云計算與安全-云計算中的身份認證與訪問管理

云計算中的身份認證與訪問管理OUTLINE信任邊界以及身份及訪問管理身份與訪問管理（IAM）IAM體系架構(gòu)與實踐云計算服務的IAM相關標準和協(xié)議云計算中的IAM實踐云計算授權(quán)管理云計算服務提供商的IAM實踐信任邊界以及身份及訪問管理在典型的機構(gòu)中，應用程序部署在機構(gòu)的范圍之內(nèi)，“信任邊界”處于IT部門的檢測控制之下，幾乎是靜態(tài)的。采用云計算服務之后，機構(gòu)的信任邊界將變成動態(tài)的，并且遷移到IT控制范圍之外。這種控制權(quán)的丟失，對已有的信任管理和控制模式（包括對于員工和承包商的可信來源）形成了巨大挑戰(zhàn)。應對措施——采用更高級別的軟件控制：強認證基于角色或生命的授權(quán)準確屬性的可靠來源身份聯(lián)合單點登錄（SSO）用戶行為監(jiān)測以及審計身份聯(lián)合是個為處理多態(tài)、動態(tài)、松散耦合的信任關系而興起的行業(yè)最佳實踐，而信任關系則是機構(gòu)外部和內(nèi)部供應鏈及協(xié)作模式的特征。身份聯(lián)合使被機構(gòu)信任邊界分割的系統(tǒng)及應用程序能夠?qū)崿F(xiàn)交互。身份與訪問管理

（IAM，IdentityAndAccessManagement）為什么要用IAMIAM的挑戰(zhàn)IAM的定義為什么要用IAM？提高運營效率合規(guī)性管理實現(xiàn)新的IT交付和部署模式機構(gòu)的員工及相關承包商使用身份聯(lián)合來訪問SaaS服務IT管理員訪問云計算服務提供商控制器，為使用企業(yè)身份的用戶提供資源和訪問能力開發(fā)人員在PaaS平臺為其合作伙伴用戶創(chuàng)建賬戶終端用戶使用訪問策略管理功能在域內(nèi)及域外訪問云計算中的存儲服務云計算服務提供商內(nèi)的應用程序通過其他云計算服務訪問存儲需要IAM支持的云計算用例IAM面臨的挑戰(zhàn)一個關鍵挑戰(zhàn)：對訪問內(nèi)部及外部服務的不同用戶群的訪問管理。（用戶的角色和職責經(jīng)常會因為業(yè)務因素而變化；機構(gòu)內(nèi)的人員流動）機構(gòu)使用的訪問策略不一致，導致用戶和訪問管理過程效率低下，也在安全、合規(guī)性、聲譽等方面給機構(gòu)帶來極大風險。從業(yè)務和IT驅(qū)動兩方面處理IAM策略和架構(gòu)，在保持控制的有效性的同時，解決效率低下的核心問題。IAM的定義認證

認證是核實用戶或系統(tǒng)身份的過程；

認證通常以為著更為可靠的識別形式。授權(quán)

授權(quán)是確定用戶或系統(tǒng)身份并授予權(quán)限的過程；

在數(shù)字服務方面，授權(quán)是認證的下一步驟；

授權(quán)被用來確定用戶或服務是否具有執(zhí)行某項操作所需的權(quán)限；

授權(quán)是策略的執(zhí)行過程。審計

審計是指查看和檢查有關認證、授權(quán)的記錄和活動，以確定IAM系統(tǒng)控制的完備性、核實與已

有安全策略及過程的符合性、檢測安全服務中的違規(guī)事件，并給出相應的對策和整改建議。IAM體系架構(gòu)與實踐IAM并不是一個可以輕易部署并立即產(chǎn)生效果的整體解決方案，而是一個由各種技術(shù)組件、過程和標準實踐組成的體系結(jié)構(gòu)。標準的企業(yè)級IAM體系架構(gòu)包含技術(shù)、服務和過程等幾個層面，其部署體系架構(gòu)的核心是目錄服務，目錄服務是機構(gòu)用戶群的身份、證書和用戶屬性的信息庫。支持業(yè)務的IAM過程分類（一）用戶管理

