云計算安全與隱私:身份聯合管理
云計算安全——為什么要用IAM
從傳統意義上來看,機構在IAM 實踐上進行投資的目的是為了提高運營效率,并滿足法規、隱私和數據保護等方面的需求:
1.提高運營效率
架構良好的IAM 技術和流程可以使諸如用戶入職等的重復性工作實現自動化,從而提高效率(例如,自助重置用戶請求口令,無須系統管理員使用幫助臺派單系統介入)。
2.合規性管理
為了保護系統、應用程序和信息不受內部和外部的威脅(如心懷不滿的員工刪除敏感數據),以及符合各種法規、隱私和數據保護的需求,機構會實施“IT 通用和應用程序級控制”框架,而這個框架來自于行業標準框架,如ISO 27002 和信息技術基礎架構庫(ITIL )。IAM 程序和實踐可以幫助機構實現訪問控制和運行安全方面的目標(例如,合規性要求的執行情況,如“職責分離”及工作人員履行職責的最小權限分配)。審計員通常將內部控制映射為IT 控制,以支持合規性管理過程,如支付卡行業(PCI )數據安全標準(DSS )以及2003 年的薩班斯法案(SOX )。
除了提高運行效率和合規性管理效率,IAM 可以實現新的IT 交付和部署模式(如云計算服務)。例如,身份聯合,作為IAM 的關鍵組成部分,實現跨信任邊界的身份信息連接和攜帶。因此,IAM 使企業和云計算服務提供商通過Web 單點登錄及聯合的用戶開通,在安全信任域間建立通道。
一些需要云計算服務提供商提供IAM 支持的云計算用例包括:
機構的員工及相關承包商使用身份聯合來訪問SaaS 服務(例如,銷售和支持人員使用企業身份和憑證訪問Salesforce.com )。
IT 管理員訪問云計算服務提供商控制臺,為使用企業身份的用戶提供資源和訪問能力(例如,Newco.com 的IT 管理員在亞馬遜彈性計算云中提供虛擬機及VM ,并在其中配置了虛擬機操作(如開始、停止、掛起和刪除等)的身份、權利和證書)。
開發人員在PaaS 平臺為其合作伙伴用戶創建賬戶(例如,Newco.com 開發人員在Force.com 中為簽約的Partnerco.com 員工提供賬戶,而后者執行Newco.com 的業務流程)。
終端用戶使用訪問策略管理功能在域內及域外訪問云計算中的存儲服務(如亞馬遜簡單儲存服務)并與用戶分享文件和對象。
云計算服務提供商內的應用程序(如亞馬遜彈性計算云)通過其他云計算服務(如Mosso )訪問存儲。
由于IAM 如SSO 允許應用程序具體化認證功能,這使得企業可以快速采用*aaS 服務(Salesforce.com 是一個例子)以減少與服務提供商進行業務集成的時間。IAM 的功能也同樣可以幫助企業將某些流程或服務外包給合作伙伴,并減少對企業隱私和安全的影響,例如,履行訂單的商業合作伙伴的員工,可以使用身份聯合來訪問存儲在商業應用中的實時信息,并管理產品實現過程。簡言之,IAM 策略、實踐和架構的延伸可以使機構延伸云計算中用戶訪問管理實踐和過程。因此,實施IAM 的機構可以快速采用云計算服務,并維護其安全控制的效率和效果。
#p#
云計算安全——IAM 的挑戰
IAM 的一個關鍵挑戰是:對訪問內部及外部服務的不同用戶群(員工、承包商、合作伙伴等)的訪問管理。IT 總是不斷面臨為用戶快速提供適當訪問機制的挑戰,因為用戶的角色和職責經常會因為業務因素而變化。機構內的人員流動也是存在的另外一個重要問題。人員流動性因行業及功能而有所不同,例如金融部門季節性的員工波動,人員流動性也可能由于業務的變化而上升,例如兼并和收購、新產品和服務的發布、業務流程外包和職責變更。因此,IAM 過程的維持將是個長期的挑戰。
信息的訪問策略很少是集中并一致采用的。機構常常使用五花八門的不同目錄,創建復雜的管理用戶身份、訪問權限和流程的復雜Web 頁面,這使得用戶和訪問管理過程效率低下,也在安全、合規性、聲譽等方面給機構帶來了極大的風險。
為了應對這些挑戰和風險,許多公司都在尋求集中的自動化管理用戶權限的技術解決方案。許多這樣的新方案都被賦予很高的期望,由于存在的問題通常很重大而且復雜,有這樣的期望并不奇怪。這些改進IAM 的新方案絕大多數需要花費數年時間以及相當大的費用。因此,機構應當從業務和IT 驅動兩個方面著手處理其IAM 策略和架構,在保持控制的有效性(與訪問控制相關的)同時,解決效率低下的核心問題。只有這樣機構才有比較大的可能取得成功并收回投資。
云計算安全——IAM 的定義
首先我們提出適用于任何服務的IAM 功能的基本概念和定義:
認證
