信息化時(shí)代，企業(yè)分布式管理模式的廣泛應(yīng)用使當(dāng)今的IT系統(tǒng)管理變得復(fù)雜，企業(yè)必須提供一個(gè)全方位的資源審視以確保企業(yè)資源的有效訪問(wèn)和管理。而云計(jì)算的不斷發(fā)展使得眾企業(yè)將服務(wù)遷往云中以獲得更高的利益?。企業(yè)遷入云中后，信息資源放在云端，其安全性又受到了新的威脅。為了提高云中各系統(tǒng)資源的安全性，企業(yè)必須提供更高層次的保密性以實(shí)現(xiàn)對(duì)云中資源的安全訪問(wèn)和管理。構(gòu)建云環(huán)境下安全有效的資源訪問(wèn)以實(shí)現(xiàn)業(yè)務(wù)邏輯的增值已成為眾多企業(yè)的最新選擇 。

　　身份與訪問(wèn)安全集中管理系統(tǒng)(Identity and Access Management，IAM)是一套全面的建立和維護(hù)數(shù)字身份，并提供有效、安全的IT資源的業(yè)務(wù)流程和管理手段，從根本上實(shí)現(xiàn)了組織信息資產(chǎn)統(tǒng)一的身份認(rèn)證、授權(quán)和身份數(shù)據(jù)集中管理與審計(jì)。企業(yè)引入IAM后能夠簡(jiǎn)化企業(yè)用戶管理，提高網(wǎng)絡(luò)資源的訪問(wèn)安全，降低應(yīng)用成本，給企業(yè)帶來(lái)利潤(rùn)。文中提出一種全面的針對(duì)企業(yè)私有云的身份與管理解決方案。該方案是從綜合治理角度出發(fā)建立的一套集成化、一站式的身份與訪問(wèn)安全管理解決方案，幫助企業(yè)有效解決在身份生命周期管理、統(tǒng)一身份認(rèn)證、企業(yè)IT系統(tǒng)集成及單點(diǎn)登錄、授權(quán)與訪問(wèn)控制管理等方面存在的問(wèn)題。

　　1、云中的身份認(rèn)證與訪問(wèn)管理

　　企業(yè)遷入云中給企業(yè)帶來(lái)巨大利益的同時(shí)也帶來(lái)了諸多的安全風(fēng)險(xiǎn)。一方面，傳統(tǒng)的IAM方案中用戶的身份存儲(chǔ)通過(guò)多個(gè)管理員手動(dòng)輸入實(shí)現(xiàn)，開(kāi)通過(guò)程缺乏標(biāo)準(zhǔn)的規(guī)范指導(dǎo)，使得訪問(wèn)效率低下；對(duì)內(nèi)部及外部服務(wù)的不同員工用戶群的訪問(wèn)管理則采用不同目錄、不同管理用戶身份和訪問(wèn)權(quán)限的Web頁(yè)面，在企業(yè)的安全性、合規(guī)性等方面給企業(yè)帶來(lái)了極大風(fēng)險(xiǎn) 。另一方面，云計(jì)算的迅速發(fā)展使得眾多企業(yè)選擇建立自己的私有云服務(wù)，而IAM向云的遷移又給企業(yè)帶來(lái)了新的挑戰(zhàn) 。傳統(tǒng)的企業(yè)機(jī)構(gòu)中，應(yīng)用程序部署在機(jī)構(gòu)的范圍內(nèi)， “信任邊界” 處于IT部門(mén)的檢測(cè)控制之下，是靜態(tài)的。而當(dāng)采用云服務(wù)后，機(jī)構(gòu)的信任邊界變成了動(dòng)態(tài)的，并且遷移到IT控制范圍之外。控制權(quán)的丟失給傳統(tǒng)的信任管理和控制模式帶來(lái)了巨大的挑戰(zhàn)。下面介紹云中IAM需要解決的問(wèn)題。

