管理身份和訪問(wèn)企業(yè)應(yīng)用程序的控制仍然是當(dāng)今的IT面臨的最大挑戰(zhàn)之一。雖然企業(yè)可以在沒(méi)有良好的身份和訪問(wèn)管理策略的前提下利用若干云計(jì)算服務(wù)，從長(zhǎng)遠(yuǎn)來(lái)說(shuō)延伸企業(yè)身份管理服務(wù)到云計(jì)算確是實(shí)現(xiàn)按需計(jì)算服務(wù)戰(zhàn)略的先導(dǎo)。因此對(duì)企業(yè)基于云的身份和訪問(wèn)管理(IAM)是否準(zhǔn)備就緒進(jìn)行一個(gè)誠(chéng)實(shí)的評(píng)估，以及理解云計(jì)算供應(yīng)商的能力，是采納現(xiàn)今公認(rèn)為不成熟的云生態(tài)系統(tǒng)的必要前提。

我們將討論以下幾個(gè)在云中實(shí)施成功有效的身份管理必不可少的 IAM功能：

· 身份供應(yīng)/取消供應(yīng)(provisioning/deprovisioning)

· 認(rèn)證

· 聯(lián)盟

· 授權(quán)和用戶配置文件管理

合規(guī)是整個(gè)過(guò)程的關(guān)鍵考慮因素。

身份供應(yīng)：對(duì)企業(yè)采納云計(jì)算服務(wù)機(jī)構(gòu)的主要挑戰(zhàn)之一是在云端安全和及時(shí)地管理報(bào)到(供應(yīng)，即創(chuàng)建和更新帳戶)和離職(取消供應(yīng)，即刪除用戶帳戶)的用戶。此外，已經(jīng)實(shí)行內(nèi)部用戶管理的企業(yè)將尋求將這些進(jìn)程和實(shí)踐引伸到云端服務(wù)。

認(rèn)證：當(dāng)機(jī)構(gòu)開始利用云端服務(wù)時(shí)，以可信賴及易于管理方式來(lái)認(rèn)證用戶是一個(gè)至關(guān)重要的要求。機(jī)構(gòu)必須解決跟身份認(rèn)證有關(guān)的挑戰(zhàn)，例如憑證管理、強(qiáng)認(rèn)證(通常定義為多因素身份認(rèn)證)、委派身份認(rèn)證、及跨越所有云服務(wù)類型的信任管理。

聯(lián)盟：在云計(jì)算環(huán)境，聯(lián)盟身份管理在使企業(yè)能夠利用所選擇的身份提供商(IdP)去認(rèn)證云用戶提供了至關(guān)重要的作用的。在這方面，身份提供商(IdP)與服務(wù)提供商(SP)以安全的方式交換身份屬性也是一個(gè)重要的要求。機(jī)構(gòu)在考慮云聯(lián)盟身份管理應(yīng)該了解的以下各種挑戰(zhàn)和可能的解決方案，這包括有關(guān)身份生命周期管理、可用的認(rèn)證方法來(lái)保護(hù)機(jī)密性和完整性;與此同時(shí)支持不可抵賴性。

授權(quán)和用戶配置文件管理：為用戶配置文件和訪問(wèn)控制方針的要求，取決于用戶是否以自己的名義行事(如消費(fèi)者)或作為一個(gè)機(jī)構(gòu)(如雇主，大學(xué)，醫(yī)院的成員，或其他企業(yè))。在SPI環(huán)境下的訪問(wèn)控制的要求包括建立可信任用戶配置文件和規(guī)則信息，不但用它來(lái)控制在云端服務(wù)的訪問(wèn)，而且運(yùn)行方式符合審核的要求。

身份供應(yīng) - 建議

• 由云供應(yīng)商提供的身份供應(yīng)功能目前沒(méi)有足以滿足企業(yè)的需求�？蛻魬�(yīng)避免專用的解決方案諸如創(chuàng)建云供應(yīng)商獨(dú)有的自定義連接器，因?yàn)檫@些加劇了管理的復(fù)雜性。

• 客戶應(yīng)利用由云供應(yīng)商提供標(biāo)準(zhǔn)的連接器，這些最好是建立在服務(wù)供應(yīng)標(biāo)記語(yǔ)言SPML模式上。若您的云供應(yīng)商目前尚未提供，您應(yīng)該要求SPML支持。

• 云客戶應(yīng)修改或擴(kuò)展其權(quán)威身份數(shù)據(jù)庫(kù)(authoritative repositories)，以便它包括在云端的應(yīng)用和進(jìn)程。

認(rèn)證 - 建議

云提供商和客戶企業(yè)都應(yīng)考慮與憑證管理和強(qiáng)認(rèn)證相關(guān)的挑戰(zhàn)，并實(shí)施符合成本效益的解決方案來(lái)適當(dāng)?shù)販p少風(fēng)險(xiǎn)。

