近年來，很多基于云的服務(wù)公司，包括Zappos、Evernote和LinkedIn，都被不計(jì)其數(shù)的用戶密碼泄露事件攻破。雖然有大量關(guān)于確保密碼管理和存儲(chǔ)的安全的文章來反映這樣的事件，但是實(shí)際上訪問云服務(wù)需要的遠(yuǎn)不止用戶名和密碼身份認(rèn)證。

幸運(yùn)的是，日益增加的云提供商正在提供更健壯的身份認(rèn)證衡量，以及更強(qiáng)有力的身份認(rèn)證和基于角色的訪問控制。然而，每一個(gè)提供商的身份認(rèn)證產(chǎn)品究竟怎么樣呢?

在這篇技巧中，我們將探究一些主要云提供商的多因子身份認(rèn)證選擇，細(xì)化挑戰(zhàn)和優(yōu)勢，涉及使用更有效的公有云中的身份認(rèn)證和身份認(rèn)證技術(shù)。

云端多因子身份認(rèn)證

在討論公有云提供商時(shí)，有兩個(gè)大名鼎鼎的公司，即亞馬遜Web服務(wù)(AWS)和微軟Windows Azure，因此我們將關(guān)注這兩個(gè)提供商的身份認(rèn)證功能。

微軟最近發(fā)布了其Windows Azure多因子身份認(rèn)證服務(wù)器，這也是微軟2013年收購的一家廠商的PhoneFactor軟件的升級(jí)版本。簡而言之，提供了一些簡單的身份認(rèn)證特性。除了Azure用戶密碼，開發(fā)者現(xiàn)在可以在一次身份認(rèn)證事件發(fā)生時(shí)，通過電子郵件、電話、文本和其他的途徑通知用戶，附加的PIN或者身份認(rèn)證口令需要參與完成完整的身份認(rèn)證活動(dòng)。

微軟通過集成內(nèi)置的本地和基于Azure的Active Directory用戶存儲(chǔ)庫，讓這種形式的身份認(rèn)證更吸引人，允許本地部署和集成Active Directory和應(yīng)用。此外，多因子身份認(rèn)證現(xiàn)在何以同RADIUS、輕量目錄訪問協(xié)議 (LDAP)和互聯(lián)網(wǎng)信息服務(wù)器(IIS)Web應(yīng)用結(jié)合，也可以輕松擴(kuò)展和集成到Azure云端。在本地和Azure云中能夠進(jìn)行多因子身份認(rèn)證集成為用戶提供了極大便利，對(duì)于混合云部署提供了更多保障，內(nèi)部云和公有云場景中也是如此。

AWS的產(chǎn)品如何對(duì)應(yīng)微軟的最新云身份認(rèn)證產(chǎn)品呢?首先亞馬遜在創(chuàng)建的AWS身份和訪問管理(IAM)角色中為管理AWS賬戶和用戶提供了多因子身份認(rèn)證。亞馬遜Web服務(wù)還允許將軟口令(soft-token)集成到計(jì)算機(jī)、平板電腦和智能手機(jī)上，這些設(shè)備上運(yùn)行的應(yīng)用基于時(shí)間的一次性密碼標(biāo)準(zhǔn)，主要包括谷歌動(dòng)態(tài)口令、AWS針對(duì)安卓的虛擬MFA以及Windows Phone設(shè)備的動(dòng)態(tài)口令。用戶可以購買Gemalto硬件口令，用來替代。

很多其他的云提供商提供了類似微軟和亞馬遜的多因子認(rèn)證選擇，大多數(shù)關(guān)注移動(dòng)設(shè)備并且利用文本、電話集合的方式，或者是本地生產(chǎn)的代碼。谷歌為例，通過移動(dòng)設(shè)備上的本地應(yīng)用生成驗(yàn)證碼提供了第二種身份認(rèn)證因子(除了用戶名和密碼)，或者是用文本或電話將代碼發(fā)送到移動(dòng)設(shè)備上。這個(gè)代碼必須在輸入用戶名和密碼之后輸入才能完成任何谷歌應(yīng)用的完整訪問。

云身份認(rèn)證障礙

我們已經(jīng)通過一些領(lǐng)先的云提供商確立了一些有效的身份認(rèn)證的特性，但是在部署和管理公有云中的多因子身份認(rèn)證時(shí)，企業(yè)面臨的主要挑戰(zhàn)是什么呢?首先，正如上面所提到的，大多數(shù)選擇關(guān)注移動(dòng)設(shè)備，因此如果設(shè)備一旦被竊或者遺失，用戶賬戶至少在短期內(nèi)處于潛在的奉獻(xiàn)中。然而，這種風(fēng)險(xiǎn)是大多數(shù)“軟”口令身份認(rèn)證工具的固有風(fēng)險(xiǎn)，企業(yè)在通過這種途徑進(jìn)行認(rèn)證的時(shí)候需要接受這種風(fēng)險(xiǎn)。另一個(gè)問題在于用戶如果忘了PIN碼或者遺失硬件口令，云提供商提供支持就很重要。在使用云提供商的身份認(rèn)證工具和支持產(chǎn)品時(shí)，要確保審查清楚不同的支持服務(wù)水平協(xié)議和選擇。

最后，現(xiàn)有應(yīng)用和企業(yè)的IAM基礎(chǔ)架構(gòu)的兼容性是個(gè)挑戰(zhàn)，尤其是當(dāng)企業(yè)已經(jīng)使用了多因子選擇，不同于云提供商所使用的。最終一些企業(yè)就可以賺到身份認(rèn)證即服務(wù)提供商，他們可以處理健壯的身份認(rèn)證、身份認(rèn)證和聯(lián)合，而不是在提供商層面實(shí)施這樣的內(nèi)部功能。出于這個(gè)原因，微軟最近的身份認(rèn)證產(chǎn)品可能比其他的混合云部署和集成內(nèi)部應(yīng)用和系統(tǒng)的云提供商，提供了更多的靈活性。

總結(jié)

很像傳統(tǒng)的企業(yè)IT環(huán)境，身份認(rèn)證仍舊是云環(huán)境中棘手的問題。多因子身份認(rèn)證服務(wù)目前在類似微軟和AWS這樣的廠商中有望解決這些問題，但是如果脆弱或者不兼容的選擇出現(xiàn)了，企業(yè)必須警惕可能的問題。通過提前花時(shí)間確保云提供商提供了有效且兼容的身份認(rèn)證服務(wù)，隨后可能避免這樣的問題。