中国IDC圈8月1日报道:本文节选自《云安全与隐私》一书的第五章。本章介绍身份及访问管理(IAM )实践的当前状况,还将介绍有助于对于用户访问云计算服务而进行认证、授权和审计的身份及访问管理支持特性。

信任边界以及身份及访问管理

在典型的机构中,应用程序部署在机构的范围之内,“信任边界”处于IT 部门的监测控制之下,几乎是静态的。在传统模式下,信任边界包括网络、系统和位于私有数据中心并由IT 部门(有时是在IT 监管下的第三方提供商)管理的应用程序。通过虚拟专用网络(VPN )、入侵检测系统(IDS )、入侵防御系统(IPS )以及多因素身份认证等网络安全控制手段,对网络、系统和应用程序进行安全访问。

采用云计算服务以后,机构的信任边界将变成动态的,并且迁移到IT 控制范围之外。在云计算中,机构的网络、系统和应用程序的边界将延伸到服务提供商的范围内(对于大多数从事电子商务、供应链管理、外包和与合作伙伴及社团协作的大公司来说这早已是事实)。这种控制权的丢失,对已有的信任管理和控制模式(包括对于员工和承包商的可信来源)形成了很大的挑战,并且若没有得到妥善管理,将对机构采用云计算服务造成阻碍。

为了弥补网络控制的丢失以及加强风险保障,机构将不得不采用更高级别的软件控制,例如应用程序安全和用户访问控制。这些控制表现为强认证、基于角色或声明的授权、准确属性的可靠来源、身份联合、单点登录(SSO )、用户行为监测以及审计。特别地,机构需要注意身份联合架构和流程,因为这可以加强机构和云计算服务提供商(CSP )之间的控制和信任。

身份联合是个为处理多态、动态、松散耦合的信任关系而兴起的行业最佳实践,而信任关系则是机构外部和内部供应链及协作模式的特征。身份联合也使被机构信任边界分隔的系统及应用程序能够实现交互,例如一个销售人员从企业网络中与Salesforce.com 进行交互。由于结合了良好的身份及访问管理实践,身份联合可以通过集中访问控制服务使用授权、网络单点登录以及权限管理的方式实现强认证,身份联合对于加速机构采用云计算会发挥核心作用。

在一些情况下,机构内的IAM 实践可能因为缺乏集中的管理及身份信息架构而受到影响。身份存储往往是通过多个管理员手动输入的,并且用户开通过程也没有很好的规范。这样做不仅效率低下,同时也会将现有的不良做法沿袭到云计算服务中。在这样的情况下,弱访问模式将使云计算中未授权用户的权限过度泛滥。

IAM 是一条双行道。云计算服务提供商需要支持IAM 标准(例如SAML )和实践,例如为用户利用身份联合扩大其实践以保持符合内部政策和标准。支持IAM 功能的云计算服务,例如身份联合,会加速传统IT 应用程序从可信公司网络到可信云计算服务模式的迁移。对于用户而言,良好实施的用户IAM 实践和流程将有助于保护存储于云计算中信息的保密性、完整性以及管理合规性。支持IAM 标准的云计算服务如SAML ,可以加速新的云计算服务的采用,并推动IT 应用程序从可信公司网络到可信云计算服务模式的迁移。

为什么要用IAM

从传统意义上来看,机构在IAM 实践上进行投资的目的是为了提高运营效率,并满足法规、隐私和数据保护等方面的需求:

提高运营效率

架构良好的IAM 技术和流程可以使诸如用户入职等的重复性工作实现自动化,从而提高效率(例如,自助重置用户请求口令,无须系统管理员使用帮助台派单系统介入)。

合规性管理

为了保护系统、应用程序和信息不受内部和外部的威胁(如心怀不满的员工删除敏感数据),以及符合各种法规、隐私和数据保护的需求,机构会实施“IT 通用和应用程序级控制”框架,而这个框架来自于行业标准框架,如ISO 27002 和信息技术基础架构库(ITIL )。IAM 程序和实践可以帮助机构实现访问控制和运行安全方面的目标(例如,合规性要求的执行情况,如“职责分离”及工作人员履行职责的最小权限分配)。审计员通常将内部控制映射为IT 控制,以支持合规性管理过程,如支付卡行业(PCI )数据安全标准(DSS )以及2003 年的萨班斯法案(SOX )。

除了提高运行效率和合规性管理效率,IAM 可以实现新的IT 交付和部署模式(如云计算服务)。例如,身份联合,作为IAM 的关键组成部分,实现跨信任边界的身份信息连接和携带。因此,IAM 使企业和云计算服务提供商通过Web 单点登录及联合的用户开通,在安全信任域间建立通道。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-07-31 12:13:13
云资讯 京东云发布《私有云&混合云白皮书》 构建客户想要的云平台
伴随着人工智能、大数据、物联网等技术的不断发展,以及5G时代的来临,企业IT系统的云化成为大势所趋。客户多样化、个性化的应用需求对云厂商提出更多要求。 <详情>
2019-07-31 10:31:00
边缘计算 企业必须进入云端吗?可以进入边缘计算
如今物联网的应用越来越广泛,但需要具有企业的视角。这意味着垂直行业应用程序、开发生态系统、产品设计、硬件、部署等。 <详情>
2019-07-31 10:19:00
云资讯 谷歌牵手VMware将虚拟化工作负载引入谷歌云
彭博社报道称,谷歌与VMware正在展开合作,帮助企业更轻松地在Google Cloud Platform上运行VMware vSphere虚拟化软件和网络工具。 <详情>
2019-07-31 09:52:00
云资讯 谷歌与戴尔旗下云计算公司VMware建立新合作 试图追赶竞争对手
据国外媒体报道,当地时间周一,谷歌宣布与戴尔旗下的云计算公司VMware建立新的合作伙伴关系,帮助更多企业迁移到云端,从而试图追赶其竞争对手。 <详情>
2019-07-31 09:10:00
云技术 云计算时代,硬件为什么仍然非常重要?
加利福尼亚大学圣迭戈分校采用了“云优先”的战略,他们淘汰了三台大型机、将尽可能多的计算工作负载转移到云端、尽可能放弃内部部署软件,转而使用软件即服务。 <详情>