云計(jì)算安全——為什么要用IAM

從傳統(tǒng)意義上來看，機(jī)構(gòu)在IAM 實(shí)踐上進(jìn)行投資的目的是為了提高運(yùn)營效率，并滿足法規(guī)、隱私和數(shù)據(jù)保護(hù)等方面的需求：

1.提高運(yùn)營效率

架構(gòu)良好的IAM 技術(shù)和流程可以使諸如用戶入職等的重復(fù)性工作實(shí)現(xiàn)自動(dòng)化，從而提高效率(例如，自助重置用戶請求口令，無須系統(tǒng)管理員使用幫助臺(tái)派單系統(tǒng)介入)。

2.合規(guī)性管理

為了保護(hù)系統(tǒng)、應(yīng)用程序和信息不受內(nèi)部和外部的威脅(如心懷不滿的員工刪除敏感數(shù)據(jù))，以及符合各種法規(guī)、隱私和數(shù)據(jù)保護(hù)的需求，機(jī)構(gòu)會(huì)實(shí)施“IT 通用和應(yīng)用程序級控制”框架，而這個(gè)框架來自于行業(yè)標(biāo)準(zhǔn)框架，如ISO 27002 和信息技術(shù)基礎(chǔ)架構(gòu)庫(ITIL )。IAM 程序和實(shí)踐可以幫助機(jī)構(gòu)實(shí)現(xiàn)訪問控制和運(yùn)行安全方面的目標(biāo)(例如，合規(guī)性要求的執(zhí)行情況，如“職責(zé)分離”及工作人員履行職責(zé)的最小權(quán)限分配)。審計(jì)員通常將內(nèi)部控制映射為IT 控制，以支持合規(guī)性管理過程，如支付卡行業(yè)(PCI )數(shù)據(jù)安全標(biāo)準(zhǔn)(DSS )以及2003 年的薩班斯法案(SOX )。

除了提高運(yùn)行效率和合規(guī)性管理效率，IAM 可以實(shí)現(xiàn)新的IT 交付和部署模式(如云計(jì)算服務(wù))。例如，身份聯(lián)合，作為IAM 的關(guān)鍵組成部分，實(shí)現(xiàn)跨信任邊界的身份信息連接和攜帶。因此，IAM 使企業(yè)和云計(jì)算服務(wù)提供商通過Web 單點(diǎn)登錄及聯(lián)合的用戶開通，在安全信任域間建立通道。

一些需要云計(jì)算服務(wù)提供商提供IAM 支持的云計(jì)算用例包括：

機(jī)構(gòu)的員工及相關(guān)承包商使用身份聯(lián)合來訪問SaaS 服務(wù)(例如，銷售和支持人員使用企業(yè)身份和憑證訪問Salesforce.com )。

IT 管理員訪問云計(jì)算服務(wù)提供商控制臺(tái)，為使用企業(yè)身份的用戶提供資源和訪問能力(例如，Newco.com 的IT 管理員在亞馬遜彈性計(jì)算云中提供虛擬機(jī)及VM ，并在其中配置了虛擬機(jī)操作(如開始、停止、掛起和刪除等)的身份、權(quán)利和證書)。

開發(fā)人員在PaaS 平臺(tái)為其合作伙伴用戶創(chuàng)建賬戶(例如，Newco.com 開發(fā)人員在Force.com 中為簽約的Partnerco.com 員工提供賬戶，而后者執(zhí)行Newco.com 的業(yè)務(wù)流程)。

終端用戶使用訪問策略管理功能在域內(nèi)及域外訪問云計(jì)算中的存儲(chǔ)服務(wù)(如亞馬遜簡單儲(chǔ)存服務(wù))并與用戶分享文件和對象。

云計(jì)算服務(wù)提供商內(nèi)的應(yīng)用程序(如亞馬遜彈性計(jì)算云)通過其他云計(jì)算服務(wù)(如Mosso )訪問存儲(chǔ)。