　　1.1身份管理

　　對(duì)企業(yè)采納云計(jì)算服務(wù)機(jī)構(gòu)的主要挑戰(zhàn)之一是在云端安全和及時(shí)地管理報(bào)到(即創(chuàng)建和更新賬戶)和離職(即刪除用戶賬戶)的用戶。企業(yè)私有云中的用戶是動(dòng)態(tài)變化的，用戶的角色和職責(zé)經(jīng)常會(huì)因?yàn)闃I(yè)務(wù)因素而變化，同時(shí)，各組織機(jī)構(gòu)內(nèi)還存在用戶流動(dòng)的問(wèn)題。針對(duì)用戶的移動(dòng)性，各組織機(jī)構(gòu)應(yīng)加強(qiáng)和改進(jìn)對(duì)訪問(wèn)內(nèi)部及外部服務(wù)的不同用戶群的訪問(wèn)管理。

　　傳統(tǒng)云中，不同系統(tǒng)間的信息交換采用手動(dòng)方式將數(shù)據(jù)同步到云中的各應(yīng)用系統(tǒng)中。當(dāng)用戶發(fā)生變動(dòng)時(shí)，手動(dòng)方式的更新在造成效率降低的同時(shí)也給云中不同系統(tǒng)間信息的安全性造成了威脅 ，一些惡意內(nèi)部人員對(duì)用戶機(jī)密信息的丟失和泄露將使企業(yè)遭受重大的損失。

　　1.2 隱私保護(hù)及認(rèn)證

　　云中資源的開(kāi)放性使用戶對(duì)資源的使用更加便利，但同時(shí)也為一些居心叵測(cè)者提供了更多的漏洞。用戶信息放在云端，并被過(guò)度采集造成信息的泄露危險(xiǎn)。為保障用戶信息的安全性，最主要的是對(duì)用戶訪問(wèn)者的身份進(jìn)行管理、認(rèn)證，然后進(jìn)行適當(dāng)?shù)氖跈?quán)，讓他只能夠接觸到他這個(gè)授權(quán)水平所能夠接觸到的數(shù)據(jù)。

　　身份認(rèn)證是信息系統(tǒng)對(duì)訪問(wèn)者身份合法性的檢查，云中各系統(tǒng)擁有獨(dú)立的身份認(rèn)證方式或模型，認(rèn)證強(qiáng)度和標(biāo)準(zhǔn)不統(tǒng)一，管理、運(yùn)維和用戶成本隨系統(tǒng)規(guī)模的增加而增加。當(dāng)企業(yè)遷入云中開(kāi)始利用云端服務(wù)時(shí)，以可信賴及易于管理的方式來(lái)認(rèn)證用戶是一個(gè)至關(guān)重要的要求。

　　目前現(xiàn)有的IAM方案多數(shù)不支持國(guó)產(chǎn)商密算法并且具有安全漏洞，面向的用戶范圍狹窄，其在技術(shù)實(shí)現(xiàn)上缺乏擴(kuò)展性的考慮，與采用各種技術(shù)的云平臺(tái)進(jìn)行銜接的難度較大，無(wú)法保障云入口的安全管理。

　　1.3 單點(diǎn)登錄

　　用戶訪問(wèn)云中的系統(tǒng)資源時(shí)需要重復(fù)登錄系統(tǒng)進(jìn)行身份認(rèn)證，給用戶帶來(lái)繁瑣的同時(shí)也降低了資源的訪問(wèn)效率。單點(diǎn)登錄技術(shù)實(shí)現(xiàn)了一次登錄而安全訪問(wèn)云中的所有系統(tǒng)資源，提高了云中資源訪問(wèn)的便捷性和靈活性。但傳統(tǒng)單點(diǎn)登錄技術(shù)缺乏一個(gè)突出的標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn)身份信息的交換，用來(lái)保證信息交換過(guò)程的安全性和有效性。