為了有效治理和管理身份生命周期而進行的活動。認證管理

為了有效治理和管理實體的確定及實體聲明內(nèi)容的過程而進行的活動。授權(quán)管理

為了有效治理和管理根據(jù)機構(gòu)策略實體可訪問資源權(quán)利的過程而進行的活動。支持業(yè)務的IAM過程分類（二）訪問管理

響應實體請求訪問機構(gòu)內(nèi)IT資源的訪問控制策略的執(zhí)行。數(shù)據(jù)管理和供應

通過自動化或手動過程對IT資源授權(quán)的身份及數(shù)據(jù)的傳輸。監(jiān)控和審計

基于已定義的策略在機構(gòu)內(nèi)對用戶訪問資源合規(guī)的監(jiān)控、審計及報告。IAM支持的業(yè)務活動業(yè)務開通證書及屬性管理權(quán)限管理合規(guī)管理身份聯(lián)合管理集中化的認證和授權(quán)企業(yè)身份及訪問管理的功能體系架構(gòu)云計算服務的IAM相關標準和協(xié)議機構(gòu)的IAM標準與規(guī)范身份及訪問管理對用戶的標準、協(xié)議和規(guī)范企業(yè)和用戶認證標準及協(xié)議的對比機構(gòu)的IAM標準與規(guī)范安全斷言標記語言（SAML）

