云计算与安全-云计算中的身份认证与访问管理

云计算中的身份认证与访问管理OUTLINE信任边界以及身份及访问管理身份与访问管理（IAM）IAM体系架构与实践云计算服务的IAM相关标准和协议云计算中的IAM实践云计算授权管理云计算服务提供商的IAM实践信任边界以及身份及访问管理在典型的机构中，应用程序部署在机构的范围之内，“信任边界”处于IT部门的检测控制之下，几乎是静态的。采用云计算服务之后，机构的信任边界将变成动态的，并且迁移到IT控制范围之外。这种控制权的丢失，对已有的信任管理和控制模式（包括对于员工和承包商的可信来源）形成了巨大挑战。应对措施——采用更高级别的软件控制：强认证基于角色或生命的授权准确属性的可靠来源身份联合单点登录（SSO）用户行为监测以及审计身份联合是个为处理多态、动态、松散耦合的信任关系而兴起的行业最佳实践，而信任关系则是机构外部和内部供应链及协作模式的特征。身份联合使被机构信任边界分割的系统及应用程序能够实现交互。身份与访问管理

（IAM，IdentityAndAccessManagement）为什么要用IAMIAM的挑战IAM的定义为什么要用IAM？提高运营效率合规性管理实现新的IT交付和部署模式机构的员工及相关承包商使用身份联合来访问SaaS服务IT管理员访问云计算服务提供商控制器，为使用企业身份的用户提供资源和访问能力开发人员在PaaS平台为其合作伙伴用户创建账户终端用户使用访问策略管理功能在域内及域外访问云计算中的存储服务云计算服务提供商内的应用程序通过其他云计算服务访问存储需要IAM支持的云计算用例IAM面临的挑战一个关键挑战：对访问内部及外部服务的不同用户群的访问管理。（用户的角色和职责经常会因为业务因素而变化；机构内的人员流动）机构使用的访问策略不一致，导致用户和访问管理过程效率低下，也在安全、合规性、声誉等方面给机构带来极大风险。从业务和IT驱动两方面处理IAM策略和架构，在保持控制的有效性的同时，解决效率低下的核心问题。IAM的定义认证

认证是核实用户或系统身份的过程；

认证通常以为着更为可靠的识别形式。授权

授权是确定用户或系统身份并授予权限的过程；

在数字服务方面，授权是认证的下一步骤；

授权被用来确定用户或服务是否具有执行某项操作所需的权限；

授权是策略的执行过程。审计

审计是指查看和检查有关认证、授权的记录和活动，以确定IAM系统控制的完备性、核实与已

有安全策略及过程的符合性、检测安全服务中的违规事件，并给出相应的对策和整改建议。IAM体系架构与实践IAM并不是一个可以轻易部署并立即产生效果的整体解决方案，而是一个由各种技术组件、过程和标准实践组成的体系结构。标准的企业级IAM体系架构包含技术、服务和过程等几个层面，其部署体系架构的核心是目录服务，目录服务是机构用户群的身份、证书和用户属性的信息库。支持业务的IAM过程分类（一）用户管理

为了有效治理和管理身份生命周期而进行的活动。认证管理

为了有效治理和管理实体的确定及实体声明内容的过程而进行的活动。授权管理

为了有效治理和管理根据机构策略实体可访问资源权利的过程而进行的活动。支持业务的IAM过程分类（二）访问管理

响应实体请求访问机构内IT资源的访问控制策略的执行。数据管理和供应

通过自动化或手动过程对IT资源授权的身份及数据的传输。监控和审计

基于已定义的策略在机构内对用户访问资源合规的监控、审计及报告。IAM支持的业务活动业务开通证书及属性管理权限管理合规管理身份联合管理集中化的认证和授权企业身份及访问管理的功能体系架构云计算服务的IAM相关标准和协议机构的IAM标准与规范身份及访问管理对用户的标准、协议和规范企业和用户认证标准及协议的对比机构的IAM标准与规范安全断言标记语言（SAML）

