信息化時代，企業(yè)分布式管理模式的廣泛應用使當今的IT系統(tǒng)管理變得復雜，企業(yè)必須提供一個全方位的資源審視以確保企業(yè)資源的有效訪問和管理。而云計算的不斷發(fā)展使得眾企業(yè)將服務遷往云中以獲得更高的利益?。企業(yè)遷入云中后，信息資源放在云端，其安全性又受到了新的威脅。為了提高云中各系統(tǒng)資源的安全性，企業(yè)必須提供更高層次的保密性以實現(xiàn)對云中資源的安全訪問和管理。構(gòu)建云環(huán)境下安全有效的資源訪問以實現(xiàn)業(yè)務邏輯的增值已成為眾多企業(yè)的最新選擇 。

　　身份與訪問安全集中管理系統(tǒng)(Identity and Access Management，IAM)是一套全面的建立和維護數(shù)字身份，并提供有效、安全的IT資源的業(yè)務流程和管理手段，從根本上實現(xiàn)了組織信息資產(chǎn)統(tǒng)一的身份認證、授權(quán)和身份數(shù)據(jù)集中管理與審計。企業(yè)引入IAM后能夠簡化企業(yè)用戶管理，提高網(wǎng)絡(luò)資源的訪問安全，降低應用成本，給企業(yè)帶來利潤。文中提出一種全面的針對企業(yè)私有云的身份與管理解決方案。該方案是從綜合治理角度出發(fā)建立的一套集成化、一站式的身份與訪問安全管理解決方案，幫助企業(yè)有效解決在身份生命周期管理、統(tǒng)一身份認證、企業(yè)IT系統(tǒng)集成及單點登錄、授權(quán)與訪問控制管理等方面存在的問題。

　　1、云中的身份認證與訪問管理

　　企業(yè)遷入云中給企業(yè)帶來巨大利益的同時也帶來了諸多的安全風險。一方面，傳統(tǒng)的IAM方案中用戶的身份存儲通過多個管理員手動輸入實現(xiàn)，開通過程缺乏標準的規(guī)范指導，使得訪問效率低下；對內(nèi)部及外部服務的不同員工用戶群的訪問管理則采用不同目錄、不同管理用戶身份和訪問權(quán)限的Web頁面，在企業(yè)的安全性、合規(guī)性等方面給企業(yè)帶來了極大風險 。另一方面，云計算的迅速發(fā)展使得眾多企業(yè)選擇建立自己的私有云服務，而IAM向云的遷移又給企業(yè)帶來了新的挑戰(zhàn) 。傳統(tǒng)的企業(yè)機構(gòu)中，應用程序部署在機構(gòu)的范圍內(nèi)， “信任邊界” 處于IT部門的檢測控制之下，是靜態(tài)的。而當采用云服務后，機構(gòu)的信任邊界變成了動態(tài)的，并且遷移到IT控制范圍之外�？刂茩�(quán)的丟失給傳統(tǒng)的信任管理和控制模式帶來了巨大的挑戰(zhàn)。下面介紹云中IAM需要解決的問題。

　　1.1身份管理

　　對企業(yè)采納云計算服務機構(gòu)的主要挑戰(zhàn)之一是在云端安全和及時地管理報到(即創(chuàng)建和更新賬戶)和離職(即刪除用戶賬戶)的用戶。企業(yè)私有云中的用戶是動態(tài)變化的，用戶的角色和職責經(jīng)常會因為業(yè)務因素而變化，同時，各組織機構(gòu)內(nèi)還存在用戶流動的問題。針對用戶的移動性，各組織機構(gòu)應加強和改進對訪問內(nèi)部及外部服務的不同用戶群的訪問管理。

　　傳統(tǒng)云中，不同系統(tǒng)間的信息交換采用手動方式將數(shù)據(jù)同步到云中的各應用系統(tǒng)中。當用戶發(fā)生變動時，手動方式的更新在造成效率降低的同時也給云中不同系統(tǒng)間信息的安全性造成了威脅 ，一些惡意內(nèi)部人員對用戶機密信息的丟失和泄露將使企業(yè)遭受重大的損失。

　　1.2 隱私保護及認證

　　云中資源的開放性使用戶對資源的使用更加便利，但同時也為一些居心叵測者提供了更多的漏洞。用戶信息放在云端，并被過度采集造成信息的泄露危險。為保障用戶信息的安全性，最主要的是對用戶訪問者的身份進行管理、認證，然后進行適當?shù)氖跈?quán)，讓他只能夠接觸到他這個授權(quán)水平所能夠接觸到的數(shù)據(jù)。

　　身份認證是信息系統(tǒng)對訪問者身份合法性的檢查，云中各系統(tǒng)擁有獨立的身份認證方式或模型，認證強度和標準不統(tǒng)一，管理、運維和用戶成本隨系統(tǒng)規(guī)模的增加而增加。當企業(yè)遷入云中開始利用云端服務時，以可信賴及易于管理的方式來認證用戶是一個至關(guān)重要的要求。