避免復制身份、屬性和證書，并為用戶提供單點登錄的用戶體驗。服務供應標記語言（SPML）

為用戶賬戶自動化提供云計算服務以及自動化用戶開通及移除的流程?？蓴U展訪問控制標記語言（XACML）

為用戶賬戶提供合適的權(quán)限，并為用戶管理權(quán)限權(quán)利。開放式身份認證（OAuth）

授權(quán)云計算服務X進而在不披露證書的情況下，訪問云計算服務Y中的數(shù)據(jù)。安全斷言標記語言（SAML）SAML是最成熟詳細且被廣泛采用的云計算用戶基于瀏覽器的身份聯(lián)合單點登錄規(guī)范族。當用戶通過了身份服務的認證后，就可以自由訪問在信任域內(nèi)提供的云計算服務，從而規(guī)避云計算專用的單點登錄程序。通過實施強認證技術(shù)例如雙因子認證，用戶不那么容易遭受在互聯(lián)網(wǎng)上穩(wěn)步增長的釣魚攻擊。云計算服務的強認證對于保護用戶證書不受中間人攻擊也是可取的。通過支持委派認證模式的SAML標準，云計算服務提供商可以對用戶機構(gòu)委派認證策略。安全斷言標記語言（SAML）1.機構(gòu)的用戶試圖訪問在Google上的應用程序，例如Gmail、StartPages或其他Google服務。2.Google生成一個SAML認證請求。SAML請求是編碼并內(nèi)嵌到URL(統(tǒng)一資源定位符)中的，機構(gòu)的IdP支持單點登錄服務。包含用戶試圖訪問的Google應用程序編碼URL的中繼狀態(tài)參數(shù)也同樣內(nèi)嵌在單點登錄URL中。這個中繼狀態(tài)參數(shù)的意思是一個不透明的標識符，傳回時無須修改和檢查。3.Google發(fā)送到用戶瀏覽器一個重定向URL。重定向URL包括編碼的SAML認證請求，這個請求應當提交給機構(gòu)的IdP服務。4.IdP對SAML請求編碼，并為Google聲明使用者服務(ACS)和用戶目標URL(中繼狀態(tài)參數(shù))提取URL。接下來IdP認證用戶。IdP可以通過詢問有效的登錄證書或者檢查有效會話cookie來認證用戶。使用SAML的單點登錄處理步驟安全斷言標記語言（SAML）5.IdP生成SAML答復，包含著認證用戶的用戶名。按照SAML2.0規(guī)范，這個答復是使用合作伙伴公共和私有DSA/RSA密鑰，采用了數(shù)字簽名。6.IdP編碼SAML答復以及中繼狀態(tài)參數(shù)，并返回這個信息到用戶瀏覽器。IdP提供一個機制，是瀏覽器將這個信息提交Google聲明使用者服務。例如，IdP可以內(nèi)嵌SAML答復以及目標URL并生成表格，然后提供一個按鈕，用戶點擊后將該表格提交給Google。IdP也可以在頁面上包含JavaScript，自動把表格提交給Google。7.Google聲明使用者服務使用IdP公鑰驗證SAML答復。如果成功驗證答復，聲明使用者服務將重定向用戶到目標URL。8.用戶重定向到目標URL，并登錄GoogleApps。使用SAML的單點登錄處理步驟服務供應標記語言(SPML)PML是基于XML框架，由結(jié)構(gòu)化信息標準推動組織開發(fā)，用來在合作組織間交換用戶、資源和服務供應信息。SPML是新興的標準，可以幫助機構(gòu)為云計算服務自動化用戶身份的開通(例如，運行在客戶網(wǎng)站的應用程序或服務向S提出請求，請求創(chuàng)建新賬戶)。當可以采用SPML時，機構(gòu)應當用它來開通云計算服務中用戶賬戶和配置文件。如果支持SPML，軟件即服務(SaaS)提供商便可以做到“即時開通”，為新用戶實時創(chuàng)建賬戶(相對于預注冊用戶)。在這種模式下，云計算服務提供商從SPML的標記中提取新用戶的屬性，迅速創(chuàng)建SPML信息，并把需求傳遞給用戶開通服務，以在云計算用戶數(shù)據(jù)庫中增加用戶身份。服務供應標記語言(SPML)人力資源系統(tǒng)使用SPML請求向云計算中的用戶開通系統(tǒng)提出請求。人力資源系統(tǒng)記錄(請求當局)是一個SPMLWeb服務客戶端，在云計算服務提供商處與SPML用戶開通服務的供應商相互作用，后者負責在云計算服務中提供用戶開通服務(用戶開通服務目標)SPML用例可擴展訪問控制標記語言(XACML)XACML是一個由結(jié)構(gòu)化信息標準推動組織批準的，通用的基于XML的對于策略管理和訪問決斷的訪問控制語言。它為通用策略語言提供一個XML模式，用來保護任何類型的資源和在這些資源上制定訪問決策。XACML標準不僅僅為策略語言提供模式，還提出了一個用來管理策略和訪問判斷的處理環(huán)境模式。XACML中還規(guī)定了應用程序環(huán)境能用來與決策點交流的請求/答復協(xié)議。訪問請求的答復也使用XML進行了規(guī)定?？蓴U展訪問控制標記語言(XACML)關于XACML用例的具體步驟：1.衛(wèi)生保健應用程序管理各種訪問各種病例要素的醫(yī)院同事(醫(yī)師、注冊護士、護士助手和衛(wèi)生保健主管)。這個應用程序依賴于政策執(zhí)行點(PEP)，并把請求交給政策執(zhí)行點。2.政策執(zhí)行點實際上是應用程序環(huán)境的接口。它接受訪問請求，并在決策點(PDP)的幫助下評估這些請求，然后允許或者拒絕對資源(衛(wèi)生保健記錄)的訪問。3.政策執(zhí)行點把請求送到?jīng)Q策點。決策點是訪問請求的主要決定點，決策點從可用的信息資源收集所有必需信息，并決定給予什么樣訪問。決策點應當位于可信網(wǎng)絡并使用強訪問控制策略，例如在用企業(yè)防火墻保護的企業(yè)可信網(wǎng)絡。4.在評估之后，決策點把XACML答復送到政策執(zhí)行點處。5.政策執(zhí)行點履行其責任，執(zhí)行決策點的授權(quán)決定。XACML用例開放式身份認證(OAuth)OAuth是新興的認證標準，允許用戶與另一個云計算服務提供商共享其存儲在其他云計算服務提供商的私有資源(例如照片、視頻、聯(lián)系人名單和銀行賬戶)，而不用出示認證信息(例如用戶名和密碼)。