[[126118]]

當(dāng)為應(yīng)用程序而使用AWS市場(chǎng)時(shí)，授權(quán)和認(rèn)證是兩個(gè)需要予以考慮的安全問(wèn)題。

在云中管理安全性控制是不同于在企業(yè)內(nèi)部部署中對(duì)它們的管理的。當(dāng)用戶在為應(yīng)用程序而使用AWS市場(chǎng)時(shí)，他們需要能夠?qū)崿F(xiàn)對(duì)兩者的兼顧。

AWS市場(chǎng)是亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）的平臺(tái)，它可為軟件供應(yīng)商在AWS云中交付他們的產(chǎn)品提供了一個(gè)場(chǎng)所。相關(guān)的軟件產(chǎn)品包括數(shù)據(jù)分析、安全性、商業(yè)智能、監(jiān)控以及協(xié)作和開(kāi)發(fā)等工具。就如同AWS服務(wù)一樣，大多數(shù)的軟件產(chǎn)品都是根據(jù)它們的實(shí)際使用情況來(lái)收取費(fèi)用的。

與原來(lái)的許可證費(fèi)用模式相比，這是一個(gè)獨(dú)特的優(yōu)勢(shì)。許可證費(fèi)用模式通常會(huì)有一個(gè)沉重的前期成本，它會(huì)迫使用戶分析各種各樣的許可證費(fèi)用選項(xiàng)，例如是按CPU的許可還是按并發(fā)用戶的許可?；蛟S，AWS市場(chǎng)的最顯著優(yōu)勢(shì)就是快速部署軟件的能力。

盡管這個(gè)平臺(tái)具有這樣的快速軟件部署能力，但是配置產(chǎn)品安全性都是需要花費(fèi)一定時(shí)間的，記得這一點(diǎn)是很重要的。最重要的是，你必須考慮你將如何驗(yàn)證用戶和定義授權(quán)。認(rèn)證就是一個(gè)驗(yàn)證用戶身份的過(guò)程，鑒于應(yīng)用程序各有不同，認(rèn)證的方法也有很多種。

特定應(yīng)用程序的登錄就是一種常見(jiàn)的方法。通過(guò)這種方法，管理人員可以為每一位用戶創(chuàng)建一個(gè)***的帳戶。實(shí)際上，這是一個(gè)“從頭開(kāi)始”的方法。咋看下，這是一個(gè)簡(jiǎn)單而且沒(méi)有負(fù)擔(dān)的方法，但是在實(shí)際應(yīng)用中它有大量的工作要做，它包括了設(shè)置和維護(hù)兩方面。

另一個(gè)認(rèn)證方法就是與你的內(nèi)部部署目錄相集成。在這種情況下，用戶可能必須建立云服務(wù)器來(lái)使用他們的內(nèi)部部署Active Directory。使用這種方法，可能會(huì)有與用戶網(wǎng)絡(luò)相關(guān)的額外安全問(wèn)題需要用戶予以考慮。例如，在你的內(nèi)部部署和AWS云之間的一個(gè)虛擬專用網(wǎng)絡(luò)將帶來(lái)更多的安全性挑戰(zhàn)。

如果用戶采購(gòu)的軟件允許這么做，那么AWS的自有認(rèn)證服務(wù)（Amazon Identity和Access Management）可能就是具有最小阻力的途徑了；當(dāng)然也有一些第三方認(rèn)證服務(wù)可用。當(dāng)使用一個(gè)認(rèn)證服務(wù)時(shí)，一個(gè)管理員將仍然必須配置用戶角色和用戶組以便于實(shí)現(xiàn)用戶身份和授權(quán)組的有效組織。

第二個(gè)安全性因素——授權(quán)——就是指確定使用應(yīng)用程序時(shí)管理人員將如何制定單個(gè)用戶的權(quán)限。類似于認(rèn)證，特定應(yīng)用程序的授權(quán)通常是一種切實(shí)可行的方法。通過(guò)使用這種方法，管理人員將必須在應(yīng)用程序中創(chuàng)建用戶帳戶并為每一個(gè)用戶或用戶組分配特定權(quán)限。此外，使用一個(gè)現(xiàn)有的目錄也是一種授權(quán)方法的選擇。當(dāng)配置授權(quán)時(shí)，這一方法可節(jié)省時(shí)間，特別是如果你可以使用現(xiàn)有的用戶組和用戶角色。

一旦你確定了如何支持認(rèn)證和授權(quán)，那么就可考慮你將如何對(duì)應(yīng)用程序進(jìn)行監(jiān)控和審計(jì)。例如，當(dāng)擁有某個(gè)應(yīng)用程序訪問(wèn)權(quán)限的員工離職時(shí)，他的相關(guān)權(quán)限就應(yīng)當(dāng)在認(rèn)證系統(tǒng)中被撤除。如果用戶使用一個(gè)獨(dú)立系統(tǒng)來(lái)對(duì)應(yīng)用程序進(jìn)行權(quán)限定義，那么他們將需要建立若干程序來(lái)確保他們的權(quán)限被撤銷。利用用戶現(xiàn)有的認(rèn)證和授權(quán)服務(wù)可降低他們的管理開(kāi)銷。

考慮你將如何支持合規(guī)性報(bào)告將是非常重要的。如果應(yīng)用程序沒(méi)有足夠的報(bào)告和日志記錄，那么你可能必須開(kāi)發(fā)出一個(gè)自定義的報(bào)告，或者干脆選擇一個(gè)不同的軟件包。

當(dāng)用戶使用AWS市場(chǎng)包時(shí)，當(dāng)用戶在他們的內(nèi)部服務(wù)器上安裝和使用軟件包時(shí)，他們會(huì)面臨很多的問(wèn)題。 但是，如果你正在使用多個(gè)AWS服務(wù)，那么你一定已經(jīng)在配置身份管理服務(wù)中投入了大量的時(shí)間和資源，這就是優(yōu)勢(shì)所在。如果你不能利用好這一點(diǎn)，那么你可能就不得不做重復(fù)功了。

原文鏈接：http://www.searchcloudcomputing.com.cn/showcontent_87206.htm