　　目前現(xiàn)有的IAM方案多數(shù)不支持國產(chǎn)商密算法并且具有安全漏洞，面向的用戶范圍狹窄，其在技術(shù)實現(xiàn)上缺乏擴展性的考慮，與采用各種技術(shù)的云平臺進行銜接的難度較大，無法保障云入口的安全管理。

　　1.3 單點登錄

　　用戶訪問云中的系統(tǒng)資源時需要重復登錄系統(tǒng)進行身份認證，給用戶帶來繁瑣的同時也降低了資源的訪問效率。單點登錄技術(shù)實現(xiàn)了一次登錄而安全訪問云中的所有系統(tǒng)資源，提高了云中資源訪問的便捷性和靈活性。但傳統(tǒng)單點登錄技術(shù)缺乏一個突出的標準來實現(xiàn)身份信息的交換，用來保證信息交換過程的安全性和有效性。

　　1.4 訪問控制

　　為保障云中資源的安全性，防止惡意人員非法訪問資源造成的信息泄露，云中用戶進行身份認證后，需要按用戶身份及其所歸屬的某預定義組來限制其對某些信息項或控制功能的使用。私有云環(huán)境中，各個應用系統(tǒng)屬于不同的安全管理域，它們各自管理著本地的資源和用戶，跨系統(tǒng)間的實現(xiàn)就需要制定云中全局的訪問控制策略。訪問控制是信息安全保障機制的核心內(nèi)容，可以用來保證數(shù)據(jù)的保密性和完整性 。它用來限制主體對客體的訪問權(quán)限，指定用戶可以訪問哪些資源并對這些資源做哪些操作。傳統(tǒng)的訪問控制模型不能適應云環(huán)境下資源的動態(tài)訪問控制要求。

　　2、私有云中身份與管理解決方案

　　解決方案通過對云中資源的安全訪問進行研究后提出了一種專門針對私有云中的身份認證與訪問控制解決方案。方案使用多種技術(shù)和標準協(xié)議實現(xiàn)了對云中用戶的身份管理和訪問控制。通過在企業(yè)的入口處部署身份認證應用服務器就可實現(xiàn)對組織信息資產(chǎn)的統(tǒng)一身份認證、授權(quán)、身份數(shù)據(jù)集中管理。

　　方案采用面向云安全的開放式體系架構(gòu)，可與多種企業(yè)應用、云應用、云支撐系統(tǒng)等結(jié)合。實現(xiàn)橫向切割，各組件間保持松耦合，根據(jù)用戶需求進行靈活裁剪；支持面向服務的體系結(jié)構(gòu)(Service—oriented Architecture，SOA)接口、通用公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure，PKI)接口、安全斷言標記語言(Security Assertion Markup Language，SAML)和服務配置標記語言(Service Provisioning Markup Language，SPML)與云系統(tǒng)無縫銜接；支持多連接器，可與各大應用系統(tǒng)快速集成。方案的架構(gòu)如圖1所示。該方案從云中身份認證與訪問管理需要解決的問題出發(fā)，分別使用不同的技術(shù)手段解決相應的問題，實現(xiàn)了對用戶的身份管理、隱私保護、單點登錄以及訪問控制，滿足了云中資源的安全訪問和管理需求。
 

　　2.1提供完整的生命周期管理

　　解決方案借助數(shù)據(jù)同步服務和豐富的連接器組件實現(xiàn)用戶賬戶的快速管理。采用集中化的身份管理和權(quán)限實施，用戶的訪問權(quán)限實時進行更新，使得用戶只能接收必要的權(quán)限來訪問資源，保證新用戶可以在人職的第一天快速進入工作狀態(tài)；而當其離開公司后立即撤銷或完全刪除其身份以及所有節(jié)點的訪問權(quán)限，使得私有云下的安全得到了另一層面的滿足。

　　采用基于SPML 1.0技術(shù)標準的數(shù)據(jù)自動同步技術(shù)，云中的第三方應用系統(tǒng)可以使用SPML 1.0標準協(xié)議與數(shù)據(jù)同步服務同步進行信息交換。SPML是企業(yè)之間交換用戶、資源和服務配置信息的基于可擴展標記語言(Extensible Markup Language，XML)的框架，也是用于服務配置請求集成和互操作性的開放的、標準的協(xié)議。數(shù)據(jù)自動同步技術(shù)可以設(shè)置同步策略，將用戶身份的變化信息采集到系統(tǒng)內(nèi)，并根據(jù)策略更新至云中的其他系統(tǒng)或發(fā)布至指定的目錄服務器(Lightweight Directory Access Protocol，LDAP)、活動目錄(Active Directory，AD)或數(shù)據(jù)庫，實現(xiàn)信息同步。數(shù)據(jù)自動同步的實現(xiàn)原理如圖2所示。
 