OAuth是個開放式協(xié)議，其建立的目標是通過安全應用程序編程接口(API)實現(xiàn)授權(quán)，為臺式機、移動及網(wǎng)絡應用程序提供一個簡單和標準的方法。對于應用程序開發(fā)者，OAuth是用來發(fā)布和交互受保護數(shù)據(jù)的方法。對于云計算服務提供商，OAuth提供了為用戶訪問他們在其他提供商上的數(shù)據(jù)的方法，同時保護他們的賬戶證書。開放式身份認證(OAuth)1.用戶網(wǎng)絡應用程序聯(lián)絡Google授權(quán)服務，要求對一個或多個Google服務的請求令牌。2.Google對內(nèi)容進行驗證，確保網(wǎng)絡應用程序已注冊，并以一個未授權(quán)請求令牌進行回復3.網(wǎng)絡應用程序引用請求令牌，重定向終端用戶到Google授權(quán)頁面。4.在Google授權(quán)頁面上，用戶被提示要求登錄用戶賬戶(為了驗證)，然后授予或者拒絕網(wǎng)絡應用程序?qū)ζ銰oogle服務數(shù)據(jù)的有限訪問。5.用戶決定是否授予或拒絕網(wǎng)絡應用程序的訪問。如果用戶拒絕訪問，用戶將被重定向到Google頁面而不是返回網(wǎng)絡應用程序。OAuth用例開放式身份認證(OAuth)6.如果用戶授予訪問，認證服務將重定向用戶到通過Google注冊的網(wǎng)絡應用程序指定頁面。重定向包括已授權(quán)的請求令牌。7.網(wǎng)絡應用程序傳送請求到Google授權(quán)服務，更換授權(quán)請求令牌為訪問令牌。8.Google驗證請求并返回有效的訪問令牌。9.網(wǎng)絡應用程序傳遞請求到正在討論的Google服務。簽署請求，請求包含訪問令牌。10.如果Google服務識別令牌，將會提供被請求的數(shù)據(jù)。OAuth用例身份及訪問管理對用戶的標準、協(xié)議和規(guī)范開放式認證系統(tǒng)(OpenID)OpenID是對用戶認證和訪問控制的開放的分散標準，允許用戶使用相同的數(shù)字身份登錄許多服務OpenID主要針對由互聯(lián)網(wǎng)公司提供的用戶服務由于信任問題，采用OpenID作為企業(yè)用途(例如非用戶用途)幾乎是不存在的信息卡(Informationcard)為用戶提供一個安全、一致、可抵御釣魚攻擊的用戶接口，而并不需要用戶名和密碼。開放式身份認證(OATH)基于用戶識別模塊(SIM)的認證(使用全球移動通信系統(tǒng)GSM/通用無線分組業(yè)務GPRS用戶識別模塊)?；诠€基礎設施(PKI)的認證(使用X.509v3證書)。基于一次性密碼(OTP)的認證。開放式身份認證應用程序接口(OpenAuth)企業(yè)和用戶認證標準及協(xié)議的對比身份及訪問管理標準和協(xié)議提供商企業(yè)云計算用戶的需求云計算服務提供商的需求SAML身份管理軟件提供商例如Sun、Oracle、CA、IBM以及Novell，身份管理服務提供商例如MicrosoftAzure、Symplified、TriCipher以及PingIdentity支持強認證和網(wǎng)站單點登錄，避免復制身份，只分享選定的屬性以保護用戶隱私使用戶能夠委派認證并選擇認證方法（例如，使用企業(yè)身份的雙因素認證），這樣有利于云計算服務的使用XACML由Sun、CA、IBM、JerichoSystems、Oracle、RedHat以及Securent（思科）支持一種標準方式用以跨越多樣化云計算服務表達授權(quán)策略，以及通過應用程序表達授權(quán)和執(zhí)行支持由企業(yè)級應用和管理員需求的體現(xiàn)復雜策略的授權(quán)OAuth通過服務提供商的應用程序接口支持，提供商包括Google、Twitter、Facebook和Plaxo與一個云計算服務提供商存儲的保護數(shù)據(jù)的交互和發(fā)布，并可由另一個云計算服務提供商通過使用標準應用程序接口訪問而不會披露證書使用戶可以訪問其位于另一個服務提供商處的數(shù)據(jù)，而同時保護用戶的賬戶及證書信息OpenID由許多服務提供商支持，提供商包括Google、IBM、Microsoft、Yahoo!、Orange、PayPal、VeriSign、Yandex、AOL和USTREAM由于信任問題未被采用對于用戶參加的身份聯(lián)合服務支持單點登錄OATH由許多認證硬件和軟件提供商支持，包括VeriSign、SanDisk、Gemalto和Entrust不相關不相關OpenAuth僅由美國在線支持，用戶可以訪問美國在線的合作伙伴服務不相關支持美國在線用戶通過使用美國在線或美國在線即時消息用戶身份訪問美國在線合作伙伴的應用程序云計算中的IAM實踐身份及訪問管理方面的SPI成熟度模式對比層次軟件即服務平臺即服務基礎設施即服務用戶管理、新用戶有能力的不成熟的認知階段用戶管理、用戶修改有能力的不成熟的不成熟的認證管理有能力的認知階段有能力的授權(quán)管理認知階段不成熟的不成熟的IAM自動化流程的組成部分用戶管理、新用戶用戶管理、用戶修改認證管理授權(quán)管理云計算身份管理著重于云計算中用戶身份的生命周期管理。生命管理周期包括，用戶開通、移除、身份聯(lián)合、單點登錄、密碼或證書管理、配制文件管理、行政管理。通過使用身份聯(lián)合、內(nèi)部的面向互聯(lián)網(wǎng)的身份提供商，或者云計算身份管理服務提供商及機構(gòu)，可以避免復制身份和屬性以及存儲這些信息到云計算服務提供商。身份聯(lián)合（單點登錄）為用戶實施支持單點登錄的身份聯(lián)合的機構(gòu)的方式：在企業(yè)邊緣之內(nèi)實施企業(yè)身份提供商集成可信的基于云計算的身份管理服務提供商身份聯(lián)合（單點登錄）——企業(yè)身份提供商云計算服務把認證委派給機構(gòu)身份提供商機構(gòu)在云計算服務提供商