避免复制身份、属性和证书，并为用户提供单点登录的用户体验。服务供应标记语言（SPML）

为用户账户自动化提供云计算服务以及自动化用户开通及移除的流程。可扩展访问控制标记语言（XACML）

为用户账户提供合适的权限，并为用户管理权限权利。开放式身份认证（OAuth）

授权云计算服务X进而在不披露证书的情况下，访问云计算服务Y中的数据。安全断言标记语言（SAML）SAML是最成熟详细且被广泛采用的云计算用户基于浏览器的身份联合单点登录规范族。当用户通过了身份服务的认证后，就可以自由访问在信任域内提供的云计算服务，从而规避云计算专用的单点登录程序。通过实施强认证技术例如双因子认证，用户不那么容易遭受在互联网上稳步增长的钓鱼攻击。云计算服务的强认证对于保护用户证书不受中间人攻击也是可取的。通过支持委派认证模式的SAML标准，云计算服务提供商可以对用户机构委派认证策略。安全断言标记语言（SAML）1.机构的用户试图访问在Google上的应用程序，例如Gmail、StartPages或其他Google服务。2.Google生成一个SAML认证请求。SAML请求是编码并内嵌到URL(统一资源定位符)中的，机构的IdP支持单点登录服务。包含用户试图访问的Google应用程序编码URL的中继状态参数也同样内嵌在单点登录URL中。这个中继状态参数的意思是一个不透明的标识符，传回时无须修改和检查。3.Google发送到用户浏览器一个重定向URL。重定向URL包括编码的SAML认证请求，这个请求应当提交给机构的IdP服务。4.IdP对SAML请求编码，并为Google声明使用者服务(ACS)和用户目标URL(中继状态参数)提取URL。接下来IdP认证用户。IdP可以通过询问有效的登录证书或者检查有效会话cookie来认证用户。使用SAML的单点登录处理步骤安全断言标记语言（SAML）5.IdP生成SAML答复，包含着认证用户的用户名。按照SAML2.0规范，这个答复是使用合作伙伴公共和私有DSA/RSA密钥，采用了数字签名。6.IdP编码SAML答复以及中继状态参数，并返回这个信息到用户浏览器。IdP提供一个机制，是浏览器将这个信息提交Google声明使用者服务。例如，IdP可以内嵌SAML答复以及目标URL并生成表格，然后提供一个按钮，用户点击后将该表格提交给Google。IdP也可以在页面上包含JavaScript，自动把表格提交给Google。7.Google声明使用者服务使用IdP公钥验证SAML答复。如果成功验证答复，声明使用者服务将重定向用户到目标URL。8.用户重定向到目标URL，并登录GoogleApps。使用SAML的单点登录处理步骤服务供应标记语言(SPML)PML是基于XML框架，由结构化信息标准推动组织开发，用来在合作组织间交换用户、资源和服务供应信息。SPML是新兴的标准，可以帮助机构为云计算服务自动化用户身份的开通(例如，运行在客户网站的应用程序或服务向S提出请求，请求创建新账户)。当可以采用SPML时，机构应当用它来开通云计算服务中用户账户和配置文件。如果支持SPML，软件即服务(SaaS)提供商便可以做到“即时开通”，为新用户实时创建账户(相对于预注册用户)。在这种模式下，云计算服务提供商从SPML的标记中提取新用户的属性，迅速创建SPML信息，并把需求传递给用户开通服务，以在云计算用户数据库中增加用户身份。服务供应标记语言(SPML)人力资源系统使用SPML请求向云计算中的用户开通系统提出请求。人力资源系统记录(请求当局)是一个SPMLWeb服务客户端，在云计算服务提供商处与SPML用户开通服务的供应商相互作用，后者负责在云计算服务中提供用户开通服务(用户开通服务目标)SPML用例可扩展访问控制标记语言(XACML)XACML是一个由结构化信息标准推动组织批准的，通用的基于XML的对于策略管理和访问决断的访问控制语言。它为通用策略语言提供一个XML模式，用来保护任何类型的资源和在这些资源上制定访问决策。XACML标准不仅仅为策略语言提供模式，还提出了一个用来管理策略和访问判断的处理环境模式。XACML中还规定了应用程序环境能用来与决策点交流的请求/答复协议。访问请求的答复也使用XML进行了规定。可扩展访问控制标记语言(XACML)关于XACML用例的具体步骤：1.卫生保健应用程序管理各种访问各种病例要素的医院同事(医师、注册护士、护士助手和卫生保健主管)。这个应用程序依赖于政策执行点(PEP)，并把请求交给政策执行点。2.政策执行点实际上是应用程序环境的接口。它接受访问请求，并在决策点(PDP)的帮助下评估这些请求，然后允许或者拒绝对资源(卫生保健记录)的访问。3.政策执行点把请求送到决策点。决策点是访问请求的主要决定点，决策点从可用的信息资源收集所有必需信息，并决定给予什么样访问。决策点应当位于可信网络并使用强访问控制策略，例如在用企业防火墙保护的企业可信网络。4.在评估之后，决策点把XACML答复送到政策执行点处。5.政策执行点履行其责任，执行决策点的授权决定。XACML用例开放式身份认证(OAuth)OAuth是新兴的认证标准，允许用户与另一个云计算服务提供商共享其存储在其他云计算服务提供商的私有资源(例如照片、视频、联系人名单和银行账户)，而不用出示认证信息(例如用户名和密码)。