日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
如何保證云計算的安全

企業(yè)正在探索將設(shè)備擴(kuò)展到云端,并向市場提供了一些服務(wù),例如:IaaS, PaaS, SaaS。本文將討論信息安全問題的三個挑戰(zhàn):機(jī)密性,完整性和可用性。大多數(shù)企業(yè)分成關(guān)心他們數(shù)據(jù)的所有權(quán)。本文不僅介紹包括IAM在內(nèi)的云計算需要應(yīng)對的安全挑戰(zhàn),還將介紹當(dāng)前用戶訪問云時的認(rèn)證、授權(quán)和審計狀態(tài),以及新興的IAM協(xié)議和標(biāo)準(zhǔn)。

1 介紹

為了理解云計算是什么,首先我們需要獲得關(guān)于它的演變的想法。托夫勒認(rèn)為人類三大文明浪潮:農(nóng)業(yè),工業(yè)和信息時代。 信息時代有幾個子浪潮,我們正朝著云計算的方向發(fā)展。它指的是通過互聯(lián)網(wǎng)或基于云基礎(chǔ)設(shè)施提供服務(wù)。云計算將為市場帶來幾個優(yōu)勢,其中最重要的三項是:成本效益,安全性和可擴(kuò)展性。我們主要關(guān)心的是討論一些用于保護(hù)云用戶的安全I(xiàn)AM協(xié)議,并總結(jié)出哪些協(xié)議最適合企業(yè)、哪些正在朝傷害云服務(wù)的方向發(fā)展。

最近,很多企業(yè)都在分析云技術(shù)在節(jié)約成本的應(yīng)用,而忽略了云服務(wù)提供商(CSP)提供了什么級別的安全保障。只通過一個維度去衡量收益是很困難的,正如Richard Mayo 和 Charles Perng在IBM的一項研究中關(guān)于云計算Rate of Interest(Rol)的討論。Rol基于表中的五個維度。

Saving Factor Cost Factor
Hardware 服務(wù)器減少數(shù)量/ 節(jié)省空間花費/電費節(jié)省
Sofeware OS減少/ 不同實施軟件的支持和維護(hù)成本減少
自動配置 減少配置每項任務(wù)所需的小時數(shù)
生產(chǎn)效率 用戶友好,減少員工等待IT支持時間
系統(tǒng)管理 提高管理員和支持人員的工作效率,并為每個管理員提供更多系統(tǒng)支持

下圖中是一個案例結(jié)果,一個銀行需要大量的server來管理業(yè)務(wù),他們的業(yè)務(wù)比較適合云。

在不久的將來,云計算支出將快速增長,“美國政府2010年至2015年的項目將在云計算方向支出增加40%,年復(fù)合利率增長達(dá)700萬美元?!背杀拘б媸鞘褂迷朴嬎愕闹饕獎訖C(jī)之一。但是我們應(yīng)該考慮其他挑戰(zhàn),例如安全性。企業(yè)將上傳其數(shù)據(jù)庫,用戶相關(guān)信息,并且在某些情況下,整個基礎(chǔ)架構(gòu)將托管在云中。企業(yè)對CSP的安全級別是否滿意?

本文中我們主要關(guān)注數(shù)據(jù)安全方面,即云中的IAM。首先,我們將在第二節(jié)中概述當(dāng)前云計算架構(gòu),在第三節(jié)中討論安全和隱私需求。在了解需求之后,我們將在第四節(jié)詳細(xì)討論IAM挑戰(zhàn)。此外,IAM生命周期和一些協(xié)議分別在第五節(jié)和第六節(jié)討論。第七部分是IAM通過云服務(wù)的最佳實踐,如身份管理即服務(wù)(IDaaS)。最后,在第八節(jié)中總結(jié)。

2 云計算結(jié)構(gòu)

云計算系統(tǒng)類型

主要有三種系統(tǒng)類別:IaaS, PaaS, IaaS,下面詳細(xì)介紹:

SaaS傳統(tǒng)軟件用戶將其安裝到硬盤然后使用。在云中,用戶不需要購買軟件,而是基于服務(wù)付費。它支持多租戶,這意味著后端基礎(chǔ)架構(gòu)由多個用戶共享,但邏輯上它沒每個 用戶是唯一的。PaaSPaaS將開發(fā)環(huán)境作為服務(wù)提供。開發(fā)人員將使用供應(yīng)商的代碼塊來創(chuàng)建他們自己的應(yīng)用程序。該平臺將托管在云中,并將使用瀏覽器進(jìn)行訪問。IaaS在IaaS中,供應(yīng)商將基礎(chǔ)架構(gòu)作為一項服務(wù)提供給客戶,這種服務(wù)以技術(shù),數(shù)據(jù)中心和IT服務(wù)的形式提供,相當(dāng)于商業(yè)世界中的傳統(tǒng)“外包”,但費用和努力要少得多。主要目的是根據(jù)所需的應(yīng)用程序為客戶定制解決方案。表2顯示了幾個提供商當(dāng)前使用的云計算服務(wù)。

Examples of Cloud Service

這里有一些云服務(wù)商及代表性的云服務(wù)舉例。本文重點介紹提供安全環(huán)境的身份管理和技術(shù)。具體來說,IAM安全性可以通過石洞的協(xié)議和標(biāo)準(zhǔn)來實現(xiàn)。為了理解云中IAM安全性需求,本文將在下一節(jié)討論云計算的安全性和隱私性。

3 CLOUD SECURITY AND PRIVACY

在云計算中,用戶數(shù)據(jù)存儲在服務(wù)提供商的數(shù)據(jù)中心而不是存儲在用戶的計算機(jī)上。這會讓用戶擔(dān)心他們的隱私。此外轉(zhuǎn)向集中式云服務(wù)將導(dǎo)致用戶的隱私和安全漏洞。部署期間可能會發(fā)生安全威脅;也可能會出現(xiàn)新的威脅。云環(huán)境應(yīng)該保持?jǐn)?shù)據(jù)完整性和用戶隱私,同時增強(qiáng)跨多個云服務(wù)提供商的互操作性。因此,我們想討論云中的數(shù)據(jù)完整性,機(jī)密性,可用性。與數(shù)據(jù)安全相關(guān)的三個方面:- Network Level云服務(wù)提供商將監(jiān)控、維護(hù)和收集有關(guān)防火墻、入侵檢測/防御以及網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)流信息。- Host Level收集系統(tǒng)日志文件是非常重要的,可以知道何時何地app被登錄過- Application Level審計app日志,結(jié)果可能被用于事件響應(yīng)或數(shù)字認(rèn)證

在每個層面上都需要滿足安全要求,以保護(hù)云中的數(shù)據(jù)安全性,如機(jī)密性,完整性和可用性,如下:A. 機(jī)密性確保云中用戶數(shù)據(jù)不能被未授權(quán)訪問。這可以通過考慮加密技術(shù)實現(xiàn):對稱或不對稱加密算法,以及對稱密碼情況下的密鑰長度和密鑰管理。這都是依賴云服務(wù)提供商。EMC MozyEnterprise采用加密技術(shù)保護(hù)用戶數(shù)據(jù),而Amazon S3沒有使用加密技術(shù),這也依賴于客戶意識到他們可以在上傳信息之前加密。CSP應(yīng)保證加密技術(shù)符合NIST(美國標(biāo)準(zhǔn)局)標(biāo)準(zhǔn)B. 完整性除了數(shù)據(jù)機(jī)密性之外,用戶還關(guān)注數(shù)據(jù)的完整性。加密技術(shù)可以提供機(jī)密性,主要有兩種方法提供完整性保障:消息認(rèn)證碼(MAC)和數(shù)據(jù)簽名(DS)。在MAC中,它基于對稱密鑰提供附加數(shù)據(jù)的校驗和。在DS算法中,它依賴于非對稱密鑰對。由于對稱算法比非對稱算法快的多,在這種情況下,我們認(rèn)為MAC將提供完整性檢查機(jī)制的最佳方案。研究表明,PaaS和SaaS不提供任何完整性保護(hù),在這種情況下,確保數(shù)據(jù)完整性至關(guān)重要。C. 可用性另一個問題是通過授權(quán)的用戶請求數(shù)據(jù)時的可用性。最強(qiáng)大的技術(shù)是通過避免威脅影響服務(wù)或數(shù)據(jù)的可用性來預(yù)防。監(jiān)測針對可用性的威脅非常困難。以可用性為目標(biāo)的威脅可能是網(wǎng)絡(luò)的攻擊,例如DDoS攻擊或CSP的可用性,例如AWS S3在2008年遭受兩個半小時停電以及2008年7月停電8小時。