　　1.4 訪問(wèn)控制

　　為保障云中資源的安全性，防止惡意人員非法訪問(wèn)資源造成的信息泄露，云中用戶進(jìn)行身份認(rèn)證后，需要按用戶身份及其所歸屬的某預(yù)定義組來(lái)限制其對(duì)某些信息項(xiàng)或控制功能的使用。私有云環(huán)境中，各個(gè)應(yīng)用系統(tǒng)屬于不同的安全管理域，它們各自管理著本地的資源和用戶，跨系統(tǒng)間的實(shí)現(xiàn)就需要制定云中全局的訪問(wèn)控制策略。訪問(wèn)控制是信息安全保障機(jī)制的核心內(nèi)容，可以用來(lái)保證數(shù)據(jù)的保密性和完整性 。它用來(lái)限制主體對(duì)客體的訪問(wèn)權(quán)限，指定用戶可以訪問(wèn)哪些資源并對(duì)這些資源做哪些操作。傳統(tǒng)的訪問(wèn)控制模型不能適應(yīng)云環(huán)境下資源的動(dòng)態(tài)訪問(wèn)控制要求。

　　2、私有云中身份與管理解決方案

　　解決方案通過(guò)對(duì)云中資源的安全訪問(wèn)進(jìn)行研究后提出了一種專門(mén)針對(duì)私有云中的身份認(rèn)證與訪問(wèn)控制解決方案。方案使用多種技術(shù)和標(biāo)準(zhǔn)協(xié)議實(shí)現(xiàn)了對(duì)云中用戶的身份管理和訪問(wèn)控制。通過(guò)在企業(yè)的入口處部署身份認(rèn)證應(yīng)用服務(wù)器就可實(shí)現(xiàn)對(duì)組織信息資產(chǎn)的統(tǒng)一身份認(rèn)證、授權(quán)、身份數(shù)據(jù)集中管理。

　　方案采用面向云安全的開(kāi)放式體系架構(gòu)，可與多種企業(yè)應(yīng)用、云應(yīng)用、云支撐系統(tǒng)等結(jié)合。實(shí)現(xiàn)橫向切割，各組件間保持松耦合，根據(jù)用戶需求進(jìn)行靈活裁剪；支持面向服務(wù)的體系結(jié)構(gòu)(Service—oriented Architecture，SOA)接口、通用公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure，PKI)接口、安全斷言標(biāo)記語(yǔ)言(Security Assertion Markup Language，SAML)和服務(wù)配置標(biāo)記語(yǔ)言(Service Provisioning Markup Language，SPML)與云系統(tǒng)無(wú)縫銜接；支持多連接器，可與各大應(yīng)用系統(tǒng)快速集成。方案的架構(gòu)如圖1所示。該方案從云中身份認(rèn)證與訪問(wèn)管理需要解決的問(wèn)題出發(fā)，分別使用不同的技術(shù)手段解決相應(yīng)的問(wèn)題，實(shí)現(xiàn)了對(duì)用戶的身份管理、隱私保護(hù)、單點(diǎn)登錄以及訪問(wèn)控制，滿足了云中資源的安全訪問(wèn)和管理需求。
 

　　2.1提供完整的生命周期管理

　　解決方案借助數(shù)據(jù)同步服務(wù)和豐富的連接器組件實(shí)現(xiàn)用戶賬戶的快速管理。采用集中化的身份管理和權(quán)限實(shí)施，用戶的訪問(wèn)權(quán)限實(shí)時(shí)進(jìn)行更新，使得用戶只能接收必要的權(quán)限來(lái)訪問(wèn)資源，保證新用戶可以在人職的第一天快速進(jìn)入工作狀態(tài)；而當(dāng)其離開(kāi)公司后立即撤銷或完全刪除其身份以及所有節(jié)點(diǎn)的訪問(wèn)權(quán)限，使得私有云下的安全得到了另一層面的滿足。

