云計算安全——為什么要用IAM

從傳統(tǒng)意義上來看，機構(gòu)在IAM 實踐上進行投資的目的是為了提高運營效率，并滿足法規(guī)、隱私和數(shù)據(jù)保護等方面的需求：

1.提高運營效率

架構(gòu)良好的IAM 技術(shù)和流程可以使諸如用戶入職等的重復性工作實現(xiàn)自動化，從而提高效率(例如，自助重置用戶請求口令，無須系統(tǒng)管理員使用幫助臺派單系統(tǒng)介入)。

2.合規(guī)性管理

為了保護系統(tǒng)、應用程序和信息不受內(nèi)部和外部的威脅(如心懷不滿的員工刪除敏感數(shù)據(jù))，以及符合各種法規(guī)、隱私和數(shù)據(jù)保護的需求，機構(gòu)會實施“IT 通用和應用程序級控制”框架，而這個框架來自于行業(yè)標準框架，如ISO 27002 和信息技術(shù)基礎(chǔ)架構(gòu)庫(ITIL )。IAM 程序和實踐可以幫助機構(gòu)實現(xiàn)訪問控制和運行安全方面的目標(例如，合規(guī)性要求的執(zhí)行情況，如“職責分離”及工作人員履行職責的最小權(quán)限分配)。審計員通常將內(nèi)部控制映射為IT 控制，以支持合規(guī)性管理過程，如支付卡行業(yè)(PCI )數(shù)據(jù)安全標準(DSS )以及2003 年的薩班斯法案(SOX )。

除了提高運行效率和合規(guī)性管理效率，IAM 可以實現(xiàn)新的IT 交付和部署模式(如云計算服務)。例如，身份聯(lián)合，作為IAM 的關(guān)鍵組成部分，實現(xiàn)跨信任邊界的身份信息連接和攜帶。因此，IAM 使企業(yè)和云計算服務提供商通過Web 單點登錄及聯(lián)合的用戶開通，在安全信任域間建立通道。

一些需要云計算服務提供商提供IAM 支持的云計算用例包括：

機構(gòu)的員工及相關(guān)承包商使用身份聯(lián)合來訪問SaaS 服務(例如，銷售和支持人員使用企業(yè)身份和憑證訪問Salesforce.com )。

IT 管理員訪問云計算服務提供商控制臺，為使用企業(yè)身份的用戶提供資源和訪問能力(例如，Newco.com 的IT 管理員在亞馬遜彈性計算云中提供虛擬機及VM ，并在其中配置了虛擬機操作(如開始、停止、掛起和刪除等)的身份、權(quán)利和證書)。

開發(fā)人員在PaaS 平臺為其合作伙伴用戶創(chuàng)建賬戶(例如，Newco.com 開發(fā)人員在Force.com 中為簽約的Partnerco.com 員工提供賬戶，而后者執(zhí)行Newco.com 的業(yè)務流程)。

終端用戶使用訪問策略管理功能在域內(nèi)及域外訪問云計算中的存儲服務(如亞馬遜簡單儲存服務)并與用戶分享文件和對象。

云計算服務提供商內(nèi)的應用程序(如亞馬遜彈性計算云)通過其他云計算服務(如Mosso )訪問存儲。

由于IAM 如SSO 允許應用程序具體化認證功能，這使得企業(yè)可以快速采用*aaS 服務(Salesforce.com 是一個例子)以減少與服務提供商進行業(yè)務集成的時間。IAM 的功能也同樣可以幫助企業(yè)將某些流程或服務外包給合作伙伴，并減少對企業(yè)隱私和安全的影響，例如，履行訂單的商業(yè)合作伙伴的員工，可以使用身份聯(lián)合來訪問存儲在商業(yè)應用中的實時信息，并管理產(chǎn)品實現(xiàn)過程。簡言之，IAM 策略、實踐和架構(gòu)的延伸可以使機構(gòu)延伸云計算中用戶訪問管理實踐和過程。因此，實施IAM 的機構(gòu)可以快速采用云計算服務，并維護其安全控制的效率和效果。

#p#

云計算安全——IAM 的挑戰(zhàn)