由于IAM 如SSO 允許應(yīng)用程序具體化認(rèn)證功能，這使得企業(yè)可以快速采用*aaS 服務(wù)(Salesforce.com 是一個(gè)例子)以減少與服務(wù)提供商進(jìn)行業(yè)務(wù)集成的時(shí)間。IAM 的功能也同樣可以幫助企業(yè)將某些流程或服務(wù)外包給合作伙伴，并減少對企業(yè)隱私和安全的影響，例如，履行訂單的商業(yè)合作伙伴的員工，可以使用身份聯(lián)合來訪問存儲(chǔ)在商業(yè)應(yīng)用中的實(shí)時(shí)信息，并管理產(chǎn)品實(shí)現(xiàn)過程。簡言之，IAM 策略、實(shí)踐和架構(gòu)的延伸可以使機(jī)構(gòu)延伸云計(jì)算中用戶訪問管理實(shí)踐和過程。因此，實(shí)施IAM 的機(jī)構(gòu)可以快速采用云計(jì)算服務(wù)，并維護(hù)其安全控制的效率和效果。

#p#

云計(jì)算安全——IAM 的挑戰(zhàn)

IAM 的一個(gè)關(guān)鍵挑戰(zhàn)是：對訪問內(nèi)部及外部服務(wù)的不同用戶群(員工、承包商、合作伙伴等)的訪問管理。IT 總是不斷面臨為用戶快速提供適當(dāng)訪問機(jī)制的挑戰(zhàn)，因?yàn)橛脩舻慕巧吐氊?zé)經(jīng)常會(huì)因?yàn)闃I(yè)務(wù)因素而變化。機(jī)構(gòu)內(nèi)的人員流動(dòng)也是存在的另外一個(gè)重要問題。人員流動(dòng)性因行業(yè)及功能而有所不同，例如金融部門季節(jié)性的員工波動(dòng)，人員流動(dòng)性也可能由于業(yè)務(wù)的變化而上升，例如兼并和收購、新產(chǎn)品和服務(wù)的發(fā)布、業(yè)務(wù)流程外包和職責(zé)變更。因此，IAM 過程的維持將是個(gè)長期的挑戰(zhàn)。

信息的訪問策略很少是集中并一致采用的。機(jī)構(gòu)常常使用五花八門的不同目錄，創(chuàng)建復(fù)雜的管理用戶身份、訪問權(quán)限和流程的復(fù)雜Web 頁面，這使得用戶和訪問管理過程效率低下，也在安全、合規(guī)性、聲譽(yù)等方面給機(jī)構(gòu)帶來了極大的風(fēng)險(xiǎn)。

為了應(yīng)對這些挑戰(zhàn)和風(fēng)險(xiǎn)，許多公司都在尋求集中的自動(dòng)化管理用戶權(quán)限的技術(shù)解決方案。許多這樣的新方案都被賦予很高的期望，由于存在的問題通常很重大而且復(fù)雜，有這樣的期望并不奇怪。這些改進(jìn)IAM 的新方案絕大多數(shù)需要花費(fèi)數(shù)年時(shí)間以及相當(dāng)大的費(fèi)用。因此，機(jī)構(gòu)應(yīng)當(dāng)從業(yè)務(wù)和IT 驅(qū)動(dòng)兩個(gè)方面著手處理其IAM 策略和架構(gòu)，在保持控制的有效性(與訪問控制相關(guān)的)同時(shí)，解決效率低下的核心問題。只有這樣機(jī)構(gòu)才有比較大的可能取得成功并收回投資。

云計(jì)算安全——IAM 的定義

首先我們提出適用于任何服務(wù)的IAM 功能的基本概念和定義：

認(rèn)證

認(rèn)證是核實(shí)用戶或系統(tǒng)身份的過程(例如，輕量級目錄訪問協(xié)議即LDAP 核實(shí)用戶所提交的證書，其標(biāo)識(shí)符為指派給員工或承包商的企業(yè)用戶唯一ID )。認(rèn)證通常意味著更為可靠的識(shí)別形式。在某些場合中，例如服務(wù)到服務(wù)的交互，認(rèn)證包含對請求訪問另一個(gè)服務(wù)所提供信息的網(wǎng)絡(luò)服務(wù)請求進(jìn)行驗(yàn)證(例如，與信用卡網(wǎng)關(guān)相連的旅游Web 服務(wù)，會(huì)代表用戶對信用卡進(jìn)行驗(yàn)證)。

授權(quán)

