信息化時(shí)代,企業(yè)分布式管理模式的廣泛應(yīng)用使當(dāng)今的IT系統(tǒng)管理變得復(fù)雜,企業(yè)必須提供一個(gè)全方位的資源審視以確保企業(yè)資源的有效訪問和管理。而云計(jì)算的不斷發(fā)展使得眾企業(yè)將服務(wù)遷往云中以獲得更高的利益。企業(yè)遷入云中后,信息資源放在云端,其安全性又受到了新的威脅。為了提高云中各系統(tǒng)資源的安全性,企業(yè)必須提供更高層次的保密性以實(shí)現(xiàn)對云中資源的安全訪問和管理。構(gòu)建云環(huán)境下安全有效的資源訪問以實(shí)現(xiàn)業(yè)務(wù)邏輯的增值已成為眾多企業(yè)的最新選擇 。
身份與訪問安全集中管理系統(tǒng)(IdentITy and Access Management,IAM)是一套全面的建立和維護(hù)數(shù)字身份,并提供有效、安全的IT資源的業(yè)務(wù)流程和管理手段,從根本上實(shí)現(xiàn)了組織信息資產(chǎn)統(tǒng)一的身份認(rèn)證、授權(quán)和身份數(shù)據(jù)集中管理與審計(jì)。企業(yè)引入IAM后能夠簡化企業(yè)用戶管理,提高網(wǎng)絡(luò)資源的訪問安全,降低應(yīng)用成本,給企業(yè)帶來利潤。文中提出一種全面的針對企業(yè)私有云的身份與管理解決方案。該方案是從綜合治理角度出發(fā)建立的一套集成化、一站式的身份與訪問安全管理解決方案,幫助企業(yè)有效解決在身份生命周期管理、統(tǒng)一身份認(rèn)證、企業(yè)IT系統(tǒng)集成及單點(diǎn)登錄、授權(quán)與訪問控制管理等方面存在的問題。
1、云中的身份認(rèn)證與訪問管理
企業(yè)遷入云中給企業(yè)帶來巨大利益的同時(shí)也帶來了諸多的安全風(fēng)險(xiǎn)。一方面,傳統(tǒng)的IAM方案中用戶的身份存儲(chǔ)通過多個(gè)管理員手動(dòng)輸入實(shí)現(xiàn),開通過程缺乏標(biāo)準(zhǔn)的規(guī)范指導(dǎo),使得訪問效率低下;對內(nèi)部及外部服務(wù)的不同員工用戶群的訪問管理則采用不同目錄、不同管理用戶身份和訪問權(quán)限的Web頁面,在企業(yè)的安全性、合規(guī)性等方面給企業(yè)帶來了極大風(fēng)險(xiǎn) 。另一方面,云計(jì)算的迅速發(fā)展使得眾多企業(yè)選擇建立自己的私有云服務(wù),而IAM向云的遷移又給企業(yè)帶來了新的挑戰(zhàn) 。傳統(tǒng)的企業(yè)機(jī)構(gòu)中,應(yīng)用程序部署在機(jī)構(gòu)的范圍內(nèi), “信任邊界” 處于IT部門的檢測控制之下,是靜態(tài)的。而當(dāng)采用云服務(wù)后,機(jī)構(gòu)的信任邊界變成了動(dòng)態(tài)的,并且遷移到IT控制范圍之外。控制權(quán)的丟失給傳統(tǒng)的信任管理和控制模式帶來了巨大的挑戰(zhàn)。下面介紹云中IAM需要解決的問題。
1.1身份管理
對企業(yè)采納云計(jì)算服務(wù)機(jī)構(gòu)的主要挑戰(zhàn)之一是在云端安全和及時(shí)地管理報(bào)到(即創(chuàng)建和更新賬戶)和離職(即刪除用戶賬戶)的用戶。企業(yè)私有云中的用戶是動(dòng)態(tài)變化的,用戶的角色和職責(zé)經(jīng)常會(huì)因?yàn)闃I(yè)務(wù)因素而變化,同時(shí),各組織機(jī)構(gòu)內(nèi)還存在用戶流動(dòng)的問題。針對用戶的移動(dòng)性,各組織機(jī)構(gòu)應(yīng)加強(qiáng)和改進(jìn)對訪問內(nèi)部及外部服務(wù)的不同用戶群的訪問管理。
傳統(tǒng)云中,不同系統(tǒng)間的信息交換采用手動(dòng)方式將數(shù)據(jù)同步到云中的各應(yīng)用系統(tǒng)中。當(dāng)用戶發(fā)生變動(dòng)時(shí),手動(dòng)方式的更新在造成效率降低的同時(shí)也給云中不同系統(tǒng)間信息的安全性造成了威脅 ,一些惡意內(nèi)部人員對用戶機(jī)密信息的丟失和泄露將使企業(yè)遭受重大的損失。