　　采用基于SPML 1.0技術(shù)標(biāo)準(zhǔn)的數(shù)據(jù)自動(dòng)同步技術(shù)，云中的第三方應(yīng)用系統(tǒng)可以使用SPML 1.0標(biāo)準(zhǔn)協(xié)議與數(shù)據(jù)同步服務(wù)同步進(jìn)行信息交換。SPML是企業(yè)之間交換用戶、資源和服務(wù)配置信息的基于可擴(kuò)展標(biāo)記語(yǔ)言(Extensible Markup Language，XML)的框架，也是用于服務(wù)配置請(qǐng)求集成和互操作性的開(kāi)放的、標(biāo)準(zhǔn)的協(xié)議。數(shù)據(jù)自動(dòng)同步技術(shù)可以設(shè)置同步策略，將用戶身份的變化信息采集到系統(tǒng)內(nèi)，并根據(jù)策略更新至云中的其他系統(tǒng)或發(fā)布至指定的目錄服務(wù)器(Lightweight Directory Access Protocol，LDAP)、活動(dòng)目錄(Active Directory，AD)或數(shù)據(jù)庫(kù)，實(shí)現(xiàn)信息同步。數(shù)據(jù)自動(dòng)同步的實(shí)現(xiàn)原理如圖2所示。
 

　　采用自動(dòng)數(shù)據(jù)同步技術(shù)能夠一方面實(shí)現(xiàn)與應(yīng)用系統(tǒng)的交互，避免信息的二次錄入，提高云中服務(wù)資源的安全訪問(wèn)和管理效率；另一方面，用戶崗位調(diào)動(dòng)后，其訪問(wèn)權(quán)限能夠自動(dòng)實(shí)時(shí)更新，防止云中信息資源的泄露；最后，通過(guò)對(duì)冗余賬號(hào)的合并和統(tǒng)一管理，保持云中不同系統(tǒng)間信息資源的同步，實(shí)現(xiàn)了云中信息的一致性。

　　身份映射技術(shù)通過(guò)將用戶的身份與特定應(yīng)用系統(tǒng)中的應(yīng)用賬戶進(jìn)行關(guān)聯(lián)，實(shí)現(xiàn)業(yè)務(wù)流程的無(wú)縫銜接，增強(qiáng)了IAM在私有云中的通用性。

　　2.2 強(qiáng)大的管理認(rèn)證手段

　　解決方案從多角度實(shí)現(xiàn)對(duì)用戶的認(rèn)證管理，多種方式的并行使用確保認(rèn)證的準(zhǔn)確性和高效性，如下所述：

　　1)提供多樣化的身份鑒別方式。方案通過(guò)提供不同安全強(qiáng)度的身份鑒別手段，例如靜態(tài)密碼、數(shù)字證書(shū)、智能卡、手機(jī)短信等，滿足了私有云中不同強(qiáng)度的身份鑒別需求。

　　2)與PKI體系無(wú)縫銜接。方案配有專用證書(shū)認(rèn)證系統(tǒng)(CA，Certificate Authentication)連接器組件，可與PKI/CA體系無(wú)縫整合，實(shí)現(xiàn)用戶賬戶與數(shù)字證書(shū)的直接綁定，提高安全程度及易用度。

　　3)增強(qiáng)的密碼管理。可配置的密碼安全策略(包括密碼長(zhǎng)度、復(fù)雜度、有效期等)、應(yīng)用賬號(hào)密碼自動(dòng)清洗以及用戶自助密碼重置和找回，可幫助私有云中的系統(tǒng)升級(jí)到現(xiàn)有密碼安全級(jí)別，有效防止由于密碼過(guò)于簡(jiǎn)單帶來(lái)的安全風(fēng)險(xiǎn)。

　　2.3 多角色實(shí)現(xiàn)單點(diǎn)登錄

　　解決方案采用基于SAML2.0技術(shù)規(guī)范的多角色單點(diǎn)登錄機(jī)制 ，通過(guò)將系統(tǒng)參與者分為不同的角色，每個(gè)角色負(fù)責(zé)不同的職責(zé)來(lái)實(shí)現(xiàn)用戶身份信息的安全交換。用戶只需認(rèn)證一次即可訪問(wèn)云中的所有應(yīng)用系統(tǒng)，避免了用戶重復(fù)登錄系統(tǒng)的繁瑣。同時(shí)，單點(diǎn)登錄的交互過(guò)程中，登錄憑據(jù)采用安全套接層(Secure Socket Layer，SSL)建立安全通道的方式進(jìn)行傳輸，確保信息不會(huì)被泄露，增加了用戶身份隱私的安全性。

