當(dāng)在兩個不同的公司工作時，軟件工程師Alex Salazar和Les Hazlewood發(fā)現(xiàn)自己正在為每個應(yīng)用重塑身份驗(yàn)證和訪問控制。由于缺少可重用、靈活的企業(yè)以及安全云應(yīng)用開發(fā)工具，促使他們辭掉工作并為開發(fā)人員和架構(gòu)師構(gòu)建可重用、開放源代碼的和商業(yè)的安全工具。

Salazar和Hazlewood建立Apache Shiro的過程中，揭示了企業(yè)和云應(yīng)用開發(fā)者所面臨的安全問題，處理這些問題的方法以及避免常見的錯誤。他們?yōu)槠髽I(yè)和云應(yīng)用的身份驗(yàn)證、密碼存儲、用戶管理、訪問控制和共同安全工作流創(chuàng)建了Stormpath應(yīng)用程序接口(API)。

在Georgia Tech上大學(xué)時，Salazar和Hazlewood曾是1999年成立的軟件即服務(wù)(SaaS)工程團(tuán)隊(duì)的創(chuàng)辦者。“但在當(dāng)時被稱為‘應(yīng)用程序服務(wù)提供者’，”Salazar說，“在Marc Benioff使它成為標(biāo)準(zhǔn)之前，我們就建立了多租戶系統(tǒng)……，它運(yùn)行得很好并且我們癡迷于SaaS模型。”

縱觀他們的職業(yè)生涯，他們都在不斷地解決安全工具不足的問題，并一直在滿足每一個項(xiàng)目中DIY安全的需求，開發(fā)人員通常不得不從頭開始編寫用戶管理代碼。

可重用云工具彌補(bǔ)應(yīng)用安全問題

“所有的這些工作對于安全來說都很必要，但這并不是應(yīng)用功能的核心，”Hazlewood說，“并且，因?yàn)檫@些自定義代碼并不強(qiáng)大，而且不能被多個應(yīng)用程序使用，開發(fā)人員通常為他們建立的每個應(yīng)用重寫相同的代碼，進(jìn)一步加劇了開發(fā)成本。”一旦實(shí)現(xiàn)，這些從零開始編寫的代碼通常就會被忽略并且很少更新，可能隨著時間的推移就會出現(xiàn)安全漏洞。

Hazlewood啟動Apache Shiro項(xiàng)目，創(chuàng)建一個用于認(rèn)證、授權(quán)、加密和會話管理的開放源代碼的Java安全框架。

“Shiro強(qiáng)大了，”Salazar說。即便如此，Hazlewood仍然發(fā)現(xiàn)一個問題：安全框架只解決了部分的認(rèn)證訪問控制問題，因?yàn)榭蚣転榱送瓿伤麄兊墓ぷ?，仍然不得不與后端系統(tǒng)對話，如Active Directory或LDAP。當(dāng)構(gòu)建基于云的應(yīng)用程序時，然而，沒有Active Directory或LDAP，因此他仍然不得不反復(fù)地重塑那一部分。

Hazlewood說，在公有云中，傳統(tǒng)的網(wǎng)絡(luò)安全策略并不適用，而且任何安全漏洞可能被迅速利用。這個缺陷與索尼PlayStation Network 、LinkedIn、Last.FM、雅虎和最近的Twitter相比，成本明顯很高。

Hazlewood說：“大多數(shù)開發(fā)團(tuán)隊(duì)的員工沒有足夠的安全專業(yè)知識，所以當(dāng)將他們的應(yīng)用程序部署到公有云時，他們冒著非常高的風(fēng)險”。Salazar表示同意，“云日漸成為應(yīng)用程序的爭議平臺。”

Hazlewood不知道Salazar也在云中間件軟件領(lǐng)域處理著同樣的問題，現(xiàn)有的工具有單點(diǎn)登錄功能，這些功能對于在云中構(gòu)建新的應(yīng)用程序是不夠的。“當(dāng)將Salesforce與其他產(chǎn)品集成時，單點(diǎn)登錄是很好的，但對于你自己的自定義應(yīng)用卻并非如此，”Salazar說，“我看到每個人在構(gòu)建定制云應(yīng)用都很痛苦，以及非常具體應(yīng)用程序、手機(jī)的應(yīng)用程序、客戶應(yīng)用程序、伙伴應(yīng)用程序等等。”

Salazar叫Hazlewood來解決他的技術(shù)驗(yàn)證的問題。“他開始笑了，因?yàn)樗谧鱿嗤氖虑椋?rdquo;Salazar說，“我說，‘好吧，讓我們談?wù)勔恍┛蛻?。辭掉工作并創(chuàng)辦一個公司。’”

作為開放源代碼軟件的支持者，他們第一次計劃發(fā)布他們的工具作為開放源代碼的產(chǎn)品，使用典型的開放源代碼的商業(yè)模式。在探索性研究中，他們發(fā)現(xiàn)，對于那些擁有內(nèi)部安全與發(fā)展團(tuán)隊(duì)的大企業(yè)來說，開放源代碼交付效果很好，但是那些小型和中型企業(yè)(SMB)卻效果不佳。如必要的話，大公司有能力DIY，但是他們卻很歡迎可重用、內(nèi)部的解決方案。大多數(shù)中小企業(yè)沒有DIY的安全團(tuán)隊(duì)或內(nèi)部專業(yè)。“顯而易見，云交付是中小企業(yè)交付路線，”Salazar說，“中型企業(yè)不想做安全管理，他們擔(dān)心修補(bǔ)數(shù)據(jù)庫服務(wù)器和運(yùn)行最新的副本。他們只是想要一個隨需應(yīng)變的API”。

開發(fā)人員構(gòu)建新的應(yīng)用程序，Stormpath提供自動化安全工作流的服務(wù)，啟用身份驗(yàn)證服務(wù)、訪問控制和更多服務(wù)，Hazlewood說：“因此開發(fā)人員可以回去寫代碼了”。如認(rèn)證、密碼重置和電子郵件帳戶驗(yàn)證這樣的工作，每一個都需要一個單一的REST調(diào)用。Salazar說：“沒有數(shù)據(jù)建模，沒有代碼，沒有UI，也沒有那些”。語言庫使Java、PHP和Rubydevelopers不必了解REST和JSON。

“沒有人喜歡一遍又一遍地構(gòu)建安全性，” Salazar說，“這是應(yīng)用程序的關(guān)鍵，但它并不是核心;建立業(yè)務(wù)邏輯才是核心。”他們繼續(xù)探索可重用應(yīng)用安全解決方案，對于Salazar和Hazlewood來說，接下來的一步是建立更多的Stormpath軟件開發(fā)者工具包并擴(kuò)展開發(fā)語言和平臺支持。