1.2 隱私保護(hù)及認(rèn)證
云中資源的開放性使用戶對資源的使用更加便利,但同時(shí)也為一些居心叵測者提供了更多的漏洞。用戶信息放在云端,并被過度采集造成信息的泄露危險(xiǎn)。為保障用戶信息的安全性,最主要的是對用戶訪問者的身份進(jìn)行管理、認(rèn)證,然后進(jìn)行適當(dāng)?shù)氖跈?quán),讓他只能夠接觸到他這個(gè)授權(quán)水平所能夠接觸到的數(shù)據(jù)。
身份認(rèn)證是信息系統(tǒng)對訪問者身份合法性的檢查,云中各系統(tǒng)擁有獨(dú)立的身份認(rèn)證方式或模型,認(rèn)證強(qiáng)度和標(biāo)準(zhǔn)不統(tǒng)一,管理、運(yùn)維和用戶成本隨系統(tǒng)規(guī)模的增加而增加。當(dāng)企業(yè)遷入云中開始利用云端服務(wù)時(shí),以可信賴及易于管理的方式來認(rèn)證用戶是一個(gè)至關(guān)重要的要求。
目前現(xiàn)有的IAM方案多數(shù)不支持國產(chǎn)商密算法并且具有安全漏洞,面向的用戶范圍狹窄,其在技術(shù)實(shí)現(xiàn)上缺乏擴(kuò)展性的考慮,與采用各種技術(shù)的云平臺(tái)進(jìn)行銜接的難度較大,無法保障云入口的安全管理。
1.3 單點(diǎn)登錄
用戶訪問云中的系統(tǒng)資源時(shí)需要重復(fù)登錄系統(tǒng)進(jìn)行身份認(rèn)證,給用戶帶來繁瑣的同時(shí)也降低了資源的訪問效率。單點(diǎn)登錄技術(shù)實(shí)現(xiàn)了一次登錄而安全訪問云中的所有系統(tǒng)資源,提高了云中資源訪問的便捷性和靈活性。但傳統(tǒng)單點(diǎn)登錄技術(shù)缺乏一個(gè)突出的標(biāo)準(zhǔn)來實(shí)現(xiàn)身份信息的交換,用來保證信息交換過程的安全性和有效性。
1.4 訪問控制
為保障云中資源的安全性,防止惡意人員非法訪問資源造成的信息泄露,云中用戶進(jìn)行身份認(rèn)證后,需要按用戶身份及其所歸屬的某預(yù)定義組來限制其對某些信息項(xiàng)或控制功能的使用。私有云環(huán)境中,各個(gè)應(yīng)用系統(tǒng)屬于不同的安全管理域,它們各自管理著本地的資源和用戶,跨系統(tǒng)間的實(shí)現(xiàn)就需要制定云中全局的訪問控制策略。訪問控制是信息安全保障機(jī)制的核心內(nèi)容,可以用來保證數(shù)據(jù)的保密性和完整性 。它用來限制主體對客體的訪問權(quán)限,指定用戶可以訪問哪些資源并對這些資源做哪些操作。傳統(tǒng)的訪問控制模型不能適應(yīng)云環(huán)境下資源的動(dòng)態(tài)訪問控制要求。
2、私有云中身份與管理解決方案
解決方案通過對云中資源的安全訪問進(jìn)行研究后提出了一種專門針對私有云中的身份認(rèn)證與訪問控制解決方案。方案使用多種技術(shù)和標(biāo)準(zhǔn)協(xié)議實(shí)現(xiàn)了對云中用戶的身份管理和訪問控制。通過在企業(yè)的入口處部署身份認(rèn)證應(yīng)用服務(wù)器就可實(shí)現(xiàn)對組織信息資產(chǎn)的統(tǒng)一身份認(rèn)證、授權(quán)、身份數(shù)據(jù)集中管理。