SaaS和PaaS提供商通常提供的選擇是內(nèi)置的認(rèn)證服務(wù)到他們的應(yīng)用程序或平臺(tái)，或?qū)⒄J(rèn)證以委派身份(delegating authentication)方式呈交給企業(yè)。

客戶有以下幾種選擇：

• 企業(yè)認(rèn)證。企業(yè)應(yīng)考慮通過(guò)他們的身份認(rèn)證提供者(IdP)的認(rèn)證用戶，并通過(guò)聯(lián)盟方式建立與SaaS提供商的信任。

• 個(gè)人用戶以自己的名義認(rèn)證。企業(yè)應(yīng)該考慮使用以用戶為中心的認(rèn)證方式，如谷歌、雅虎、OpenID、及 Live ID等，建立能在多個(gè)網(wǎng)站有效使用的單套憑據(jù)(credentials)。

• 任何SaaS提供商如果需要依賴專有方法來(lái)委托認(rèn)證(例如，用共享加密的cookie或其他方式來(lái)處理可信性)，在此情況下應(yīng)做一個(gè)徹底適當(dāng)?shù)陌踩�評(píng)價(jià)后，方可繼續(xù)。通常應(yīng)優(yōu)先采納使用開放標(biāo)準(zhǔn)的委托認(rèn)證方法。

對(duì)于IaaS，認(rèn)證方面可以利用現(xiàn)有企業(yè)的能力。

• 對(duì)于IT人員，建立一個(gè)專門的虛擬專用網(wǎng)(VPN)將是一個(gè)更好的選擇，因?yàn)樗麄兛梢岳�用現(xiàn)有的系統(tǒng)和過(guò)程。

• 一些可能的解決方案包括建立一個(gè)通往公司網(wǎng)絡(luò)或聯(lián)盟的專門VPN隧道。當(dāng)應(yīng)用程序利用現(xiàn)有的身份管理系統(tǒng)(如SSO方案管理系統(tǒng)或基于LDAP身份認(rèn)證提供的權(quán)威身份數(shù)據(jù)源)時(shí)，專門VPN隧道技術(shù)可發(fā)揮更好功用。

• 在專用VPN隧道是不可行的情況下，應(yīng)用程序的設(shè)計(jì)應(yīng)該接受各種形式的身份認(rèn)證斷言(SAML、WS-Federation等)，結(jié)合如SSL標(biāo)準(zhǔn)的網(wǎng)絡(luò)加密技術(shù)。這種方法能使機(jī)構(gòu)不僅在企業(yè)內(nèi)部配置聯(lián)合SSO的，而且可應(yīng)用到云端應(yīng)用程序。

• OpenID 是當(dāng)應(yīng)用程序是針對(duì)企業(yè)用戶之外使用的另一個(gè)選擇。然而，由于OpenID的憑據(jù)控制是在企業(yè)外部，因此應(yīng)適當(dāng)限制這些用戶的訪問(wèn)權(quán)限。

• 任何云提供商實(shí)施的本地認(rèn)證服務(wù)應(yīng)兼容開放式認(rèn)證-OATH。OATH兼容的解決方案將可避免公司被鎖定成為只能夠接受某一個(gè)供應(yīng)商的身份認(rèn)證憑據(jù)。

• 為了能應(yīng)用強(qiáng)認(rèn)證(不論是哪種技術(shù))，云應(yīng)用程序都應(yīng)該支持委托認(rèn)證給享用此程序的企業(yè)，例如通過(guò)SAML的服務(wù)。

• 云供應(yīng)商應(yīng)該考慮支持各種強(qiáng)認(rèn)證選擇，例如一次性密碼、生物識(shí)別、數(shù)字證書和Kerberos。這將為企業(yè)使用他們現(xiàn)有的基礎(chǔ)設(shè)施提供另一種選擇。

聯(lián)盟 – 建議

在云計(jì)算環(huán)境，身份聯(lián)盟是可使聯(lián)盟的企業(yè)進(jìn)行身份認(rèn)證、提供單一或減少登錄系統(tǒng)(SSO)、服務(wù)提供商(SP)和身份提供者(IdP)之間的交換身份屬性等的關(guān)鍵。機(jī)構(gòu)在考慮云聯(lián)合身份管理應(yīng)該了解的各種挑戰(zhàn)和可能的解決方案，以解決有關(guān)身份生命周期管理、身份認(rèn)證方法、令牌格式、和不可抵賴性。

• 企業(yè)在尋找云提供商過(guò)程中應(yīng)確認(rèn)云提供商支持至少有一個(gè)突出的標(biāo)準(zhǔn)(SAML和WS - Federation)。 SAML是正在成為一個(gè)得到廣泛支持的聯(lián)盟標(biāo)準(zhǔn)，主要的SaaS和PaaS云提供商都支持。支持多標(biāo)準(zhǔn)能實(shí)現(xiàn)更大程度的靈活性。

