近年來，很多基于云的服務(wù)公司，包括Zappos、Evernote和LinkedIn，都被不計其數(shù)的用戶密碼泄露事件攻破。雖然有大量關(guān)于確保密碼管理和存儲的安全的文章來反映這樣的事件，但是實際上訪問云服務(wù)需要的遠不止用戶名和密碼身份認證。

幸運的是，日益增加的云提供商正在提供更健壯的身份認證衡量，以及更強有力的身份認證和基于角色的訪問控制。然而，每一個提供商的身份認證產(chǎn)品究竟怎么樣呢?

在這篇技巧中，我們將探究一些主要云提供商的多因子身份認證選擇，細化挑戰(zhàn)和優(yōu)勢，涉及使用更有效的公有云中的身份認證和身份認證技術(shù)。

云端多因子身份認證

在討論公有云提供商時，有兩個大名鼎鼎的公司，即亞馬遜Web服務(wù)(AWS)和微軟Windows Azure，因此我們將關(guān)注這兩個提供商的身份認證功能。

微軟最近發(fā)布了其Windows Azure多因子身份認證服務(wù)器，這也是微軟2013年收購的一家廠商的PhoneFactor軟件的升級版本。簡而言之，提供了一些簡單的身份認證特性。除了Azure用戶密碼，開發(fā)者現(xiàn)在可以在一次身份認證事件發(fā)生時，通過電子郵件、電話、文本和其他的途徑通知用戶，附加的PIN或者身份認證口令需要參與完成完整的身份認證活動。

微軟通過集成內(nèi)置的本地和基于Azure的Active Directory用戶存儲庫，讓這種形式的身份認證更吸引人，允許本地部署和集成Active Directory和應(yīng)用。此外，多因子身份認證現(xiàn)在何以同RADIUS、輕量目錄訪問協(xié)議 (LDAP)和互聯(lián)網(wǎng)信息服務(wù)器(IIS)Web應(yīng)用結(jié)合，也可以輕松擴展和集成到Azure云端。在本地和Azure云中能夠進行多因子身份認證集成為用戶提供了極大便利，對于混合云部署提供了更多保障，內(nèi)部云和公有云場景中也是如此。

AWS的產(chǎn)品如何對應(yīng)微軟的最新云身份認證產(chǎn)品呢?首先亞馬遜在創(chuàng)建的AWS身份和訪問管理(IAM)角色中為管理AWS賬戶和用戶提供了多因子身份認證。亞馬遜Web服務(wù)還允許將軟口令(soft-token)集成到計算機、平板電腦和智能手機上，這些設(shè)備上運行的應(yīng)用基于時間的一次性密碼標準，主要包括谷歌動態(tài)口令、AWS針對安卓的虛擬MFA以及Windows Phone設(shè)備的動態(tài)口令。用戶可以購買Gemalto硬件口令，用來替代。

很多其他的云提供商提供了類似微軟和亞馬遜的多因子認證選擇，大多數(shù)關(guān)注移動設(shè)備并且利用文本、電話集合的方式，或者是本地生產(chǎn)的代碼。谷歌為例，通過移動設(shè)備上的本地應(yīng)用生成驗證碼提供了第二種身份認證因子(除了用戶名和密碼)，或者是用文本或電話將代碼發(fā)送到移動設(shè)備上。這個代碼必須在輸入用戶名和密碼之后輸入才能完成任何谷歌應(yīng)用的完整訪問。

云身份認證障礙

我們已經(jīng)通過一些領(lǐng)先的云提供商確立了一些有效的身份認證的特性，但是在部署和管理公有云中的多因子身份認證時，企業(yè)面臨的主要挑戰(zhàn)是什么呢?首先，正如上面所提到的，大多數(shù)選擇關(guān)注移動設(shè)備，因此如果設(shè)備一旦被竊或者遺失，用戶賬戶至少在短期內(nèi)處于潛在的奉獻中。然而，這種風險是大多數(shù)“軟”口令身份認證工具的固有風險，企業(yè)在通過這種途徑進行認證的時候需要接受這種風險。另一個問題在于用戶如果忘了PIN碼或者遺失硬件口令，云提供商提供支持就很重要。在使用云提供商的身份認證工具和支持產(chǎn)品時，要確保審查清楚不同的支持服務(wù)水平協(xié)議和選擇。

最后，現(xiàn)有應(yīng)用和企業(yè)的IAM基礎(chǔ)架構(gòu)的兼容性是個挑戰(zhàn)，尤其是當企業(yè)已經(jīng)使用了多因子選擇，不同于云提供商所使用的。最終一些企業(yè)就可以賺到身份認證即服務(wù)提供商，他們可以處理健壯的身份認證、身份認證和聯(lián)合，而不是在提供商層面實施這樣的內(nèi)部功能。出于這個原因，微軟最近的身份認證產(chǎn)品可能比其他的混合云部署和集成內(nèi)部應(yīng)用和系統(tǒng)的云提供商，提供了更多的靈活性。

總結(jié)

很像傳統(tǒng)的企業(yè)IT環(huán)境，身份認證仍舊是云環(huán)境中棘手的問題。多因子身份認證服務(wù)目前在類似微軟和AWS這樣的廠商中有望解決這些問題，但是如果脆弱或者不兼容的選擇出現(xiàn)了，企業(yè)必須警惕可能的問題。通過提前花時間確保云提供商提供了有效且兼容的身份認證服務(wù)，隨后可能避免這樣的問題。