方案采用面向云安全的開放式體系架構(gòu),可與多種企業(yè)應(yīng)用、云應(yīng)用、云支撐系統(tǒng)等結(jié)合。實(shí)現(xiàn)橫向切割,各組件間保持松耦合,根據(jù)用戶需求進(jìn)行靈活裁剪;支持面向服務(wù)的體系結(jié)構(gòu)(Service—oriented ArchITecture,SOA)接口、通用公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure,PKI)接口、安全斷言標(biāo)記語言(SecurITy Assertion Markup Language,SAML)和服務(wù)配置標(biāo)記語言(Service Provisioning Markup Language,SPML)與云系統(tǒng)無縫銜接;支持多連接器,可與各大應(yīng)用系統(tǒng)快速集成。方案的架構(gòu)如圖1所示。該方案從云中身份認(rèn)證與訪問管理需要解決的問題出發(fā),分別使用不同的技術(shù)手段解決相應(yīng)的問題,實(shí)現(xiàn)了對用戶的身份管理、隱私保護(hù)、單點(diǎn)登錄以及訪問控制,滿足了云中資源的安全訪問和管理需求。
2.1提供完整的生命周期管理
解決方案借助數(shù)據(jù)同步服務(wù)和豐富的連接器組件實(shí)現(xiàn)用戶賬戶的快速管理。采用集中化的身份管理和權(quán)限實(shí)施,用戶的訪問權(quán)限實(shí)時(shí)進(jìn)行更新,使得用戶只能接收必要的權(quán)限來訪問資源,保證新用戶可以在人職的第一天快速進(jìn)入工作狀態(tài);而當(dāng)其離開公司后立即撤銷或完全刪除其身份以及所有節(jié)點(diǎn)的訪問權(quán)限,使得私有云下的安全得到了另一層面的滿足。
采用基于SPML 1.0技術(shù)標(biāo)準(zhǔn)的數(shù)據(jù)自動(dòng)同步技術(shù),云中的第三方應(yīng)用系統(tǒng)可以使用SPML 1.0標(biāo)準(zhǔn)協(xié)議與數(shù)據(jù)同步服務(wù)同步進(jìn)行信息交換。SPML是企業(yè)之間交換用戶、資源和服務(wù)配置信息的基于可擴(kuò)展標(biāo)記語言(Extensible Markup Language,XML)的框架,也是用于服務(wù)配置請求集成和互操作性的開放的、標(biāo)準(zhǔn)的協(xié)議。數(shù)據(jù)自動(dòng)同步技術(shù)可以設(shè)置同步策略,將用戶身份的變化信息采集到系統(tǒng)內(nèi),并根據(jù)策略更新至云中的其他系統(tǒng)或發(fā)布至指定的目錄服務(wù)器(Lightweight Directory Access Protocol,LDAP)、活動(dòng)目錄(Active Directory,AD)或數(shù)據(jù)庫,實(shí)現(xiàn)信息同步。數(shù)據(jù)自動(dòng)同步的實(shí)現(xiàn)原理如圖2所示。
采用自動(dòng)數(shù)據(jù)同步技術(shù)能夠一方面實(shí)現(xiàn)與應(yīng)用系統(tǒng)的交互,避免信息的二次錄入,提高云中服務(wù)資源的安全訪問和管理效率;另一方面,用戶崗位調(diào)動(dòng)后,其訪問權(quán)限能夠自動(dòng)實(shí)時(shí)更新,防止云中信息資源的泄露;最后,通過對冗余賬號的合并和統(tǒng)一管理,保持云中不同系統(tǒng)間信息資源的同步,實(shí)現(xiàn)了云中信息的一致性。
身份映射技術(shù)通過將用戶的身份與特定應(yīng)用系統(tǒng)中的應(yīng)用賬戶進(jìn)行關(guān)聯(lián),實(shí)現(xiàn)業(yè)務(wù)流程的無縫銜接,增強(qiáng)了IAM在私有云中的通用性。
2.2 強(qiáng)大的管理認(rèn)證手段
解決方案從多角度實(shí)現(xiàn)對用戶的認(rèn)證管理,多種方式的并行使用確保認(rèn)證的準(zhǔn)確性和高效性,如下所述:
1)提供多樣化的身份鑒別方式。方案通過提供不同安全強(qiáng)度的身份鑒別手段,例如靜態(tài)密碼、數(shù)字證書、智能卡、手機(jī)短信等,滿足了私有云中不同強(qiáng)度的身份鑒別需求。
2)與PKI體系無縫銜接。方案配有專用證書認(rèn)證系統(tǒng)(CA,Certificate Authentication)連接器組件,可與PKI/CA體系無縫整合,實(shí)現(xiàn)用戶賬戶與數(shù)字證書的直接綁定,提高安全程度及易用度。