　　身份認(rèn)證、數(shù)字簽名采用支持SM2~M3國(guó)產(chǎn)算法的認(rèn)證技術(shù)；安全通信采用支持SM1 M2\SM3的SSL安全鏈路網(wǎng)關(guān)進(jìn)行通信，以確保信息的不可否認(rèn)性、完整性和機(jī)密性。為有效阻止用戶認(rèn)證過(guò)程中的防重放攻擊，認(rèn)證中心產(chǎn)生防重放攻擊隨機(jī)值，用于防止截取斷言的惡意用戶多次獲得訪問(wèn)目標(biāo)站點(diǎn)權(quán)限，從而造成站點(diǎn)資源的泄露或被破壞。方案實(shí)現(xiàn)的單點(diǎn)登錄過(guò)程如圖3所示。
 

　　2.4基于RBAC模型的訪問(wèn)控制

　　方案使用可擴(kuò)展的訪問(wèn)控制標(biāo)記語(yǔ)言(eXtensible Access Control Markup Language，XACML)協(xié)議結(jié)合基于角色的訪問(wèn)控制(Role Based Access Control，RBAC)的多策略模型實(shí)現(xiàn)私有云環(huán)境下資源的訪問(wèn)控制。XACML是一種基于XML的用于決定請(qǐng)求/響應(yīng)的通用訪問(wèn)控制開(kāi)放標(biāo)準(zhǔn)語(yǔ)言和執(zhí)行授權(quán)策略的框架 。協(xié)議支持參數(shù)化的策略描述，可對(duì)Web服務(wù)進(jìn)行有效的訪問(wèn)控制。RBAC將權(quán)限與角色關(guān)聯(lián)，用戶通過(guò)成為適當(dāng)角色的成員而得到這些角色的權(quán)限 。該復(fù)合模型遵循角色層次規(guī)則、最小權(quán)限規(guī)則以及約束規(guī)則，實(shí)現(xiàn)了角色的準(zhǔn)確、靈活的分配管理。當(dāng)用戶訪問(wèn)云中的資源時(shí)，系統(tǒng)首先為用戶分配適當(dāng)?shù)慕巧�，然后按照策略決策點(diǎn)做出的決策給用戶分配適當(dāng)?shù)脑L問(wèn)權(quán)限。同時(shí)，通過(guò)對(duì)用戶和應(yīng)用系統(tǒng)的分組管理，快速將用戶賬戶與應(yīng)用訪問(wèn)權(quán)限批量建立關(guān)聯(lián)，減輕工作負(fù)擔(dān)，提高大批量用戶授權(quán)時(shí)的工作效率。

　　3、結(jié)語(yǔ)

　　企業(yè)私有云下的身份與管理解決方案為用戶解決了云中身份管理繁瑣性和不安全性的問(wèn)題，用戶借助該方案可以實(shí)現(xiàn)靈活、安全、快捷的云中身份的管理和訪問(wèn)控制。方案有效地改善了原有私有云平臺(tái)中用戶身份認(rèn)證過(guò)程的不足，通過(guò)開(kāi)放式體系架構(gòu)、完整生命周期管理和單點(diǎn)登錄等技術(shù)，不僅提高了用戶的訪問(wèn)效率， 同時(shí)提高了IAM在私有云中的通用性， 使得用戶身份認(rèn)證更加準(zhǔn)確、方便。私有云中的用戶身份識(shí)別是身份識(shí)別與云平臺(tái)的結(jié)合，新興的安全技術(shù)仍需要持續(xù)的探索。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.vmgcyvh.cn/

本文標(biāo)題：私有云下的身份與管理解決方案

本文網(wǎng)址：http://www.vmgcyvh.cn/html/solutions/14019310776.html