OAuth是个开放式协议，其建立的目标是通过安全应用程序编程接口(API)实现授权，为台式机、移动及网络应用程序提供一个简单和标准的方法。对于应用程序开发者，OAuth是用来发布和交互受保护数据的方法。对于云计算服务提供商，OAuth提供了为用户访问他们在其他提供商上的数据的方法，同时保护他们的账户证书。开放式身份认证(OAuth)1.用户网络应用程序联络Google授权服务，要求对一个或多个Google服务的请求令牌。2.Google对内容进行验证，确保网络应用程序已注册，并以一个未授权请求令牌进行回复3.网络应用程序引用请求令牌，重定向终端用户到Google授权页面。4.在Google授权页面上，用户被提示要求登录用户账户(为了验证)，然后授予或者拒绝网络应用程序对其Google服务数据的有限访问。5.用户决定是否授予或拒绝网络应用程序的访问。如果用户拒绝访问，用户将被重定向到Google页面而不是返回网络应用程序。OAuth用例开放式身份认证(OAuth)6.如果用户授予访问，认证服务将重定向用户到通过Google注册的网络应用程序指定页面。重定向包括已授权的请求令牌。7.网络应用程序传送请求到Google授权服务，更换授权请求令牌为访问令牌。8.Google验证请求并返回有效的访问令牌。9.网络应用程序传递请求到正在讨论的Google服务。签署请求，请求包含访问令牌。10.如果Google服务识别令牌，将会提供被请求的数据。OAuth用例身份及访问管理对用户的标准、协议和规范开放式认证系统(OpenID)OpenID是对用户认证和访问控制的开放的分散标准，允许用户使用相同的数字身份登录许多服务OpenID主要针对由互联网公司提供的用户服务由于信任问题，采用OpenID作为企业用途(例如非用户用途)几乎是不存在的信息卡(Informationcard)为用户提供一个安全、一致、可抵御钓鱼攻击的用户接口，而并不需要用户名和密码。开放式身份认证(OATH)基于用户识别模块(SIM)的认证(使用全球移动通信系统GSM/通用无线分组业务GPRS用户识别模块)。基于公钥基础设施(PKI)的认证(使用X.509v3证书)。基于一次性密码(OTP)的认证。开放式身份认证应用程序接口(OpenAuth)企业和用户认证标准及协议的对比身份及访问管理标准和协议提供商企业云计算用户的需求云计算服务提供商的需求SAML身份管理软件提供商例如Sun、Oracle、CA、IBM以及Novell，身份管理服务提供商例如MicrosoftAzure、Symplified、TriCipher以及PingIdentity支持强认证和网站单点登录，避免复制身份，只分享选定的属性以保护用户隐私使用户能够委派认证并选择认证方法（例如，使用企业身份的双因素认证），这样有利于云计算服务的使用XACML由Sun、CA、IBM、JerichoSystems、Oracle、RedHat以及Securent（思科）支持一种标准方式用以跨越多样化云计算服务表达授权策略，以及通过应用程序表达授权和执行支持由企业级应用和管理员需求的体现复杂策略的授权OAuth通过服务提供商的应用程序接口支持，提供商包括Google、Twitter、Facebook和Plaxo与一个云计算服务提供商存储的保护数据的交互和发布，并可由另一个云计算服务提供商通过使用标准应用程序接口访问而不会披露证书使用户可以访问其位于另一个服务提供商处的数据，而同时保护用户的账户及证书信息OpenID由许多服务提供商支持，提供商包括Google、IBM、Microsoft、Yahoo!、Orange、PayPal、VeriSign、Yandex、AOL和USTREAM由于信任问题未被采用对于用户参加的身份联合服务支持单点登录OATH由许多认证硬件和软件提供商支持，包括VeriSign、SanDisk、Gemalto和Entrust不相关不相关OpenAuth仅由美国在线支持，用户可以访问美国在线的合作伙伴服务不相关支持美国在线用户通过使用美国在线或美国在线即时消息用户身份访问美国在线合作伙伴的应用程序云计算中的IAM实践身份及访问管理方面的SPI成熟度模式对比层次软件即服务平台即服务基础设施即服务用户管理、新用户有能力的不成熟的认知阶段用户管理、用户修改有能力的不成熟的不成熟的认证管理有能力的认知阶段有能力的授权管理认知阶段不成熟的不成熟的IAM自动化流程的组成部分用户管理、新用户用户管理、用户修改认证管理授权管理云计算身份管理着重于云计算中用户身份的生命周期管理。生命管理周期包括，用户开通、移除、身份联合、单点登录、密码或证书管理、配制文件管理、行政管理。通过使用身份联合、内部的面向互联网的身份提供商，或者云计算身份管理服务提供商及机构，可以避免复制身份和属性以及存储这些信息到云计算服务提供商。身份联合（单点登录）为用户实施支持单点登录的身份联合的机构的方式：在企业边缘之内实施企业身份提供商集成可信的基于云计算的身份管理服务提供商身份联合（单点登录）——企业身份提供商云计算服务把认证委派给机构身份提供商机构在云计算服务提供商