 身份供應/取消供應(provisioning/deprovisioning)

· 認證

· 聯(lián)盟

· 授權(quán)和用戶配置文件管理

合規(guī)是整個過程的關(guān)鍵考慮因素。

身份供應：對企業(yè)采納云計算服務機構(gòu)的主要挑戰(zhàn)之一是在云端安全和及時地管理報到(供應，即創(chuàng)建和更新帳戶)和離職(取消供應，即刪除用戶帳戶)的用戶。此外，已經(jīng)實行內(nèi)部用戶管理的企業(yè)將尋求將這些進程和實踐引伸到云端服務。

認證：當機構(gòu)開始利用云端服務時，以可信賴及易于管理方式來認證用戶是一個至關(guān)重要的要求。機構(gòu)必須解決跟身份認證有關(guān)的挑戰(zhàn)，例如憑證管理、強認證(通常定義為多因素身份認證)、委派身份認證、及跨越所有云服務類型的信任管理。

聯(lián)盟：在云計算環(huán)境，聯(lián)盟身份管理在使企業(yè)能夠利用所選擇的身份提供商(IdP)去認證云用戶提供了至關(guān)重要的作用的。在這方面，身份提供商(IdP)與服務提供商(SP)以安全的方式交換身份屬性也是一個重要的要求。機構(gòu)在考慮云聯(lián)盟身份管理應該了解的以下各種挑戰(zhàn)和可能的解決方案，這包括有關(guān)身份生命周期管理、可用的認證方法來保護機密性和完整性;與此同時支持不可抵賴性。

授權(quán)和用戶配置文件管理：為用戶配置文件和訪問控制方針的要求，取決于用戶是否以自己的名義行事(如消費者)或作為一個機構(gòu)(如雇主，大學，醫(yī)院的成員，或其他企業(yè))。在SPI環(huán)境下的訪問控制的要求包括建立可信任用戶配置文件和規(guī)則信息，不但用它來控制在云端服務的訪問，而且運行方式符合審核的要求。

身份供應 - 建議

? 由云供應商提供的身份供應功能目前沒有足以滿足企業(yè)的需求?？蛻魬苊鈱Ｓ玫慕鉀Q方案諸如創(chuàng)建云供應商獨有的自定義連接器，因為這些加劇了管理的復雜性。

? 客戶應利用由云供應商提供標準的連接器，這些最好是建立在服務供應標記語言SPML模式上。若您的云供應商目前尚未提供，您應該要求SPML支持。

? 云客戶應修改或擴展其權(quán)威身份數(shù)據(jù)庫(authoritative repositories)，以便它包括在云端的應用和進程。

認證 - 建議

云提供商和客戶企業(yè)都應考慮與憑證管理和強認證相關(guān)的挑戰(zhàn)，并實施符合成本效益的解決方案來適當?shù)販p少風險。

SaaS和PaaS提供商通常提供的選擇是內(nèi)置的認證服務到他們的應用程序或平臺，或?qū)⒄J證以委派身份(delegating authentication)方式呈交給企業(yè)。

客戶有以下幾種選擇：

? 企業(yè)認證。企業(yè)應考慮通過他們的身份認證提供者(IdP)的認證用戶，并通過聯(lián)盟方式建立與SaaS提供商的信任。

? 個人用戶以自己的名義認證。企業(yè)應該考慮使用以用戶為中心的認證方式，如谷歌、雅虎、OpenID、及 Live ID等，建立能在多個網(wǎng)站有效使用的單套憑據(jù)(credentials)。

? 任何SaaS提供商如果需要依賴專有方法來委托認證(例如，用共享加密的cookie或其他方式來處理可信性)，在此情況下應做一個徹底適當?shù)陌踩u價后，方可繼續(xù)。通常應優(yōu)先采納使用開放標準的委托認證方法。

對于IaaS，認證方面可以利用現(xiàn)有企業(yè)的能力。

? 對于IT人員，建立一個專門的虛擬專用網(wǎng)(VPN)將是一個更好的選擇，因為他們可以利用現(xiàn)有的系統(tǒng)和過程。

? 一些可能的解決方案包括建立一個通往公司網(wǎng)絡或聯(lián)盟的專門VPN隧道。當應用程序利用現(xiàn)有的身份管理系統(tǒng)(如SSO方案管理系統(tǒng)或基于LDAP身份認證提供的權(quán)威身份數(shù)據(jù)源)時，專門VPN隧道技術(shù)可發(fā)揮更好功用。

? 在專用VPN隧道是不可行的情況下，應用程序的設計應該接受各種形式的身份認證斷言(SAML、WS-Federation等)，結(jié)合如SSL標準的網(wǎng)絡加密技術(shù)。這種方法能使機構(gòu)不僅在企業(yè)內(nèi)部配置聯(lián)合SSO的，而且可應用到云端應用程序。

? OpenID 是當應用程序是針對企業(yè)用戶之外使用的另一個選擇。然而，由于OpenID的憑據(jù)控制是在企業(yè)外部，因此應適當限制這些用戶的訪問權(quán)限。

