评估基于云的身份以及访问管理是否准备就绪


管理身份和访问企业应用程序的控制仍然是当今的IT面临的最大挑战之一。虽然企业可以在没有良好的身份和访问管理策略的前提下利用若干云计算服务,从长远来说延伸企业身份管理服务到云计算确是实现按需计算服务战略的先导。因此对企业基于云的身份和访问管理(IAM)是否准备就绪进行一个诚实的评估,以及理解云计算供应商的能力,是采纳现今公认为不成熟的云生态系统的必要前提。

我们将讨论以下几个在云中实施成功有效的身份管理必不可少的IAM功能:

•身份供应/取消供应(provisioning/deprovisioning)

•认证

•联盟

•授权和用户配置文件管理,安全是整个过程的关键考虑因素。

身份供应:对企业采纳云计算服务机构的主要挑战之一是在云端安全和及时地管理报到(供应,即创建和更新帐户)和离职(取消供应,即删除用户帐户)的用户。此外,已经实行内部用户管理的企业将寻求将这些进程和实践引伸到云端服务。

认证:当机构开始利用云端服务时,以可信赖及易于管理方式来认证用户是一个至关重要的要求。机构必须解决跟身份认证有关的挑战,例如凭证管理、强认证(通常定义为多因素身份认证)、委派身份认证、及跨越所有云服务类型的信任管理。

联盟:在云计算环境,联盟身份管理在使企业能够利用所选择的身份提供商(IdP)去认证云用户提供了至关重要的作用的。在这方面,身份提供商(IdP)与服务提供商(SP)以安全的方式交换身份属性也是一个重要的要求。机构在考虑云联盟身份管理应该了解的以下各种挑战和可能的解决方案,这包括有关身份生命周期管理、可用的认证方法来保护机密性和完整性;与此同时支持不可抵赖性。

授权和用户配置文件管理:为用户配置文件和访问控制方针的要求,取决于用户是否以自己的名义行事(如消费者)或作为一个机构(如雇主,大学,医院的成员,或其他企业)。在SPI环境下的访问控制的要求包括建立可信任用户配置文件和规则信息,不但用它来控制在云端服务的访问,而且运行方式符合审核的要求。

身份供应-建议

由云供应商提供的身份供应功能目前没有足以满足企业的需求。客户应避免专用的解决方案诸如创建云供应商独有的自定义连接器,因为这些加剧了管理的复杂性。

客户应利用由云供应商提供标准的连接器,这些最好是建立在服务供应标记语言SPML模式上。若您的云供应商目前尚未提供,您应该要求SPML支持。云客户应修改或扩展其权威身份数据库(authoritative repositories),以便它包括在云端的应用和进程。

认证-建议

云提供商和客户企业都应考虑与凭证管理和强认证相关的挑战,并实施符合成本效益的解决方案来适当地减少风险。SaaS和PaaS提供商通常提供的选择是内置的认证服务到他们的应用程序或平台,或将认证以委派身份(delegating authentication)方式呈交给企业。

客户有以下几种选择:

企业认证。企业应考虑通过他们的身份认证提供者(IdP)的认证用户,并通过联盟方式建立与SaaS提供商的信任。

个人用户以自己的名义认证。企业应该考虑使用以用户为中心的认证方式,如谷歌、雅虎、OpenID、及Live ID等,建立能在多个网站有效使用的单套凭据(credentials)。

任何SaaS提供商如果需要依赖专有方法来委托认证(例如,用共享加密的cookie或其他方式来处理可信性),在此情况下应做一个彻底适当的安全评价后,方可继续。通常应优先采纳使用开放标准的委托认证方法。对于IaaS,认证方面可以利用现有企业的能力。

对于IT人员,建立一个专门的虚拟专用网(VPN)将是一个更好的选择,因为他们可以利用现有的系统和过程。

一些可能的解决方案包括建立一个通往公司网络或联盟的专门VPN隧道。当应用程序利用现有的身份管理系统(如SSO方案管理系统或基于LDAP身份认证提供的权威身份数据源)时,专门VPN隧道技术可发挥更好功用。

在专用VPN隧道是不可行的情况下,应用程序的设计应该接受各种形式的身份认证断言(SAML、WS-Federation等),结合如SSL标准的网络加密技术。这种方法能使机构不仅在企业内部配置联合SSO的,而且可应用到云端应用程序。

