信息化时代,企业分布式管理模式的广泛应用使当今的IT系统管理变得复杂,企业必须提供一个全方位的资源审视以确保企业资源的有效访问和管理。而云计算的不断发展使得众企业将服务迁往云中以获得更高的利益。企业迁入云中后,信息资源放在云端,其安全性又受到了新的威胁。为了提高云中各系统资源的安全性,企业必须提供更高层次的保密性以实现对云中资源的安全访问和管理。构建云环境下安全有效的资源访问以实现业务逻辑的增值已成为众多企业的最新选择 。
身份与访问安全集中管理系统(IdentITy and Access Management,IAM)是一套全面的建立和维护数字身份,并提供有效、安全的IT资源的业务流程和管理手段,从根本上实现了组织信息资产统一的身份认证、授权和身份数据集中管理与审计。企业引入IAM后能够简化企业用户管理,提高网络资源的访问安全,降低应用成本,给企业带来利润。文中提出一种全面的针对企业私有云的身份与管理解决方案。该方案是从综合治理角度出发建立的一套集成化、一站式的身份与访问安全管理解决方案,帮助企业有效解决在身份生命周期管理、统一身份认证、企业IT系统集成及单点登录、授权与访问控制管理等方面存在的问题。
1、云中的身份认证与访问管理
企业迁入云中给企业带来巨大利益的同时也带来了诸多的安全风险。一方面,传统的IAM方案中用户的身份存储通过多个管理员手动输入实现,开通过程缺乏标准的规范指导,使得访问效率低下;对内部及外部服务的不同员工用户群的访问管理则采用不同目录、不同管理用户身份和访问权限的Web页面,在企业的安全性、合规性等方面给企业带来了极大风险 。另一方面,云计算的迅速发展使得众多企业选择建立自己的私有云服务,而IAM向云的迁移又给企业带来了新的挑战 。传统的企业机构中,应用程序部署在机构的范围内, “信任边界” 处于IT部门的检测控制之下,是静态的。而当采用云服务后,机构的信任边界变成了动态的,并且迁移到IT控制范围之外。控制权的丢失给传统的信任管理和控制模式带来了巨大的挑战。下面介绍云中IAM需要解决的问题。
1.1身份管理
对企业采纳云计算服务机构的主要挑战之一是在云端安全和及时地管理报到(即创建和更新账户)和离职(即删除用户账户)的用户。企业私有云中的用户是动态变化的,用户的角色和职责经常会因为业务因素而变化,同时,各组织机构内还存在用户流动的问题。针对用户的移动性,各组织机构应加强和改进对访问内部及外部服务的不同用户群的访问管理。
传统云中,不同系统间的信息交换采用手动方式将数据同步到云中的各应用系统中。当用户发生变动时,手动方式的更新在造成效率降低的同时也给云中不同系统间信息的安全性造成了威胁 ,一些恶意内部人员对用户机密信息的丢失和泄露将使企业遭受重大的损失。
1.2 隐私保护及认证
云中资源的开放性使用户对资源的使用更加便利,但同时也为一些居心叵测者提供了更多的漏洞。用户信息放在云端,并被过度采集造成信息的泄露危险。为保障用户信息的安全性,最主要的是对用户访问者的身份进行管理、认证,然后进行适当的授权,让他只能够接触到他这个授权水平所能够接触到的数据。
身份认证是信息系统对访问者身份合法性的检查,云中各系统拥有独立的身份认证方式或模型,认证强度和标准不统一,管理、运维和用户成本随系统规模的增加而增加。当企业迁入云中开始利用云端服务时,以可信赖及易于管理的方式来认证用户是一个至关重要的要求。
目前现有的IAM方案多数不支持国产商密算法并且具有安全漏洞,面向的用户范围狭窄,其在技术实现上缺乏扩展性的考虑,与采用各种技术的云平台进行衔接的难度较大,无法保障云入口的安全管理。
1.3 单点登录
用户访问云中的系统资源时需要重复登录系统进行身份认证,给用户带来繁琐的同时也降低了资源的访问效率。单点登录技术实现了一次登录而安全访问云中的所有系统资源,提高了云中资源访问的便捷性和灵活性。但传统单点登录技术缺乏一个突出的标准来实现身份信息的交换,用来保证信息交换过程的安全性和有效性。
1.4 访问控制
为保障云中资源的安全性,防止恶意人员非法访问资源造成的信息泄露,云中用户进行身份认证后,需要按用户身份及其所归属的某预定义组来限制其对某些信息项或控制功能的使用。私有云环境中,各个应用系统属于不同的安全管理域,它们各自管理着本地的资源和用户,跨系统间的实现就需要制定云中全局的访问控制策略。访问控制是信息安全保障机制的核心内容,可以用来保证数据的保密性和完整性 。它用来限制主体对客体的访问权限,指定用户可以访问哪些资源并对这些资源做哪些操作。传统的访问控制模型不能适应云环境下资源的动态访问控制要求。
2、私有云中身份与管理解决方案
解决方案通过对云中资源的安全访问进行研究后提出了一种专门针对私有云中的身份认证与访问控制解决方案。方案使用多种技术和标准协议实现了对云中用户的身份管理和访问控制。通过在企业的入口处部署身份认证应用服务器就可实现对组织信息资产的统一身份认证、授权、身份数据集中管理。
方案采用面向云安全的开放式体系架构,可与多种企业应用、云应用、云支撑系统等结合。实现横向切割,各组件间保持松耦合,根据用户需求进行灵活裁剪;支持面向服务的体系结构(Service—oriented ArchITecture,SOA)接口、通用公钥基础设施(Public Key Infrastructure,PKI)接口、安全断言标记语言(SecurITy Assertion Markup Language,SAML)和服务配置标记语言(Service Provisioning Markup Language,SPML)与云系统无缝衔接;支持多连接器,可与各大应用系统快速集成。方案的架构如图1所示。该方案从云中身份认证与访问管理需要解决的问题出发,分别使用不同的技术手段解决相应的问题,实现了对用户的身份管理、隐私保护、单点登录以及访问控制,满足了云中资源的安全访问和管理需求。