授權(quán)是確定用戶或系統(tǒng)身份并授予權(quán)限的過程。在數(shù)字服務(wù)方面，授權(quán)通常是認(rèn)證的下一個(gè)步驟，授權(quán)被用來確定用戶或服務(wù)是否具有執(zhí)行某項(xiàng)操作所需要的權(quán)限，換言之，授權(quán)是執(zhí)行策略的過程。

審計(jì)

對于IAM 而言，審計(jì)是指查看和檢查有關(guān)認(rèn)證、授權(quán)的記錄和活動(dòng)，以確定IAM 系統(tǒng)控制的完備性、核實(shí)與已有安全策略及過程的符合性(如職責(zé)分離)、檢測安全服務(wù)中的違規(guī)事件(如特權(quán)提升)，并給出相應(yīng)的對策和整改建議。

#p#

云計(jì)算安全——IAM 體系架構(gòu)和實(shí)踐

IAM 并不是一個(gè)可以輕易部署并立即產(chǎn)生效果的整體解決方案，而是一個(gè)由各種技術(shù)組件、過程和標(biāo)準(zhǔn)實(shí)踐組成的體系架構(gòu)(參見圖5-1 )。標(biāo)準(zhǔn)的企業(yè)級IAM 體系架構(gòu)包含技術(shù)、服務(wù)和過程等幾個(gè)層面，其部署體系架構(gòu)的核心是目錄服務(wù)(例如輕量級目錄訪問協(xié)議或活動(dòng)目錄)，目錄服務(wù)是機(jī)構(gòu)用戶群的身份、證書和用戶屬性的信息庫。目錄與IAM 技術(shù)組件進(jìn)行交互，這些組件包括認(rèn)證、用戶管理、在機(jī)構(gòu)內(nèi)提供并支持標(biāo)準(zhǔn)IAM 實(shí)踐和進(jìn)程的身份聯(lián)合服務(wù)等。由于特殊計(jì)算環(huán)境的緣故，機(jī)構(gòu)通常會(huì)使用多個(gè)目錄(例如Window 系統(tǒng)使用活動(dòng)目錄而UNIX 系統(tǒng)使用輕量級目錄訪問協(xié)議)，業(yè)務(wù)兼并和收購而形成的環(huán)境整合也會(huì)造成多個(gè)目錄并存使用的情況。

支持業(yè)務(wù)的IAM 過程可以大體分為如下幾類：

用戶管理

為了有效治理和管理身份生命周期而進(jìn)行的活動(dòng)。

認(rèn)證管理

為了有效治理和管理實(shí)體的確定及實(shí)體聲明內(nèi)容的過程而進(jìn)行的活動(dòng)。

授權(quán)管理

為了有效治理和管理根據(jù)機(jī)構(gòu)策略實(shí)體可訪問資源權(quán)利的過程而進(jìn)行的活動(dòng)。

訪問管理

響應(yīng)實(shí)體(用戶、服務(wù))請求訪問機(jī)構(gòu)內(nèi)IT 資源的訪問控制策略的執(zhí)行。

數(shù)據(jù)管理和供應(yīng)

通過自動(dòng)化或手動(dòng)過程對IT 資源授權(quán)的身份及數(shù)據(jù)的傳輸。

監(jiān)控和審計(jì)

基于已定義的策略在機(jī)構(gòu)內(nèi)對用戶訪問資源合規(guī)的監(jiān)控、審計(jì)及報(bào)告。

IAM 過程支持如下業(yè)務(wù)活動(dòng)：

業(yè)務(wù)開通

這個(gè)術(shù)語通常用于企業(yè)級資源管理，指新入職員工開始使用系統(tǒng)及應(yīng)用程序的過程，這些過程向用戶提供對數(shù)據(jù)及技術(shù)資源的必要訪問。業(yè)務(wù)開通可以認(rèn)為是人力資源和IT 部門的共同職責(zé)，用戶基于唯一的身份ID 對資料庫或系統(tǒng)、應(yīng)用程序以及數(shù)據(jù)庫進(jìn)行訪問。業(yè)務(wù)取消則以相反的形式工作，對已分配給用戶的身份或與身份對應(yīng)的權(quán)限進(jìn)行刪除或者休眠。

圖5-1 ：企業(yè)身份及訪問管理的功能體系架構(gòu)