• 云提供商應(yīng)該有更靈活地接受來(lái)自不同的身份提供者的標(biāo)準(zhǔn)聯(lián)盟格式。但大部分云供應(yīng)商當(dāng)前只支持單一的標(biāo)準(zhǔn)，例如，SAML的1.1或SAML 2.0�？释�支持多種格式聯(lián)盟令牌(Token)的云提供商商應(yīng)該考慮采取某些類型的聯(lián)盟網(wǎng)關(guān)(federation gateway)。

• 機(jī)構(gòu)可能希望評(píng)估比較聯(lián)盟公共SSO與聯(lián)盟私有SSO。聯(lián)盟公共 SSO的是基于標(biāo)準(zhǔn)，例如SAML和與云供應(yīng)商的WS-Federation，而聯(lián)盟私有SSO則在VPN上利用現(xiàn)有的SSO架構(gòu)。長(zhǎng)遠(yuǎn)而言，聯(lián)盟公開SSO將是最理想的，但如果機(jī)構(gòu)有一個(gè)成熟的SSO架構(gòu)，并且云部署數(shù)量有限的話，可能會(huì)從聯(lián)盟私有SSO獲得短期的成本效益。

• 機(jī)構(gòu)不妨選擇聯(lián)盟網(wǎng)關(guān)來(lái)外部化(externalize)聯(lián)盟實(shí)施，以便管理令牌的簽發(fā)和核查。 使用這種方法，機(jī)構(gòu)委托聯(lián)盟網(wǎng)關(guān)簽發(fā)不同類型的令牌，并且聯(lián)盟網(wǎng)關(guān)還處理把令牌從一種格式轉(zhuǎn)換到另一個(gè)格式。

訪問(wèn)控制 – 建議

選擇或?qū)彶樵品��?wù)訪問(wèn)控制解決方案是否足夠，需要以下考慮許多方面：

• 審查訪問(wèn)控制模型的服務(wù)或數(shù)據(jù)類型是否適當(dāng)。

• 識(shí)別策略和用戶配置信息的權(quán)威來(lái)源。

• 評(píng)估所需的數(shù)據(jù)隱私策略的支持。

• 選擇一種格式，用以規(guī)定策略和用戶信息。

• 確定從策略管理點(diǎn)(PAP)到策略決策點(diǎn)(PDP)的策略傳輸機(jī)制。

• 確定從策略信息點(diǎn)(PIP)到策略決策點(diǎn)(PDP)的用戶信息傳輸機(jī)制。

• 從策略決策點(diǎn)(PDP)請(qǐng)求一個(gè)策略決定。

• 在策略執(zhí)行點(diǎn)(PEP)強(qiáng)化一個(gè)策略執(zhí)行。

• 計(jì)錄審計(jì)所需的日志資料。

身份作為服務(wù)IDaaS – 建議

身份作為服務(wù)(IDaaS)應(yīng)遵循與內(nèi)部的IAM部署同樣的最佳實(shí)踐，都輔以保密性、完整性、和可審計(jì)性的考慮。

• 對(duì)于內(nèi)部企業(yè)用戶，保管人必須審查云供應(yīng)商的選擇以提供到云端的安全訪問(wèn)，或者直接通過(guò)VPN，或者通過(guò)諸如SAML和強(qiáng)認(rèn)證等行業(yè)標(biāo)準(zhǔn)。需要平衡使用云的成本降低與所需的風(fēng)險(xiǎn)緩解措施，應(yīng)該解決掉將雇員信息存儲(chǔ)在外部天然會(huì)帶來(lái)隱私的擔(dān)憂。

• 對(duì)于諸如伙伴的外部用戶，信息所有者需要與IAM的提供商在SDLC生命周期上合作，并將威脅評(píng)估也考慮進(jìn)來(lái)。應(yīng)用安全 – 各個(gè)組件之間的相互作用、以及由此產(chǎn)生的脆弱性(如SQL注入和跨站腳本，等等) - 也必須考慮和保護(hù)。

• PaaS用戶應(yīng)研究IDaaS提供商對(duì)行業(yè)標(biāo)準(zhǔn)支持程度，包括供應(yīng)、認(rèn)證、對(duì)訪問(wèn)控制策略的通信、以及審計(jì)信息。

• 專有的解決方案對(duì)云端的IAM環(huán)境構(gòu)成重大風(fēng)險(xiǎn)，這是因?yàn)閷Ｓ薪M件缺乏透明度。專有網(wǎng)絡(luò)協(xié)議、加密算法和數(shù)據(jù)通信往往不太安全、不太可靠、，互操作性不夠等。所以對(duì)外部化的IAM組件采用開放標(biāo)準(zhǔn)非常重要。

• 對(duì)于IaaS客戶，用于發(fā)布虛擬服務(wù)器的第三方系統(tǒng)鏡像(images)，需要驗(yàn)證用戶和鏡像的真實(shí)性。對(duì)鏡像的生命周期管理提供支持的審查必須與驗(yàn)證內(nèi)部網(wǎng)絡(luò)上安裝的軟件遵循同樣的原則。