2.1提供完整的生命周期管理
解决方案借助数据同步服务和丰富的连接器组件实现用户账户的快速管理。采用集中化的身份管理和权限实施,用户的访问权限实时进行更新,使得用户只能接收必要的权限来访问资源,保证新用户可以在人职的第一天快速进入工作状态;而当其离开公司后立即撤销或完全删除其身份以及所有节点的访问权限,使得私有云下的安全得到了另一层面的满足。
采用基于SPML 1.0技术标准的数据自动同步技术,云中的第三方应用系统可以使用SPML 1.0标准协议与数据同步服务同步进行信息交换。SPML是企业之间交换用户、资源和服务配置信息的基于可扩展标记语言(Extensible Markup Language,XML)的框架,也是用于服务配置请求集成和互操作性的开放的、标准的协议。数据自动同步技术可以设置同步策略,将用户身份的变化信息采集到系统内,并根据策略更新至云中的其他系统或发布至指定的目录服务器(Lightweight Directory Access Protocol,LDAP)、活动目录(Active Directory,AD)或数据库,实现信息同步。数据自动同步的实现原理如图2所示。
采用自动数据同步技术能够一方面实现与应用系统的交互,避免信息的二次录入,提高云中服务资源的安全访问和管理效率;另一方面,用户岗位调动后,其访问权限能够自动实时更新,防止云中信息资源的泄露;最后,通过对冗余账号的合并和统一管理,保持云中不同系统间信息资源的同步,实现了云中信息的一致性。
身份映射技术通过将用户的身份与特定应用系统中的应用账户进行关联,实现业务流程的无缝衔接,增强了IAM在私有云中的通用性。
2.2 强大的管理认证手段
解决方案从多角度实现对用户的认证管理,多种方式的并行使用确保认证的准确性和高效性,如下所述:
1)提供多样化的身份鉴别方式。方案通过提供不同安全强度的身份鉴别手段,例如静态密码、数字证书、智能卡、手机短信等,满足了私有云中不同强度的身份鉴别需求。
2)与PKI体系无缝衔接。方案配有专用证书认证系统(CA,Certificate Authentication)连接器组件,可与PKI/CA体系无缝整合,实现用户账户与数字证书的直接绑定,提高安全程度及易用度。
3)增强的密码管理。可配置的密码安全策略(包括密码长度、复杂度、有效期等)、应用账号密码自动清洗以及用户自助密码重置和找回,可帮助私有云中的系统升级到现有密码安全级别,有效防止由于密码过于简单带来的安全风险。
2.3 多角色实现单点登录
解决方案采用基于SAML2.0技术规范的多角色单点登录机制 ,通过将系统参与者分为不同的角色,每个角色负责不同的职责来实现用户身份信息的安全交换。用户只需认证一次即可访问云中的所有应用系统,避免了用户重复登录系统的繁琐。同时,单点登录的交互过程中,登录凭据采用安全套接层(Secure Socket Layer,SSL)建立安全通道的方式进行传输,确保信息不会被泄露,增加了用户身份隐私的安全性。
身份认证、数字签名采用支持SM2~M3国产算法的认证技术;安全通信采用支持SM1 M2\SM3的SSL安全链路网关进行通信,以确保信息的不可否认性、完整性和机密性。为有效阻止用户认证过程中的防重放攻击,认证中心产生防重放攻击随机值,用于防止截取断言的恶意用户多次获得访问目标站点权限,从而造成站点资源的泄露或被破坏。方案实现的单点登录过程如图3所示。
2.4基于RBAC模型的访问控制
方案使用可扩展的访问控制标记语言(eXtensible Access Control Markup Language,XACML)协议结合基于角色的访问控制(Role Based Access Control,RBAC)的多策略模型实现私有云环境下资源的访问控制。XACML是一种基于XML的用于决定请求/响应的通用访问控制开放标准语言和执行授权策略的框架 。协议支持参数化的策略描述,可对Web服务进行有效的访问控制。RBAC将权限与角色关联,用户通过成为适当角色的成员而得到这些角色的权限 。该复合模型遵循角色层次规则、最小权限规则以及约束规则,实现了角色的准确、灵活的分配管理。当用户访问云中的资源时,系统首先为用户分配适当的角色,然后按照策略决策点做出的决策给用户分配适当的访问权限。同时,通过对用户和应用系统的分组管理,快速将用户账户与应用访问权限批量建立关联,减轻工作负担,提高大批量用户授权时的工作效率。
3、结语
企业私有云下的身份与管理解决方案为用户解决了云中身份管理繁琐性和不安全性的问题,用户借助该方案可以实现灵活、安全、快捷的云中身份的管理和访问控制。方案有效地改善了原有私有云平台中用户身份认证过程的不足,通过开放式体系架构、完整生命周期管理和单点登录等技术,不仅提高了用户的访问效率, 同时提高了IAM在私有云中的通用性, 使得用户身份认证更加准确、方便。私有云中的用户身份识别是身份识别与云平台的结合,新兴的安全技术仍需要持续的探索。