證書及屬性管理

這些過程用來實(shí)現(xiàn)證書及用戶屬性的生命周期管理創(chuàng)建、發(fā)行、管理、撤銷，從而將身份假冒和賬戶濫用等業(yè)務(wù)風(fēng)險(xiǎn)降到最低。證書通常與個(gè)人綁定，并在認(rèn)證過程中進(jìn)行核實(shí)。這個(gè)過程包括屬性的提供、符合密碼標(biāo)準(zhǔn)(如可抵御字典攻擊的密碼)的靜態(tài)(如標(biāo)準(zhǔn)文本密碼)及動(dòng)態(tài)(如一次性密碼)證書、口令過期處理、在處于傳輸和靜態(tài)過程中證書的加密管理，以及用戶屬性的訪問策略(由于各種監(jiān)管原因而進(jìn)行的隱私和屬性處理)。

權(quán)限管理權(quán)限

也稱為授權(quán)策略。在這個(gè)領(lǐng)域，過程解決用戶所需的權(quán)限的開通和移除，用戶可使用這些權(quán)限訪問包括系統(tǒng)、應(yīng)用程序和數(shù)據(jù)庫資源。合適的權(quán)限管理確保只分配給用戶與其工作職能相符的所需要的權(quán)限(最小特權(quán))。權(quán)限管理可用來加強(qiáng)Web 服務(wù)、網(wǎng)絡(luò)應(yīng)用程序、傳統(tǒng)應(yīng)用、文件和檔案以及物理安全系統(tǒng)的安全性。

合規(guī)管理

這個(gè)過程意味著對訪問權(quán)限和特權(quán)的監(jiān)控以及追蹤，確保企業(yè)資源的安全。這個(gè)過程還幫助審計(jì)員核實(shí)各種內(nèi)部訪問控制策略和標(biāo)準(zhǔn)的合規(guī)，這些策略和標(biāo)準(zhǔn)包括諸如職責(zé)分離、訪問監(jiān)控、定期審計(jì)和報(bào)告這樣的實(shí)踐。例如，用戶認(rèn)證過程允許應(yīng)用程序所有者證實(shí)只有授權(quán)用戶有訪問業(yè)務(wù)敏感信息所需的權(quán)限。

身份聯(lián)合管理

身份聯(lián)合是管理建立于不同機(jī)構(gòu)間內(nèi)部網(wǎng)絡(luò)邊界或管理域邊界之外的信任關(guān)系的過程。身份聯(lián)合是機(jī)構(gòu)的聯(lián)盟，機(jī)構(gòu)相互交流關(guān)于用戶和資源的信息，進(jìn)行合作和交易(例如，各機(jī)構(gòu)由第三方提供商管理的保險(xiǎn)金系統(tǒng)共享用戶信息)。服務(wù)提供商的身份聯(lián)合需要支持云計(jì)算服務(wù)的單點(diǎn)登錄。

集中化的認(rèn)證(authN )和授權(quán)(authZ)

集中化的認(rèn)證和授權(quán)體系架構(gòu)降低了應(yīng)用程序開發(fā)者在應(yīng)用程序中搭建定制的認(rèn)證和授權(quán)功能的需求。此外，它還促進(jìn)了松散的耦合結(jié)構(gòu)，應(yīng)用程序?qū)τ谡J(rèn)證方法和策略是不可知的。這種方法也稱為應(yīng)用程序的“外部化authN 和authZ ”。

圖5-2 說明了身份生命周期管理的各個(gè)階段。

圖5-2 ：身份生命周期管理示意圖

云計(jì)算安全是大家共同矚目的話題，本文主要是為大家呈現(xiàn)一些技術(shù)理論和專業(yè)知識(shí)，希望讀者能夠從中獲益。

【編輯推薦】

1. 云安全是云計(jì)算大規(guī)模應(yīng)用的前提
2. 云計(jì)算安全技術(shù)架構(gòu)助趨勢科技OfficeScan獲七連勝
3. 前Citrix技術(shù)總監(jiān)：虛擬化將解決云計(jì)算安全問題
4. 實(shí)名制網(wǎng)絡(luò)在云計(jì)算環(huán)境下該如何管理
5. 近一半企業(yè)曾遭遇云計(jì)算安全問題