認證是核實用戶或系統身份的過程(例如,輕量級目錄訪問協議即LDAP 核實用戶所提交的證書,其標識符為指派給員工或承包商的企業用戶唯一ID )。認證通常意味著更為可靠的識別形式。在某些場合中,例如服務到服務的交互,認證包含對請求訪問另一個服務所提供信息的網絡服務請求進行驗證(例如,與信用卡網關相連的旅游Web 服務,會代表用戶對信用卡進行驗證)。
授權
授權是確定用戶或系統身份并授予權限的過程。在數字服務方面,授權通常是認證的下一個步驟,授權被用來確定用戶或服務是否具有執行某項操作所需要的權限,換言之,授權是執行策略的過程。
審計
對于IAM 而言,審計是指查看和檢查有關認證、授權的記錄和活動,以確定IAM 系統控制的完備性、核實與已有安全策略及過程的符合性(如職責分離)、檢測安全服務中的違規事件(如特權提升),并給出相應的對策和整改建議。
#p#
云計算安全——IAM 體系架構和實踐
IAM 并不是一個可以輕易部署并立即產生效果的整體解決方案,而是一個由各種技術組件、過程和標準實踐組成的體系架構(參見圖5-1 )。標準的企業級IAM 體系架構包含技術、服務和過程等幾個層面,其部署體系架構的核心是目錄服務(例如輕量級目錄訪問協議或活動目錄),目錄服務是機構用戶群的身份、證書和用戶屬性的信息庫。目錄與IAM 技術組件進行交互,這些組件包括認證、用戶管理、在機構內提供并支持標準IAM 實踐和進程的身份聯合服務等。由于特殊計算環境的緣故,機構通常會使用多個目錄(例如Window 系統使用活動目錄而UNIX 系統使用輕量級目錄訪問協議),業務兼并和收購而形成的環境整合也會造成多個目錄并存使用的情況。
支持業務的IAM 過程可以大體分為如下幾類:
用戶管理
為了有效治理和管理身份生命周期而進行的活動。
認證管理
為了有效治理和管理實體的確定及實體聲明內容的過程而進行的活動。
授權管理
為了有效治理和管理根據機構策略實體可訪問資源權利的過程而進行的活動。
訪問管理
響應實體(用戶、服務)請求訪問機構內IT 資源的訪問控制策略的執行。
數據管理和供應
通過自動化或手動過程對IT 資源授權的身份及數據的傳輸。
監控和審計
基于已定義的策略在機構內對用戶訪問資源合規的監控、審計及報告。
IAM 過程支持如下業務活動:
業務開通
這個術語通常用于企業級資源管理,指新入職員工開始使用系統及應用程序的過程,這些過程向用戶提供對數據及技術資源的必要訪問。業務開通可以認為是人力資源和IT 部門的共同職責,用戶基于唯一的身份ID 對資料庫或系統、應用程序以及數據庫進行訪問。業務取消則以相反的形式工作,對已分配給用戶的身份或與身份對應的權限進行刪除或者休眠。
圖5-1 :企業身份及訪問管理的功能體系架構
證書及屬性管理
這些過程用來實現證書及用戶屬性的生命周期管理創建、發行、管理、撤銷,從而將身份假冒和賬戶濫用等業務風險降到最低。證書通常與個人綁定,并在認證過程中進行核實。這個過程包括屬性的提供、符合密碼標準(如可抵御字典攻擊的密碼)的靜態(如標準文本密碼)及動態(如一次性密碼)證書、口令過期處理、在處于傳輸和靜態過程中證書的加密管理,以及用戶屬性的訪問策略(由于各種監管原因而進行的隱私和屬性處理)。
權限管理權限
也稱為授權策略。在這個領域,過程解決用戶所需的權限的開通和移除,用戶可使用這些權限訪問包括系統、應用程序和數據庫資源。合適的權限管理確保只分配給用戶與其工作職能相符的所需要的權限(最小特權)。權限管理可用來加強Web 服務、網絡應用程序、傳統應用、文件和檔案以及物理安全系統的安全性。
合規管理
這個過程意味著對訪問權限和特權的監控以及追蹤,確保企業資源的安全。這個過程還幫助審計員核實各種內部訪問控制策略和標準的合規,這些策略和標準包括諸如職責分離、訪問監控、定期審計和報告這樣的實踐。例如,用戶認證過程允許應用程序所有者證實只有授權用戶有訪問業務敏感信息所需的權限。
身份聯合管理
身份聯合是管理建立于不同機構間內部網絡邊界或管理域邊界之外的信任關系的過程。身份聯合是機構的聯盟,機構相互交流關于用戶和資源的信息,進行合作和交易(例如,各機構由第三方提供商管理的保險金系統共享用戶信息)。服務提供商的身份聯合需要支持云計算服務的單點登錄。
集中化的認證(authN )和授權(authZ)
集中化的認證和授權體系架構降低了應用程序開發者在應用程序中搭建定制的認證和授權功能的需求。此外,它還促進了松散的耦合結構,應用程序對于認證方法和策略是不可知的。這種方法也稱為應用程序的“外部化authN 和authZ ”。
圖5-2 說明了身份生命周期管理的各個階段。
圖5-2 :身份生命周期管理示意圖
云計算安全是大家共同矚目的話題,本文主要是為大家呈現一些技術理論和專業知識,希望讀者能夠從中獲益。
【編輯推薦】