IAM 的一個關(guān)鍵挑戰(zhàn)是：對訪問內(nèi)部及外部服務的不同用戶群(員工、承包商、合作伙伴等)的訪問管理。IT 總是不斷面臨為用戶快速提供適當訪問機制的挑戰(zhàn)，因為用戶的角色和職責經(jīng)常會因為業(yè)務因素而變化。機構(gòu)內(nèi)的人員流動也是存在的另外一個重要問題。人員流動性因行業(yè)及功能而有所不同，例如金融部門季節(jié)性的員工波動，人員流動性也可能由于業(yè)務的變化而上升，例如兼并和收購、新產(chǎn)品和服務的發(fā)布、業(yè)務流程外包和職責變更。因此，IAM 過程的維持將是個長期的挑戰(zhàn)。

信息的訪問策略很少是集中并一致采用的。機構(gòu)常常使用五花八門的不同目錄，創(chuàng)建復雜的管理用戶身份、訪問權(quán)限和流程的復雜Web 頁面，這使得用戶和訪問管理過程效率低下，也在安全、合規(guī)性、聲譽等方面給機構(gòu)帶來了極大的風險。

為了應對這些挑戰(zhàn)和風險，許多公司都在尋求集中的自動化管理用戶權(quán)限的技術(shù)解決方案。許多這樣的新方案都被賦予很高的期望，由于存在的問題通常很重大而且復雜，有這樣的期望并不奇怪。這些改進IAM 的新方案絕大多數(shù)需要花費數(shù)年時間以及相當大的費用。因此，機構(gòu)應當從業(yè)務和IT 驅(qū)動兩個方面著手處理其IAM 策略和架構(gòu)，在保持控制的有效性(與訪問控制相關(guān)的)同時，解決效率低下的核心問題。只有這樣機構(gòu)才有比較大的可能取得成功并收回投資。

云計算安全——IAM 的定義

首先我們提出適用于任何服務的IAM 功能的基本概念和定義：

認證

認證是核實用戶或系統(tǒng)身份的過程(例如，輕量級目錄訪問協(xié)議即LDAP 核實用戶所提交的證書，其標識符為指派給員工或承包商的企業(yè)用戶唯一ID )。認證通常意味著更為可靠的識別形式。在某些場合中，例如服務到服務的交互，認證包含對請求訪問另一個服務所提供信息的網(wǎng)絡服務請求進行驗證(例如，與信用卡網(wǎng)關(guān)相連的旅游Web 服務，會代表用戶對信用卡進行驗證)。

授權(quán)

授權(quán)是確定用戶或系統(tǒng)身份并授予權(quán)限的過程。在數(shù)字服務方面，授權(quán)通常是認證的下一個步驟，授權(quán)被用來確定用戶或服務是否具有執(zhí)行某項操作所需要的權(quán)限，換言之，授權(quán)是執(zhí)行策略的過程。

審計

對于IAM 而言，審計是指查看和檢查有關(guān)認證、授權(quán)的記錄和活動，以確定IAM 系統(tǒng)控制的完備性、核實與已有安全策略及過程的符合性(如職責分離)、檢測安全服務中的違規(guī)事件(如特權(quán)提升)，并給出相應的對策和整改建議。

#p#

云計算安全——IAM 體系架構(gòu)和實踐

IAM 并不是一個可以輕易部署并立即產(chǎn)生效果的整體解決方案，而是一個由各種技術(shù)組件、過程和標準實踐組成的體系架構(gòu)(參見圖5-1 )。標準的企業(yè)級IAM 體系架構(gòu)包含技術(shù)、服務和過程等幾個層面，其部署體系架構(gòu)的核心是目錄服務(例如輕量級目錄訪問協(xié)議或活動目錄)，目錄服務是機構(gòu)用戶群的身份、證書和用戶屬性的信息庫。目錄與IAM 技術(shù)組件進行交互，這些組件包括認證、用戶管理、在機構(gòu)內(nèi)提供并支持標準IAM 實踐和進程的身份聯(lián)合服務等。由于特殊計算環(huán)境的緣故，機構(gòu)通常會使用多個目錄(例如Window 系統(tǒng)使用活動目錄而UNIX 系統(tǒng)使用輕量級目錄訪問協(xié)議)，業(yè)務兼并和收購而形成的環(huán)境整合也會造成多個目錄并存使用的情況。

