私有云下的身份與管理解決方案
信息化時代,企業分布式管理模式的廣泛應用使當今的IT系統管理變得復雜,企業必須提供一個全方位的資源審視以確保企業資源的有效訪問和管理。而云計算的不斷發展使得眾企業將服務遷往云中以獲得更高的利益。企業遷入云中后,信息資源放在云端,其安全性又受到了新的威脅。為了提高云中各系統資源的安全性,企業必須提供更高層次的保密性以實現對云中資源的安全訪問和管理。構建云環境下安全有效的資源訪問以實現業務邏輯的增值已成為眾多企業的最新選擇 。
身份與訪問安全集中管理系統(IdentITy and Access Management,IAM)是一套全面的建立和維護數字身份,并提供有效、安全的IT資源的業務流程和管理手段,從根本上實現了組織信息資產統一的身份認證、授權和身份數據集中管理與審計。企業引入IAM后能夠簡化企業用戶管理,提高網絡資源的訪問安全,降低應用成本,給企業帶來利潤。文中提出一種全面的針對企業私有云的身份與管理解決方案。該方案是從綜合治理角度出發建立的一套集成化、一站式的身份與訪問安全管理解決方案,幫助企業有效解決在身份生命周期管理、統一身份認證、企業IT系統集成及單點登錄、授權與訪問控制管理等方面存在的問題。
1、云中的身份認證與訪問管理
企業遷入云中給企業帶來巨大利益的同時也帶來了諸多的安全風險。一方面,傳統的IAM方案中用戶的身份存儲通過多個管理員手動輸入實現,開通過程缺乏標準的規范指導,使得訪問效率低下;對內部及外部服務的不同員工用戶群的訪問管理則采用不同目錄、不同管理用戶身份和訪問權限的Web頁面,在企業的安全性、合規性等方面給企業帶來了極大風險 。另一方面,云計算的迅速發展使得眾多企業選擇建立自己的私有云服務,而IAM向云的遷移又給企業帶來了新的挑戰 。傳統的企業機構中,應用程序部署在機構的范圍內, “信任邊界” 處于IT部門的檢測控制之下,是靜態的。而當采用云服務后,機構的信任邊界變成了動態的,并且遷移到IT控制范圍之外。控制權的丟失給傳統的信任管理和控制模式帶來了巨大的挑戰。下面介紹云中IAM需要解決的問題。
1.1身份管理
對企業采納云計算服務機構的主要挑戰之一是在云端安全和及時地管理報到(即創建和更新賬戶)和離職(即刪除用戶賬戶)的用戶。企業私有云中的用戶是動態變化的,用戶的角色和職責經常會因為業務因素而變化,同時,各組織機構內還存在用戶流動的問題。針對用戶的移動性,各組織機構應加強和改進對訪問內部及外部服務的不同用戶群的訪問管理。
傳統云中,不同系統間的信息交換采用手動方式將數據同步到云中的各應用系統中。當用戶發生變動時,手動方式的更新在造成效率降低的同時也給云中不同系統間信息的安全性造成了威脅 ,一些惡意內部人員對用戶機密信息的丟失和泄露將使企業遭受重大的損失。
1.2 隱私保護及認證
云中資源的開放性使用戶對資源的使用更加便利,但同時也為一些居心叵測者提供了更多的漏洞。用戶信息放在云端,并被過度采集造成信息的泄露危險。為保障用戶信息的安全性,最主要的是對用戶訪問者的身份進行管理、認證,然后進行適當的授權,讓他只能夠接觸到他這個授權水平所能夠接觸到的數據。
身份認證是信息系統對訪問者身份合法性的檢查,云中各系統擁有獨立的身份認證方式或模型,認證強度和標準不統一,管理、運維和用戶成本隨系統規模的增加而增加。當企業遷入云中開始利用云端服務時,以可信賴及易于管理的方式來認證用戶是一個至關重要的要求。
目前現有的IAM方案多數不支持國產商密算法并且具有安全漏洞,面向的用戶范圍狹窄,其在技術實現上缺乏擴展性的考慮,與采用各種技術的云平臺進行銜接的難度較大,無法保障云入口的安全管理。
