本文節(jié)選自《云安全與隱私》一書的第五章。本章介紹身份及訪問管理(IAM )實(shí)踐的當(dāng)前狀況，還將介紹有助于對(duì)于用戶訪問云計(jì)算服務(wù)而進(jìn)行認(rèn)證、授權(quán)和審計(jì)的身份及訪問管理支持特性。

信任邊界以及身份及訪問管理

在典型的機(jī)構(gòu)中，應(yīng)用程序部署在機(jī)構(gòu)的范圍之內(nèi)，“信任邊界”處于IT 部門的監(jiān)測(cè)控制之下，幾乎是靜態(tài)的。在傳統(tǒng)模式下，信任邊界包括網(wǎng)絡(luò)、系統(tǒng)和位于私有數(shù)據(jù)中心并由IT 部門(有時(shí)是在IT 監(jiān)管下的第三方提供商)管理的應(yīng)用程序。通過虛擬專用網(wǎng)絡(luò)(VPN )、入侵檢測(cè)系統(tǒng)(IDS )、入侵防御系統(tǒng)(IPS )以及多因素身份認(rèn)證等網(wǎng)絡(luò)安全控制手段，對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序進(jìn)行安全訪問。

采用云計(jì)算服務(wù)以后，機(jī)構(gòu)的信任邊界將變成動(dòng)態(tài)的，并且遷移到IT 控制范圍之外。在云計(jì)算中，機(jī)構(gòu)的網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序的邊界將延伸到服務(wù)提供商的范圍內(nèi)(對(duì)于大多數(shù)從事電子商務(wù)、供應(yīng)鏈管理、外包和與合作伙伴及社團(tuán)協(xié)作的大公司來說這早已是事實(shí))。這種控制權(quán)的丟失，對(duì)已有的信任管理和控制模式(包括對(duì)于員工和承包商的可信來源)形成了很大的挑戰(zhàn)，并且若沒有得到妥善管理，將對(duì)機(jī)構(gòu)采用云計(jì)算服務(wù)造成阻礙。

為了彌補(bǔ)網(wǎng)絡(luò)控制的丟失以及加強(qiáng)風(fēng)險(xiǎn)保障，機(jī)構(gòu)將不得不采用更高級(jí)別的軟件控制，例如應(yīng)用程序安全和用戶訪問控制。這些控制表現(xiàn)為強(qiáng)認(rèn)證、基于角色或聲明的授權(quán)、準(zhǔn)確屬性的可靠來源、身份聯(lián)合、單點(diǎn)登錄(SSO )、用戶行為監(jiān)測(cè)以及審計(jì)。特別地，機(jī)構(gòu)需要注意身份聯(lián)合架構(gòu)和流程，因?yàn)檫@可以加強(qiáng)機(jī)構(gòu)和云計(jì)算服務(wù)提供商(CSP )之間的控制和信任。

身份聯(lián)合是個(gè)為處理多態(tài)、動(dòng)態(tài)、松散耦合的信任關(guān)系而興起的行業(yè)最佳實(shí)踐，而信任關(guān)系則是機(jī)構(gòu)外部和內(nèi)部供應(yīng)鏈及協(xié)作模式的特征。身份聯(lián)合也使被機(jī)構(gòu)信任邊界分隔的系統(tǒng)及應(yīng)用程序能夠?qū)崿F(xiàn)交互，例如一個(gè)銷售人員從企業(yè)網(wǎng)絡(luò)中與Salesforce.com 進(jìn)行交互。由于結(jié)合了良好的身份及訪問管理實(shí)踐，身份聯(lián)合可以通過集中訪問控制服務(wù)使用授權(quán)、網(wǎng)絡(luò)單點(diǎn)登錄以及權(quán)限管理的方式實(shí)現(xiàn)強(qiáng)認(rèn)證，身份聯(lián)合對(duì)于加速機(jī)構(gòu)采用云計(jì)算會(huì)發(fā)揮核心作用。

在一些情況下，機(jī)構(gòu)內(nèi)的IAM 實(shí)踐可能因?yàn)槿狈械墓芾砑吧矸菪畔⒓軜?gòu)而受到影響。身份存儲(chǔ)往往是通過多個(gè)管理員手動(dòng)輸入的，并且用戶開通過程也沒有很好的規(guī)范。這樣做不僅效率低下，同時(shí)也會(huì)將現(xiàn)有的不良做法沿襲到云計(jì)算服務(wù)中。在這樣的情況下，弱訪問模式將使云計(jì)算中未授權(quán)用戶的權(quán)限過度泛濫。

IAM 是一條雙行道。云計(jì)算服務(wù)提供商需要支持IAM 標(biāo)準(zhǔn)(例如SAML )和實(shí)踐，例如為用戶利用身份聯(lián)合擴(kuò)大其實(shí)踐以保持符合內(nèi)部政策和標(biāo)準(zhǔn)。支持IAM 功能的云計(jì)算服務(wù)，例如身份聯(lián)合，會(huì)加速傳統(tǒng)IT 應(yīng)用程序從可信公司網(wǎng)絡(luò)到可信云計(jì)算服務(wù)模式的遷移。對(duì)于用戶而言，良好實(shí)施的用戶IAM 實(shí)踐和流程將有助于保護(hù)存儲(chǔ)于云計(jì)算中信息的保密性、完整性以及管理合規(guī)性。支持IAM 標(biāo)準(zhǔn)的云計(jì)算服務(wù)如SAML ，可以加速新的云計(jì)算服務(wù)的采用，并推動(dòng)IT 應(yīng)用程序從可信公司網(wǎng)絡(luò)到可信云計(jì)算服務(wù)模式的遷移。