　　采用自動數(shù)據(jù)同步技術(shù)能夠一方面實現(xiàn)與應用系統(tǒng)的交互，避免信息的二次錄入，提高云中服務資源的安全訪問和管理效率；另一方面，用戶崗位調(diào)動后，其訪問權(quán)限能夠自動實時更新，防止云中信息資源的泄露；最后，通過對冗余賬號的合并和統(tǒng)一管理，保持云中不同系統(tǒng)間信息資源的同步，實現(xiàn)了云中信息的一致性。

　　身份映射技術(shù)通過將用戶的身份與特定應用系統(tǒng)中的應用賬戶進行關(guān)聯(lián)，實現(xiàn)業(yè)務流程的無縫銜接，增強了IAM在私有云中的通用性。

　　2.2 強大的管理認證手段

　　解決方案從多角度實現(xiàn)對用戶的認證管理，多種方式的并行使用確保認證的準確性和高效性，如下所述：

　　1)提供多樣化的身份鑒別方式。方案通過提供不同安全強度的身份鑒別手段，例如靜態(tài)密碼、數(shù)字證書、智能卡、手機短信等，滿足了私有云中不同強度的身份鑒別需求。

　　2)與PKI體系無縫銜接。方案配有專用證書認證系統(tǒng)(CA，Certificate Authentication)連接器組件，可與PKI/CA體系無縫整合，實現(xiàn)用戶賬戶與數(shù)字證書的直接綁定，提高安全程度及易用度。

　　3)增強的密碼管理�？膳渲玫拿艽a安全策略(包括密碼長度、復雜度、有效期等)、應用賬號密碼自動清洗以及用戶自助密碼重置和找回，可幫助私有云中的系統(tǒng)升級到現(xiàn)有密碼安全級別，有效防止由于密碼過于簡單帶來的安全風險。

　　2.3 多角色實現(xiàn)單點登錄

　　解決方案采用基于SAML2.0技術(shù)規(guī)范的多角色單點登錄機制 ，通過將系統(tǒng)參與者分為不同的角色，每個角色負責不同的職責來實現(xiàn)用戶身份信息的安全交換。用戶只需認證一次即可訪問云中的所有應用系統(tǒng)，避免了用戶重復登錄系統(tǒng)的繁瑣。同時，單點登錄的交互過程中，登錄憑據(jù)采用安全套接層(Secure Socket Layer，SSL)建立安全通道的方式進行傳輸，確保信息不會被泄露，增加了用戶身份隱私的安全性。

　　身份認證、數(shù)字簽名采用支持SM2~M3國產(chǎn)算法的認證技術(shù)；安全通信采用支持SM1 M2\SM3的SSL安全鏈路網(wǎng)關(guān)進行通信，以確保信息的不可否認性、完整性和機密性。為有效阻止用戶認證過程中的防重放攻擊，認證中心產(chǎn)生防重放攻擊隨機值，用于防止截取斷言的惡意用戶多次獲得訪問目標站點權(quán)限，從而造成站點資源的泄露或被破壞。方案實現(xiàn)的單點登錄過程如圖3所示。
 

　　2.4基于RBAC模型的訪問控制

　　方案使用可擴展的訪問控制標記語言(eXtensible Access Control Markup Language，XACML)協(xié)議結(jié)合基于角色的訪問控制(Role Based Access Control，RBAC)的多策略模型實現(xiàn)私有云環(huán)境下資源的訪問控制。XACML是一種基于XML的用于決定請求/響應的通用訪問控制開放標準語言和執(zhí)行授權(quán)策略的框架 。協(xié)議支持參數(shù)化的策略描述，可對Web服務進行有效的訪問控制。RBAC將權(quán)限與角色關(guān)聯(lián)，用戶通過成為適當角色的成員而得到這些角色的權(quán)限 。該復合模型遵循角色層次規(guī)則、最小權(quán)限規(guī)則以及約束規(guī)則，實現(xiàn)了角色的準確、靈活的分配管理。當用戶訪問云中的資源時，系統(tǒng)首先為用戶分配適當?shù)慕巧�，然后按照策略決策點做出的決策給用戶分配適當?shù)脑L問權(quán)限。同時，通過對用戶和應用系統(tǒng)的分組管理，快速將用戶賬戶與應用訪問權(quán)限批量建立關(guān)聯(lián)，減輕工作負擔，提高大批量用戶授權(quán)時的工作效率。

　　3、結(jié)語

　　企業(yè)私有云下的身份與管理解決方案為用戶解決了云中身份管理繁瑣性和不安全性的問題，用戶借助該方案可以實現(xiàn)靈活、安全、快捷的云中身份的管理和訪問控制。方案有效地改善了原有私有云平臺中用戶身份認證過程的不足，通過開放式體系架構(gòu)、完整生命周期管理和單點登錄等技術(shù)，不僅提高了用戶的訪問效率， 同時提高了IAM在私有云中的通用性， 使得用戶身份認證更加準確、方便。私有云中的用戶身份識別是身份識別與云平臺的結(jié)合，新興的安全技術(shù)仍需要持續(xù)的探索。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領(lǐng)域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：私有云下的身份與管理解決方案

本文網(wǎng)址：http://www.ezxoed.cn/html/solutions/14019310776.html