1.3 單點登錄
用戶訪問云中的系統資源時需要重復登錄系統進行身份認證,給用戶帶來繁瑣的同時也降低了資源的訪問效率。單點登錄技術實現了一次登錄而安全訪問云中的所有系統資源,提高了云中資源訪問的便捷性和靈活性。但傳統單點登錄技術缺乏一個突出的標準來實現身份信息的交換,用來保證信息交換過程的安全性和有效性。
1.4 訪問控制
為保障云中資源的安全性,防止惡意人員非法訪問資源造成的信息泄露,云中用戶進行身份認證后,需要按用戶身份及其所歸屬的某預定義組來限制其對某些信息項或控制功能的使用。私有云環境中,各個應用系統屬于不同的安全管理域,它們各自管理著本地的資源和用戶,跨系統間的實現就需要制定云中全局的訪問控制策略。訪問控制是信息安全保障機制的核心內容,可以用來保證數據的保密性和完整性 。它用來限制主體對客體的訪問權限,指定用戶可以訪問哪些資源并對這些資源做哪些操作。傳統的訪問控制模型不能適應云環境下資源的動態訪問控制要求。
2、私有云中身份與管理解決方案
解決方案通過對云中資源的安全訪問進行研究后提出了一種專門針對私有云中的身份認證與訪問控制解決方案。方案使用多種技術和標準協議實現了對云中用戶的身份管理和訪問控制。通過在企業的入口處部署身份認證應用服務器就可實現對組織信息資產的統一身份認證、授權、身份數據集中管理。
方案采用面向云安全的開放式體系架構,可與多種企業應用、云應用、云支撐系統等結合。實現橫向切割,各組件間保持松耦合,根據用戶需求進行靈活裁剪;支持面向服務的體系結構(Service—oriented ArchITecture,SOA)接口、通用公鑰基礎設施(Public Key Infrastructure,PKI)接口、安全斷言標記語言(SecurITy Assertion Markup Language,SAML)和服務配置標記語言(Service Provisioning Markup Language,SPML)與云系統無縫銜接;支持多連接器,可與各大應用系統快速集成。方案的架構如圖1所示。該方案從云中身份認證與訪問管理需要解決的問題出發,分別使用不同的技術手段解決相應的問題,實現了對用戶的身份管理、隱私保護、單點登錄以及訪問控制,滿足了云中資源的安全訪問和管理需求。
2.1提供完整的生命周期管理
解決方案借助數據同步服務和豐富的連接器組件實現用戶賬戶的快速管理。采用集中化的身份管理和權限實施,用戶的訪問權限實時進行更新,使得用戶只能接收必要的權限來訪問資源,保證新用戶可以在人職的第一天快速進入工作狀態;而當其離開公司后立即撤銷或完全刪除其身份以及所有節點的訪問權限,使得私有云下的安全得到了另一層面的滿足。
采用基于SPML 1.0技術標準的數據自動同步技術,云中的第三方應用系統可以使用SPML 1.0標準協議與數據同步服務同步進行信息交換。SPML是企業之間交換用戶、資源和服務配置信息的基于可擴展標記語言(Extensible Markup Language,XML)的框架,也是用于服務配置請求集成和互操作性的開放的、標準的協議。數據自動同步技術可以設置同步策略,將用戶身份的變化信息采集到系統內,并根據策略更新至云中的其他系統或發布至指定的目錄服務器(Lightweight Directory Access Protocol,LDAP)、活動目錄(Active Directory,AD)或數據庫,實現信息同步。數據自動同步的實現原理如圖2所示。
