云计算

    企业私有云下的身份与管理解决方案

         [ CIO时代网  转载 ] 暂无评论

      信息化时代,企业分布式管理模式的广泛应用使当今的IT系统管理变得复杂,企业必须提供一个全方位的资源审视以确保企业资源的有效访问和管理。而云计算的不断发展使得众企业将服务迁往云中以获得更高的利益。企业迁入云中后,信息资源放在云端,其安全性又受到了新的威胁。为了提高云中各系统资源的安全性,企业必须提供更高层次的保密性以实现对云中资源的安全访问和管理。构建云环境下安全有效的资源访问以实现业务逻辑的增值已成为众多企业的最新选择 。

      身份与访问安全集中管理系统(IdentITy and Access Management,IAM)是一套全面的建立和维护数字身份,并提供有效、安全的IT资源的业务流程和管理手段,从根本上实现了组织信息资产统一的身份认证、授权和身份数据集中管理与审计。企业引入IAM后能够简化企业用户管理,提高网络资源的访问安全,降低应用成本,给企业带来利润。文中提出一种全面的针对企业私有云的身份与管理解决方案。该方案是从综合治理角度出发建立的一套集成化、一站式的身份与访问安全管理解决方案,帮助企业有效解决在身份生命周期管理、统一身份认证、企业IT系统集成及单点登录、授权与访问控制管理等方面存在的问题。

      1、云中的身份认证与访问管理

      企业迁入云中给企业带来巨大利益的同时也带来了诸多的安全风险。一方面,传统的IAM方案中用户的身份存储通过多个管理员手动输入实现,开通过程缺乏标准的规范指导,使得访问效率低下;对内部及外部服务的不同员工用户群的访问管理则采用不同目录、不同管理用户身份和访问权限的Web页面,在企业的安全性、合规性等方面给企业带来了极大风险 。另一方面,云计算的迅速发展使得众多企业选择建立自己的私有云服务,而IAM向云的迁移又给企业带来了新的挑战 。传统的企业机构中,应用程序部署在机构的范围内, “信任边界” 处于IT部门的检测控制之下,是静态的。而当采用云服务后,机构的信任边界变成了动态的,并且迁移到IT控制范围之外。控制权的丢失给传统的信任管理和控制模式带来了巨大的挑战。下面介绍云中IAM需要解决的问题。

      1.1身份管理

      对企业采纳云计算服务机构的主要挑战之一是在云端安全和及时地管理报到(即创建和更新账户)和离职(即删除用户账户)的用户。企业私有云中的用户是动态变化的,用户的角色和职责经常会因为业务因素而变化,同时,各组织机构内还存在用户流动的问题。针对用户的移动性,各组织机构应加强和改进对访问内部及外部服务的不同用户群的访问管理。

      传统云中,不同系统间的信息交换采用手动方式将数据同步到云中的各应用系统中。当用户发生变动时,手动方式的更新在造成效率降低的同时也给云中不同系统间信息的安全性造成了威胁 ,一些恶意内部人员对用户机密信息的丢失和泄露将使企业遭受重大的损失。

      1.2 隐私保护及认证

      云中资源的开放性使用户对资源的使用更加便利,但同时也为一些居心叵测者提供了更多的漏洞。用户信息放在云端,并被过度采集造成信息的泄露危险。为保障用户信息的安全性,最主要的是对用户访问者的身份进行管理、认证,然后进行适当的授权,让他只能够接触到他这个授权水平所能够接触到的数据。

      身份认证是信息系统对访问者身份合法性的检查,云中各系统拥有独立的身份认证方式或模型,认证强度和标准不统一,管理、运维和用户成本随系统规模的增加而增加。当企业迁入云中开始利用云端服务时,以可信赖及易于管理的方式来认证用户是一个至关重要的要求。

      目前现有的IAM方案多数不支持国产商密算法并且具有安全漏洞,面向的用户范围狭窄,其在技术实现上缺乏扩展性的考虑,与采用各种技术的云平台进行衔接的难度较大,无法保障云入口的安全管理。

      1.3 单点登录

      用户访问云中的系统资源时需要重复登录系统进行身份认证,给用户带来繁琐的同时也降低了资源的访问效率。单点登录技术实现了一次登录而安全访问云中的所有系统资源,提高了云中资源访问的便捷性和灵活性。但传统单点登录技术缺乏一个突出的标准来实现身份信息的交换,用来保证信息交换过程的安全性和有效性。

      1.4 访问控制

      为保障云中资源的安全性,防止恶意人员非法访问资源造成的信息泄露,云中用户进行身份认证后,需要按用户身份及其所归属的某预定义组来限制其对某些信息项或控制功能的使用。私有云环境中,各个应用系统属于不同的安全管理域,它们各自管理着本地的资源和用户,跨系统间的实现就需要制定云中全局的访问控制策略。访问控制是信息安全保障机制的核心内容,可以用来保证数据的保密性和完整性 。它用来限制主体对客体的访问权限,指定用户可以访问哪些资源并对这些资源做哪些操作。传统的访问控制模型不能适应云环境下资源的动态访问控制要求。

      2、私有云中身份与管理解决方案

      解决方案通过对云中资源的安全访问进行研究后提出了一种专门针对私有云中的身份认证与访问控制解决方案。方案使用多种技术和标准协议实现了对云中用户的身份管理和访问控制。通过在企业的入口处部署身份认证应用服务器就可实现对组织信息资产的统一身份认证、授权、身份数据集中管理。

      方案采用面向云安全的开放式体系架构,可与多种企业应用、云应用、云支撑系统等结合。实现横向切割,各组件间保持松耦合,根据用户需求进行灵活裁剪;支持面向服务的体系结构(Service—oriented ArchITecture,SOA)接口、通用公钥基础设施(Public Key Infrastructure,PKI)接口、安全断言标记语言(SecurITy Assertion Markup Language,SAML)和服务配置标记语言(Service Provisioning Markup Language,SPML)与云系统无缝衔接;支持多连接器,可与各大应用系统快速集成。方案的架构如图1所示。该方案从云中身份认证与访问管理需要解决的问题出发,分别使用不同的技术手段解决相应的问题,实现了对用户的身份管理、隐私保护、单点登录以及访问控制,满足了云中资源的安全访问和管理需求。

      2.1提供完整的生命周期管理

      解决方案借助数据同步服务和丰富的连接器组件实现用户账户的快速管理。采用集中化的身份管理和权限实施,用户的访问权限实时进行更新,使得用户只能接收必要的权限来访问资源,保证新用户可以在人职的第一天快速进入工作状态;而当其离开公司后立即撤销或完全删除其身份以及所有节点的访问权限,使得私有云下的安全得到了另一层面的满足。

      采用基于SPML 1.0技术标准的数据自动同步技术,云中的第三方应用系统可以使用SPML 1.0标准协议与数据同步服务同步进行信息交换。SPML是企业之间交换用户、资源和服务配置信息的基于可扩展标记语言(Extensible Markup Language,XML)的框架,也是用于服务配置请求集成和互操作性的开放的、标准的协议。数据自动同步技术可以设置同步策略,将用户身份的变化信息采集到系统内,并根据策略更新至云中的其他系统或发布至指定的目录服务器(Lightweight Directory Access Protocol,LDAP)、活动目录(Active Directory,AD)或数据库,实现信息同步。

    提示:支持键盘“← →”键翻页
    本文导航
    • 第1页:云中的身份认证与访问管理

    关注排行榜

    产品品牌

    文章推荐

    互动沙龙

    相关内容 网友评论 返回首页
    专家咨询