OpenID是当应用程序是针对企业用户之外使用的另一个选择。然而,由于OpenID的凭据控制是在企业外部,因此应适当限制这些用户的访问权限。

任何云提供商实施的本地认证服务应兼容开放式认证-OATH。OATH兼容的解决方案将可避免公司被锁定成为只能够接受某一个供应商的身份认证凭据。

为了能应用强认证(不论是哪种技术),云应用程序都应该支持委托认证给享用此程序的企业,例如通过SAML的服务。

云供应商应该考虑支持各种强认证选择,例如一次性密码、生物识别、数字证书和Kerberos。这将为企业使用他们现有的基础设施提供另一种选择。

联盟–建议

在云计算环境,身份联盟是可使联盟的企业进行身份认证、提供单一或减少登录系统(SSO)、服务提供商(SP)和身份提供者(IdP)之间的交换身份属性等的关键。机构在考虑云联合身份管理应该了解的各种挑战和可能的解决方案,以解决有关身份生命周期管理、身份认证方法、令牌格式、和不可抵赖性。

企业在寻找云提供商过程中应确认云提供商支持至少有一个突出的标准(SAML和WS-Federation)。SAML是正在成为一个得到广泛支持的联盟标准,主要的SaaS和PaaS云提供商都支持。支持多标准能实现更大程度的灵活性。

云提供商应该有更灵活地接受来自不同的身份提供者的标准联盟格式。但大部分云供应商当前只支持单一的标准,例如,SAML的1.1或SAML 2.0。渴望支持多种格式联盟令牌(Token)的云提供商商应该考虑采取某些类型的联盟网关(federation gateway)。

机构可能希望评估比较联盟公共SSO与联盟私有SSO。联盟公共SSO的是基于标准,例如SAML和与云供应商的WS-Federation,而联盟私有SSO则在VPN上利用现有的SSO架构。长远而言,联盟公开SSO将是最理想的,但如果机构有一个成熟的SSO架构,并且云部署数量有限的话,可能会从联盟私有SSO获得短期的成本效益。

机构不妨选择联盟网关来外部化(externalize)联盟实施,以便管理令牌的签发和核查。使用这种方法,机构委托联盟网关签发不同类型的令牌,并且联盟网关还处理把令牌从一种格式转换到另一个格式。

访问控制–建议

选择或审查云服务访问控制解决方案是否足够,需要以下考虑许多方面:

审查访问控制模型的服务或数据类型是否适当。

识别策略和用户配置信息的权威来源。

评估所需的数据隐私策略的支持。

选择一种格式,用以规定策略和用户信息。

确定从策略管理点(PAP)到策略决策点(PDP)的策略传输机制。

确定从策略信息点(PIP)到策略决策点(PDP)的用户信息传输机制。

从策略决策点(PDP)请求一个策略决定。

在策略执行点(PEP)强化一个策略执行。

计录审计所需的日志资料。

身份作为服务IDaaS–建议

身份作为服务(IDaaS)应遵循与内部的IAM部署同样的最佳实践,都辅以保密性、完整性、和可审计性的考虑。

对于内部企业用户,保管人必须审查云供应商的选择以提供到云端的安全访问,或者直接通过VPN,或者通过诸如SAML和强认证等行业标准。需要平衡使用云的成本降低与所需的风险缓解措施,应该解决掉将雇员信息存储在外部天然会带来隐私的担忧。

对于诸如伙伴的外部用户,信息所有者需要与IAM的提供商在SDLC生命周期上合作,并将威胁评估也考虑进来。应用安全–各个组件之间的相互作用、以及由此产生的脆弱性(如SQL注入和跨站脚本,等等)-也必须考虑和保护。

PaaS用户应研究IDaaS提供商对行业标准支持程度,包括供应、认证、对访问控制策略的通信、以及审计信息。

专有的解决方案对云端的IAM环境构成重大风险,这是因为专有组件缺乏透明度。专有网络协议、加密算法和数据通信往往不太安全、不太可靠、,互操作性不够等。所以对外部化的IAM组件采用开放标准非常重要。

对于IaaS客户,用于发布虚拟服务器的第三方系统镜像(images),需要验证用户和镜像的真实性。对镜像的生命周期管理提供支持的审查必须与验证内部网络上安装的软件遵循同样的原则。

总结

本文就云计算环境下身份认证和访问管理对云计算安全的影响进行了讨论,以及身份供应/取消供应、认证、联盟、授权和用户配置文件管理几个方面的安全考虑提出了建议性意见,供用户在对云计算安全方面进行设计时需要考虑的内容。云计算功能很强大,但是在强大的同时对安全的考虑也是需要进行仔细考虑和慎重设计的内容,否则云计算的强大功能只可能会沦为恶意攻击者的工具。

 

作者: 付海军
版权:本文版权归作者所有
转载:欢迎转载,为了保存作者的创作热情,请按要求【转载】,谢谢
要求:未经作者同意,必须保留此段声明;必须在文章中给出原文连接;否则必究法律责任
个人网站: http://txj.shell.tor.hu


发表回复