采用自動數據同步技術能夠一方面實現與應用系統的交互,避免信息的二次錄入,提高云中服務資源的安全訪問和管理效率;另一方面,用戶崗位調動后,其訪問權限能夠自動實時更新,防止云中信息資源的泄露;最后,通過對冗余賬號的合并和統一管理,保持云中不同系統間信息資源的同步,實現了云中信息的一致性。
身份映射技術通過將用戶的身份與特定應用系統中的應用賬戶進行關聯,實現業務流程的無縫銜接,增強了IAM在私有云中的通用性。
2.2 強大的管理認證手段
解決方案從多角度實現對用戶的認證管理,多種方式的并行使用確保認證的準確性和高效性,如下所述:
1)提供多樣化的身份鑒別方式。方案通過提供不同安全強度的身份鑒別手段,例如靜態密碼、數字證書、智能卡、手機短信等,滿足了私有云中不同強度的身份鑒別需求。
2)與PKI體系無縫銜接。方案配有專用證書認證系統(CA,Certificate Authentication)連接器組件,可與PKI/CA體系無縫整合,實現用戶賬戶與數字證書的直接綁定,提高安全程度及易用度。
3)增強的密碼管理。可配置的密碼安全策略(包括密碼長度、復雜度、有效期等)、應用賬號密碼自動清洗以及用戶自助密碼重置和找回,可幫助私有云中的系統升級到現有密碼安全級別,有效防止由于密碼過于簡單帶來的安全風險。
2.3 多角色實現單點登錄
解決方案采用基于SAML2.0技術規范的多角色單點登錄機制 ,通過將系統參與者分為不同的角色,每個角色負責不同的職責來實現用戶身份信息的安全交換。用戶只需認證一次即可訪問云中的所有應用系統,避免了用戶重復登錄系統的繁瑣。同時,單點登錄的交互過程中,登錄憑據采用安全套接層(Secure Socket Layer,SSL)建立安全通道的方式進行傳輸,確保信息不會被泄露,增加了用戶身份隱私的安全性。
身份認證、數字簽名采用支持SM2~M3國產算法的認證技術;安全通信采用支持SM1 M2\SM3的SSL安全鏈路網關進行通信,以確保信息的不可否認性、完整性和機密性。為有效阻止用戶認證過程中的防重放攻擊,認證中心產生防重放攻擊隨機值,用于防止截取斷言的惡意用戶多次獲得訪問目標站點權限,從而造成站點資源的泄露或被破壞。方案實現的單點登錄過程如圖3所示。
2.4基于RBAC模型的訪問控制
方案使用可擴展的訪問控制標記語言(eXtensible Access Control Markup Language,XACML)協議結合基于角色的訪問控制(Role Based Access Control,RBAC)的多策略模型實現私有云環境下資源的訪問控制。XACML是一種基于XML的用于決定請求/響應的通用訪問控制開放標準語言和執行授權策略的框架 。協議支持參數化的策略描述,可對Web服務進行有效的訪問控制。RBAC將權限與角色關聯,用戶通過成為適當角色的成員而得到這些角色的權限 。該復合模型遵循角色層次規則、最小權限規則以及約束規則,實現了角色的準確、靈活的分配管理。當用戶訪問云中的資源時,系統首先為用戶分配適當的角色,然后按照策略決策點做出的決策給用戶分配適當的訪問權限。同時,通過對用戶和應用系統的分組管理,快速將用戶賬戶與應用訪問權限批量建立關聯,減輕工作負擔,提高大批量用戶授權時的工作效率。
3、結語
企業私有云下的身份與管理解決方案為用戶解決了云中身份管理繁瑣性和不安全性的問題,用戶借助該方案可以實現靈活、安全、快捷的云中身份的管理和訪問控制。方案有效地改善了原有私有云平臺中用戶身份認證過程的不足,通過開放式體系架構、完整生命周期管理和單點登錄等技術,不僅提高了用戶的訪問效率, 同時提高了IAM在私有云中的通用性, 使得用戶身份認證更加準確、方便。私有云中的用戶身份識別是身份識別與云平臺的結合,新興的安全技術仍需要持續的探索。