? 任何云提供商實施的本地認證服務應兼容開放式認證-OATH。OATH兼容的解決方案將可避免公司被鎖定成為只能夠接受某一個供應商的身份認證憑據(jù)。

? 為了能應用強認證(不論是哪種技術(shù))，云應用程序都應該支持委托認證給享用此程序的企業(yè)，例如通過SAML的服務。

? 云供應商應該考慮支持各種強認證選擇，例如一次性密碼、生物識別、數(shù)字證書和Kerberos。這將為企業(yè)使用他們現(xiàn)有的基礎設施提供另一種選擇。

聯(lián)盟 – 建議

在云計算環(huán)境，身份聯(lián)盟是可使聯(lián)盟的企業(yè)進行身份認證、提供單一或減少登錄系統(tǒng)(SSO)、服務提供商(SP)和身份提供者(IdP)之間的交換身份屬性等的關(guān)鍵。機構(gòu)在考慮云聯(lián)合身份管理應該了解的各種挑戰(zhàn)和可能的解決方案，以解決有關(guān)身份生命周期管理、身份認證方法、令牌格式、和不可抵賴性。

? 企業(yè)在尋找云提供商過程中應確認云提供商支持至少有一個突出的標準(SAML和WS - Federation)。 SAML是正在成為一個得到廣泛支持的聯(lián)盟標準，主要的SaaS和PaaS云提供商都支持。支持多標準能實現(xiàn)更大程度的靈活性。

? 云提供商應該有更靈活地接受來自不同的身份提供者的標準聯(lián)盟格式。但大部分云供應商當前只支持單一的標準，例如，SAML的1.1或SAML 2.0?？释С侄喾N格式聯(lián)盟令牌(Token)的云提供商商應該考慮采取某些類型的聯(lián)盟網(wǎng)關(guān)(federation gateway)。

? 機構(gòu)可能希望評估比較聯(lián)盟公共SSO與聯(lián)盟私有SSO。聯(lián)盟公共 SSO的是基于標準，例如SAML和與云供應商的WS-Federation，而聯(lián)盟私有SSO則在VPN上利用現(xiàn)有的SSO架構(gòu)。長遠而言，聯(lián)盟公開SSO將是最理想的，但如果機構(gòu)有一個成熟的SSO架構(gòu)，并且云部署數(shù)量有限的話，可能會從聯(lián)盟私有SSO獲得短期的成本效益。

? 機構(gòu)不妨選擇聯(lián)盟網(wǎng)關(guān)來外部化(externalize)聯(lián)盟實施，以便管理令牌的簽發(fā)和核查。 使用這種方法，機構(gòu)委托聯(lián)盟網(wǎng)關(guān)簽發(fā)不同類型的令牌，并且聯(lián)盟網(wǎng)關(guān)還處理把令牌從一種格式轉(zhuǎn)換到另一個格式。

訪問控制 – 建議

選擇或?qū)彶樵品赵L問控制解決方案是否足夠，需要以下考慮許多方面：

? 審查訪問控制模型的服務或數(shù)據(jù)類型是否適當。

? 識別策略和用戶配置信息的權(quán)威來源。

? 評估所需的數(shù)據(jù)隱私策略的支持。

? 選擇一種格式，用以規(guī)定策略和用戶信息。

? 確定從策略管理點(PAP)到策略決策點(PDP)的策略傳輸機制。

? 確定從策略信息點(PIP)到策略決策點(PDP)的用戶信息傳輸機制。

? 從策略決策點(PDP)請求一個策略決定。

? 在策略執(zhí)行點(PEP)強化一個策略執(zhí)行。

? 計錄審計所需的日志資料。

身份作為服務IDaaS – 建議

身份作為服務(IDaaS)應遵循與內(nèi)部的IAM部署同樣的最佳實踐，都輔以保密性、完整性、和可審計性的考慮。

? 對于內(nèi)部企業(yè)用戶，保管人必須審查云供應商的選擇以提供到云端的安全訪問，或者直接通過VPN，或者通過諸如SAML和強認證等行業(yè)標準。需要平衡使用云的成本降低與所需的風險緩解措施，應該解決掉將雇員信息存儲在外部天然會帶來隱私的擔憂。

? 對于諸如伙伴的外部用戶，信息所有者需要與IAM的提供商在SDLC生命周期上合作，并將威脅評估也考慮進來。應用安全 – 各個組件之間的相互作用、以及由此產(chǎn)生的脆弱性(如SQL注入和跨站腳本，等等) - 也必須考慮和保護。

? PaaS用戶應研究IDaaS提供商對行業(yè)標準支持程度，包括供應、認證、對訪問控制策略的通信、以及審計信息。

? 專有的解決方案對云端的IAM環(huán)境構(gòu)成重大風險，這是因為專有組件缺乏透明度。專有網(wǎng)絡協(xié)議、加密算法和數(shù)據(jù)通信往往不太安全、不太可靠、，互操作性不夠等。所以對外部化的IAM組件采用開放標準非常重要。

? 對于IaaS客戶，用于發(fā)布虛擬服務器的第三方系統(tǒng)鏡像(images)，需要驗證用戶和鏡像的真實性。對鏡像的生命周期管理提供支持的審查必須與驗證內(nèi)部網(wǎng)絡上安裝的軟件遵循同樣的原則。