雲計算安全與隱私：身份及訪問管理

本文節選自《雲安全與隱私》一書的第五章。 本章介紹身份及訪問管理(IAM )實踐的當前狀況，還將介紹有助於對於使用者訪問雲計算服務而進行認證、授權和審計的身份及訪問管理支援特性。

信任邊界以及身份及訪問管理

在典型的機構中，應用程式部署在機構的範圍之內，「信任邊界」處於IT 部門的監測控制之下，幾乎是靜態的。 在傳統模式下，信任邊界包括網路、系統和位於私有資料中心並由IT 部門(有時是在IT 監管下的協力廠商供應商)管理的應用程式。 通過虛擬私人網路絡(VPN )、入侵偵測系統(IDS )、入侵防禦系統(IPS )以及多因素身份認證等網路安全控制手段，對網路、系統和應用程式進行安全訪問。

採用雲計算服務以後，機構的信任邊界將變成動態的，並且遷移到IT 控制範圍之外。 在雲計算中，機構的網路、系統和應用程式的邊界將延伸到服務提供者的範圍內(對於大多數從事電子商務、HTTP://www.aliyun.com/zixun/aggregation/14310.html">供應鏈管理、 外包和與合作夥伴及社團協作的大公司來說這早已是事實)。 這種控制權的丟失，對已有的信任管理和控制模式(包括對於員工和承包商的可信來源)形成了很大的挑戰，並且若沒有得到妥善管理，將對機構採用雲計算服務造成阻礙。

為了彌補網路控制的丟失以及加強風險保障，機構將不得不採用更高級別的軟體控制，例如應用程式安全和使用者存取控制。 這些控制表現為強認證、基於角色或聲明的授權、準確屬性的可靠來源、身份聯合、單點登錄(SSO )、使用者行為監測以及審計。 特別地，機構需要注意身份聯合架構和流程，因為這可以加強機構和雲計算服務提供者(CSP )之間的控制和信任。

身份聯合是個為處理多態、動態、鬆散耦合的信任關係而興起的行業最佳實踐，而信任關係則是機構外部和內部供應鏈及協作模式的特徵。 身份聯合也使被機構信任邊界分隔的系統及應用程式能夠實現交互，例如一個銷售人員從商業網路中與Salesforce.com 進行交互。 由於結合了良好的身份及訪問管理實踐，身份聯合可以通過集中存取控制服務使用授權、網路單點登錄以及版權管理的方式實現強認證，身份聯合對於加速機構採用雲計算會發揮核心作用。

在一些情況下，機構內的IAM 實踐可能因為缺乏集中的管理及身份資訊架構而受到影響。 身份存儲往往是通過多個管理員手動輸入的，並且使用者開通過程也沒有很好的規範。 這樣做不僅效率低下，同時也會將現有的不良做法沿襲到雲計算服務中。 在這樣的情況下，弱訪問模式將使雲計算中未授權使用者的許可權過度氾濫。

IAM 是一條雙行道。 雲計算服務提供者需要支援IAM 標準(例如SAML )和實踐，例如為使用者利用身份聯合擴大其實踐以保持符合內部政策和標準。 支援IAM 功能的雲計算服務，例如身份聯合，會加速傳統IT 應用程式從可信公司網路到可信雲計算服務模式的遷移。 對於使用者而言，良好實施的使用者IAM 實踐和流程將有助於保護存儲于雲計算中資訊的保密性、完整性以及管理合規性。 支援IAM 標準的雲計算服務如SAML ，可以加速新的雲計算服務的採用，並推動IT 應用程式從可信公司網路到可信雲計算服務模式的遷移。

(責任編輯：劉芬)