支持業(yè)務的IAM 過程可以大體分為如下幾類：

用戶管理

為了有效治理和管理身份生命周期而進行的活動。

認證管理

為了有效治理和管理實體的確定及實體聲明內(nèi)容的過程而進行的活動。

授權(quán)管理

為了有效治理和管理根據(jù)機構(gòu)策略實體可訪問資源權(quán)利的過程而進行的活動。

訪問管理

響應實體(用戶、服務)請求訪問機構(gòu)內(nèi)IT 資源的訪問控制策略的執(zhí)行。

數(shù)據(jù)管理和供應

通過自動化或手動過程對IT 資源授權(quán)的身份及數(shù)據(jù)的傳輸。

監(jiān)控和審計

基于已定義的策略在機構(gòu)內(nèi)對用戶訪問資源合規(guī)的監(jiān)控、審計及報告。

IAM 過程支持如下業(yè)務活動：

業(yè)務開通

這個術(shù)語通常用于企業(yè)級資源管理，指新入職員工開始使用系統(tǒng)及應用程序的過程，這些過程向用戶提供對數(shù)據(jù)及技術(shù)資源的必要訪問。業(yè)務開通可以認為是人力資源和IT 部門的共同職責，用戶基于唯一的身份ID 對資料庫或系統(tǒng)、應用程序以及數(shù)據(jù)庫進行訪問。業(yè)務取消則以相反的形式工作，對已分配給用戶的身份或與身份對應的權(quán)限進行刪除或者休眠。

圖5-1 ：企業(yè)身份及訪問管理的功能體系架構(gòu)

證書及屬性管理

這些過程用來實現(xiàn)證書及用戶屬性的生命周期管理創(chuàng)建、發(fā)行、管理、撤銷，從而將身份假冒和賬戶濫用等業(yè)務風險降到最低。證書通常與個人綁定，并在認證過程中進行核實。這個過程包括屬性的提供、符合密碼標準(如可抵御字典攻擊的密碼)的靜態(tài)(如標準文本密碼)及動態(tài)(如一次性密碼)證書、口令過期處理、在處于傳輸和靜態(tài)過程中證書的加密管理，以及用戶屬性的訪問策略(由于各種監(jiān)管原因而進行的隱私和屬性處理)。

權(quán)限管理權(quán)限

也稱為授權(quán)策略。在這個領(lǐng)域，過程解決用戶所需的權(quán)限的開通和移除，用戶可使用這些權(quán)限訪問包括系統(tǒng)、應用程序和數(shù)據(jù)庫資源。合適的權(quán)限管理確保只分配給用戶與其工作職能相符的所需要的權(quán)限(最小特權(quán))。權(quán)限管理可用來加強Web 服務、網(wǎng)絡應用程序、傳統(tǒng)應用、文件和檔案以及物理安全系統(tǒng)的安全性。

合規(guī)管理

這個過程意味著對訪問權(quán)限和特權(quán)的監(jiān)控以及追蹤，確保企業(yè)資源的安全。這個過程還幫助審計員核實各種內(nèi)部訪問控制策略和標準的合規(guī)，這些策略和標準包括諸如職責分離、訪問監(jiān)控、定期審計和報告這樣的實踐。例如，用戶認證過程允許應用程序所有者證實只有授權(quán)用戶有訪問業(yè)務敏感信息所需的權(quán)限。

身份聯(lián)合管理

身份聯(lián)合是管理建立于不同機構(gòu)間內(nèi)部網(wǎng)絡邊界或管理域邊界之外的信任關(guān)系的過程。身份聯(lián)合是機構(gòu)的聯(lián)盟，機構(gòu)相互交流關(guān)于用戶和資源的信息，進行合作和交易(例如，各機構(gòu)由第三方提供商管理的保險金系統(tǒng)共享用戶信息)。服務提供商的身份聯(lián)合需要支持云計算服務的單點登錄。

集中化的認證(authN )和授權(quán)(authZ)

集中化的認證和授權(quán)體系架構(gòu)降低了應用程序開發(fā)者在應用程序中搭建定制的認證和授權(quán)功能的需求。此外，它還促進了松散的耦合結(jié)構(gòu)，應用程序?qū)τ谡J證方法和策略是不可知的。這種方法也稱為應用程序的“外部化authN 和authZ ”。

圖5-2 說明了身份生命周期管理的各個階段。

圖5-2 ：身份生命周期管理示意圖

云計算安全是大家共同矚目的話題，本文主要是為大家呈現(xiàn)一些技術(shù)理論和專業(yè)知識，希望讀者能夠從中獲益。

【編輯推薦】

1. 云安全是云計算大規(guī)模應用的前提
2. 云計算安全技術(shù)架構(gòu)助趨勢科技OfficeScan獲七連勝
3. 前Citrix技術(shù)總監(jiān)：虛擬化將解決云計算安全問題
4. 實名制網(wǎng)絡在云計算環(huán)境下該如何管理
5. 近一半企業(yè)曾遭遇云計算安全問題