3)增強(qiáng)的密碼管理。可配置的密碼安全策略(包括密碼長度、復(fù)雜度、有效期等)、應(yīng)用賬號密碼自動(dòng)清洗以及用戶自助密碼重置和找回,可幫助私有云中的系統(tǒng)升級到現(xiàn)有密碼安全級別,有效防止由于密碼過于簡單帶來的安全風(fēng)險(xiǎn)。
2.3 多角色實(shí)現(xiàn)單點(diǎn)登錄
解決方案采用基于SAML2.0技術(shù)規(guī)范的多角色單點(diǎn)登錄機(jī)制 ,通過將系統(tǒng)參與者分為不同的角色,每個(gè)角色負(fù)責(zé)不同的職責(zé)來實(shí)現(xiàn)用戶身份信息的安全交換。用戶只需認(rèn)證一次即可訪問云中的所有應(yīng)用系統(tǒng),避免了用戶重復(fù)登錄系統(tǒng)的繁瑣。同時(shí),單點(diǎn)登錄的交互過程中,登錄憑據(jù)采用安全套接層(Secure Socket Layer,SSL)建立安全通道的方式進(jìn)行傳輸,確保信息不會(huì)被泄露,增加了用戶身份隱私的安全性。
身份認(rèn)證、數(shù)字簽名采用支持SM2~M3國產(chǎn)算法的認(rèn)證技術(shù);安全通信采用支持SM1 M2SM3的SSL安全鏈路網(wǎng)關(guān)進(jìn)行通信,以確保信息的不可否認(rèn)性、完整性和機(jī)密性。為有效阻止用戶認(rèn)證過程中的防重放攻擊,認(rèn)證中心產(chǎn)生防重放攻擊隨機(jī)值,用于防止截取斷言的惡意用戶多次獲得訪問目標(biāo)站點(diǎn)權(quán)限,從而造成站點(diǎn)資源的泄露或被破壞。方案實(shí)現(xiàn)的單點(diǎn)登錄過程如圖3所示。
2.4基于RBAC模型的訪問控制
方案使用可擴(kuò)展的訪問控制標(biāo)記語言(eXtensible Access Control Markup Language,XACML)協(xié)議結(jié)合基于角色的訪問控制(Role Based Access Control,RBAC)的多策略模型實(shí)現(xiàn)私有云環(huán)境下資源的訪問控制。XACML是一種基于XML的用于決定請求/響應(yīng)的通用訪問控制開放標(biāo)準(zhǔn)語言和執(zhí)行授權(quán)策略的框架 。協(xié)議支持參數(shù)化的策略描述,可對Web服務(wù)進(jìn)行有效的訪問控制。RBAC將權(quán)限與角色關(guān)聯(lián),用戶通過成為適當(dāng)角色的成員而得到這些角色的權(quán)限 。該復(fù)合模型遵循角色層次規(guī)則、最小權(quán)限規(guī)則以及約束規(guī)則,實(shí)現(xiàn)了角色的準(zhǔn)確、靈活的分配管理。當(dāng)用戶訪問云中的資源時(shí),系統(tǒng)首先為用戶分配適當(dāng)?shù)慕巧缓蟀凑詹呗詻Q策點(diǎn)做出的決策給用戶分配適當(dāng)?shù)脑L問權(quán)限。同時(shí),通過對用戶和應(yīng)用系統(tǒng)的分組管理,快速將用戶賬戶與應(yīng)用訪問權(quán)限批量建立關(guān)聯(lián),減輕工作負(fù)擔(dān),提高大批量用戶授權(quán)時(shí)的工作效率。
3、結(jié)語
企業(yè)私有云下的身份與管理解決方案為用戶解決了云中身份管理繁瑣性和不安全性的問題,用戶借助該方案可以實(shí)現(xiàn)靈活、安全、快捷的云中身份的管理和訪問控制。方案有效地改善了原有私有云平臺(tái)中用戶身份認(rèn)證過程的不足,通過開放式體系架構(gòu)、完整生命周期管理和單點(diǎn)登錄等技術(shù),不僅提高了用戶的訪問效率, 同時(shí)提高了IAM在私有云中的通用性, 使得用戶身份認(rèn)證更加準(zhǔn)確、方便。私有云中的用戶身份識別是身份識別與云平臺(tái)的結(jié)合,新興的安全技術(shù)仍需要持續(xù)的探索。
京公網(wǎng)安備 11010502049343號