雲計算平臺興起 如何甄別合法使用者和駭客

針對眾多在傳統防火牆之外的工作人員和客戶，公司正在重新考慮他們使用網路的許可權和安全問題。 在大多數情況下，我們仍需要防火牆的保護。 但隨著企業的IT應用程式越來越多，通過防火牆設置的合法訪問已經超出了其本身的設定數量，並且防火牆的很多漏洞也給企業管理員帶來了不少的麻煩。 此外，軟體即服務(SaaS)也已經逐漸興起，許多企業都選擇使用了SaaS，其應用程式本身也是設定在防火牆之外的。

當今，駭客活動往往聚焦于企業的IT基礎設施，他們通常會把自己偽裝成合法使用者，所以，如何在合法使用者中甄別出駭客已成為當務之急。

不但要支援內部以及遠端使用者的訪問，還需將駭客和網路犯罪拒之門外;所以邊界的授權訪問遠遠超越了傳統防火牆使用者設備的接入訪問。 因此身份認證的相關概念就顯得尤為重要了。

單點登錄(SSO)技術雖不是一個新技術，但在許多地方都大顯奇能。

例如CA、Oracle和IBM這類傳統廠商的身份和訪問管理產品中SSO系統已存在多年。 這些產品的主要用途一直是為使用者記錄以及節省多個使用者名和密碼。 大量帳戶和密碼的使用會讓人被迫將其寫下來，這將是個潛在的安全隱患。

由於IT設備的日新月異以及競爭對手的增多，這些廠商所設計的SSO系統已經可以用於遠端使用者的私人設備，而且為了迎合SaaS的應用趨勢，SSO系統也與其相相容，為廣大使用者帶來了便利。

將合法使用者與資源相關聯

此系統的目標是建立一個安全身份認證體系，其邊界為指定的商業IT活動。 將合法使用者以及他們所需的資源掛鉤，而SSO系統的作用則是身份橋接。

然而，這些系統還可以做更多的事情。 在某些情況下，這些額外的功能除了能夠驗證身份還可以獲取更多關於訪問應用程式和資料來源的相關資訊——特別是那些與客戶有關的資訊。 事實上，有了SSO系統不需要知道使用者的身份，其價值則體現在第一次登陸時的安全驗證。

我們可以來想像一下，一個好奇的遊客正在流覽某個旅行社的網站。 他們可能只是想在這個網站上得到一些關於航班、汽車租憑和酒店報價等相關資訊，然後再考慮其旅行計畫。 SSO系統能夠提供這些綜合性訪問所需要的資源，並獲得相關報價，當潛在的客戶決定預訂東西的時候還可以添加更多的細節。

當然，想要執行該階段的操作需要建立一個可信的身份。 此時消費者需要在此系統中進行身份驗證並取個使用者名，但這種身份需要與真實的電子郵件地址相關聯並且需要一個有效的付款條件。

開放更多的資源

在這一點上，SSO系統結合其它服務開始建立新客戶的身份認證並對其提高了服務品質。 一旦通過了安全認證，此身份可以打開更多的資源——例如在訂票系統中查看客戶的交易記錄等。

對於其它交易，特別是企業與企業之間的電子商務，這種商業模式依賴于收購現有系統的身份資訊。 對於特定企業的員工身份認證資訊一般來自于內部的某些目錄，例如最常用的微軟活動目錄。

然而，當談到開放應用程式夥伴和其他外部企業用戶時，外部的身份資訊來源可能是最為有價值的，例如合作夥伴的內部目錄或是專業機構的會員資料庫等。

對於消費者和商業使用者，在某些情況下像Facebook 和LinkedIn的這類社交網站正在成為公認的身份資訊來源。

這一趨勢意味著SSO系統需要對越來越多的身份來源進行使用者驗證。 為了使這個過程盡可能的簡單，SSO系統本身的身份來源也需要進一步的規範。

身份驗證和訪問管理標準

為了支援這類需求，身份驗證和訪問管理也相應出臺了許多標準，包括輕量目錄訪問協定LDAP用於存儲身份資訊，SAML安全斷言標記語言用於傳輸使用者身份證明。 瞭解這些驗收標準，不管是對哪家供應商所提供的SSO系統，這些標準都是一個重要的參考。

由於訪問使用者的身份來源非常廣泛，SSO系統需要支援這些使用者連接到多個應用程式，使業務流程和與之相關的供應鏈更加一體化，從而提高其工作效率。

目前這種應用已經被廣泛使用，汽車轉銷商與製造商所相關聯的訂貨系統;律師與法官管理系統和執法機構的相關連結等都是非常好的案例。 SSO系統也可以自訂策略，給特定的使用者以及特定的資源為不同的角色制定範本，從而簡化了使用者的配置。

也許更重要的是，當與指定用戶端的合作關係終結時，需要及時取消他們從SSO系統對資源訪問的許可權，確保能夠切斷其行程。

SSO系統所帶來的好處遠遠超越了傳統防火牆的工作方式，針對IT應用程式來說則具備了更大的擴充性，使用者所訪問的資源也更加豐富。 但監控、授權和存取控制則是最為必要的手段。 SSO則可以有效實現這一目標。

(責任編輯：蒙遺善)