云時代身份認證即服務確保數(shù)據(jù)安全

2013-09-25 15:25:59 51CTO　點擊量：評論 (0)

密碼和登錄名并不是抓人眼球的事件標題，但是確實IT專家每天必須面對的安全問題。在云計算的應用中也開始出現(xiàn)，軟件即服務(SaaS)和移動計算已經(jīng)增加了管理用戶和其身份的管理復雜性。

針對金融機構(gòu)和智財權(quán)竊取的國際網(wǎng)絡(luò)間諜事件，成就了源源不斷的信息安全新聞。密碼和登錄名并不是抓人眼球的事件標題，但是確實IT專家每天必須面對的安全問題。在云計算的應用中也開始出現(xiàn)，軟件即服務(SaaS)和移動計算已經(jīng)增加了管理用戶和其身份的管理復雜性。

安全從業(yè)者花了數(shù)十年開發(fā)方法來加強身份認證，從而減少這些風險，同時保證易用性和盡可能的安全性。單點登錄(SSO)系統(tǒng)允許用戶一次性到一個中央應用進行身份認證，并自動認證其他的應用和系統(tǒng)。

幸運的是，SSO服務在云端，即身份認證即服務(AaaS)，為身份認證管理交付了一些SaaS的好處。企業(yè)、政府和其他的機構(gòu)都因為各種原因采用AaaS，包括基于預算和時間擔憂擴展用戶基礎(chǔ)。

用戶的范圍已經(jīng)超越了組織機構(gòu)的邊界;客戶、供應商、承包商以及其他的組織機構(gòu)外的人現(xiàn)在可以訪問企業(yè)Web應用。分配和管理這些用戶的訪問并不會一直同內(nèi)部目錄或者人力資源流程關(guān)聯(lián)。

身份認證和身份管理系統(tǒng)非常復雜且昂貴，但是AaaS為身份認證帶來了SaaS的成本優(yōu)勢。和身份認證相關(guān)聯(lián)，管理雙因素身份認證以及合并移動設(shè)備也非常耗時。將這些轉(zhuǎn)移給服務提供商確實是個不錯的選擇。

云和移動時代身份認證即服務確保數(shù)據(jù)安全

選擇合適的AaaS提供商

AaaS基于安全斷言標記語言(SAML)、WS聯(lián)合和OAuth這樣的標準。這些標準為交換安全信息定義了協(xié)議，這些信息包括用戶和實施身份認證組件，比如安全令牌。由于這些協(xié)議是廠商中立的，運行不同身份認證系統(tǒng)的組織機構(gòu)可以合并。AaaS提供商市場上包括Ping Identity、Okta、OneLogin、Centrify、Symplified和McAfee Cloud Identity Manager這些廠商。

由于很多AaaS提供商提供相同的核心身份認證功能，他們就通過其他的服務和性能區(qū)別自身。部署AaaS的最終目標就是控制應用和系統(tǒng)帶的訪問，因此為了選出適合你的組織機構(gòu)的AaaS提供商，評估這些特性，并且考慮它同你的現(xiàn)有應用和服務之間的互操作性。

一個AaaS提供商能夠支持認證機制至關(guān)重要。密碼的局限性眾所周知，但是有時候密碼對于IT來說是必不可少的一部分。AaaS提供商可以減緩因為支持密碼策略導致的密碼風險，允許用戶定義自己的用戶基礎(chǔ)規(guī)則。例如，AaaS可能允許用戶定義最小的密碼長度、密碼構(gòu)成規(guī)則、密碼生命周期和再用的最大時常。

雙因子認證比現(xiàn)在部署移動消息服務更簡單。手機和其他的移動設(shè)備排除了單獨雙因子設(shè)備的需求。谷歌為這些服務提供了雙因子認證，而且銀行正在使用雙因子認證來改善在線銀行的安全性。

并不是所有的應用都支持標準，比如SAML和WS聯(lián)合。在這些案例中，密碼是必須的，而且密碼儲藏室是一個提供商服務的必備功能。

組織機構(gòu)擁有許多他們的身份認證細節(jié)放在目錄中，比如活動目錄和LDAP服務器。一個AaaS提供商的服務整合了這些存儲庫，允許更快且更簡單的部署。由于很多組織機構(gòu)使用AaaS，將可能會繼續(xù)使用他們的目錄，理解如何保持目錄和AaaS存儲庫同步很重要。

AaaS提供商典型的提供應用程序接口(API)，開發(fā)者可以用來合并身份認證服務到公司的自定制應用上。一些AaaS提供商也提供整合流行的SaaS應用。如果單點登錄到你的SaaS提供商是你的需求，確保你的SaaS提供商支持候選的AaaS系統(tǒng)。

在AaaS系統(tǒng)中失敗了會導致多個應用無法為廣大用戶使用。要考慮AaaS提供商的可靠性和穩(wěn)定性，服務水平協(xié)議(SLA)應該明確給出可用率以及對于宕機時間的彌補。在你開始解決問題前，回顧一下需求;你可能需要文檔的應用登錄日志信息。不要忘了找出這些具體信息。

AaaS廠商也可以基于他們的能力進行評估，以其符合你的法規(guī)和報告需求。自服務報告且能夠生成審計信息應該穩(wěn)定且可用。

也要考慮可用性問題，比如分配流程以及對于應用門戶的支持，允許用戶，尤其是移動用戶輕松訪問所支持的應用。