在下一節(jié)中,我們將通過一些協(xié)議如SAML,OAuth以及二者之間的比較來討論IAM實踐,得出最佳方案。

4 IAM

身份和訪問管理可以定義為通過規(guī)則和策略為企業(yè)資源和數(shù)據(jù)提供適當(dāng)級別的保護(hù)的方法,這些規(guī)則和策略通過各種技術(shù)強(qiáng)制執(zhí)行,例如強(qiáng)制登錄密碼,為用戶分配權(quán)限和設(shè)置用戶賬戶。但是,定義不限于企業(yè)資源,同樣為用戶個人信息和行為提供隱私和保護(hù)。大部分企業(yè)的基于不同的信息系統(tǒng)提供服務(wù),管理這些用戶信息并提供隱私和保護(hù)將是一大挑戰(zhàn)。

管理數(shù)字身份是不夠的,除非我們能描述與用戶數(shù)字身份相關(guān)的兩個主要用戶屬性:存在(在線)和位置。這三種特征用于當(dāng)今的技術(shù)中。存在與實時通信系統(tǒng)相關(guān)聯(lián),例如:IM及VoIP,其中提供關(guān)于通信期間或通信之后用戶狀態(tài)的所有必須描述,無論他們是空閑還是活動,在線還是脫機(jī),并且在某些情況下提供他們正在執(zhí)行的一些特定任務(wù),例如寫文檔或電子郵件。位置信息指用戶的地理位置,如經(jīng)緯度和高度,實體的IP可以指定的地理位置。

A. Challenges

  • 任何企業(yè)在管理身份方面面臨的主要挑戰(zhàn)來自一個企業(yè)的用戶群體-客戶,雇主,合作伙伴等
  • 根據(jù)市場業(yè)務(wù)及其功能,調(diào)整和維護(hù)組織內(nèi)員工流動
  • 在兼并和分拆情況下處理用戶身份
  • 避免身份,屬性和憑證的重復(fù)

上述的挑戰(zhàn)和其他一些挑戰(zhàn),讓企業(yè)尋求幾種和自動化的身份管理系統(tǒng)。這為我們引入聯(lián)邦用戶的概念。它是企業(yè)群體之間既有某種信任關(guān)系的合約,以便用戶可以使用相同的標(biāo)識從授信的組獲得服務(wù)。核心職責(zé)是管理組織內(nèi)部網(wǎng)絡(luò)之外的服務(wù)訪問控制。聯(lián)邦支持單點登錄(SSO)技術(shù),用戶不必多次登錄或記住每個云特定服務(wù)的注冊信息。

因此,我們想討論當(dāng)前IAM的實踐,這對正在使用云計算的用戶在提供認(rèn)證、授權(quán)和審計有所幫助:- 認(rèn)證云計算認(rèn)證設(shè)計驗證用戶或系統(tǒng)的身份,例如,服務(wù)到服務(wù)的認(rèn)證涉及對由另一個服務(wù)發(fā)來的請求信息驗證。- 授權(quán)一旦認(rèn)證過程成功,確定權(quán)限的過程就可以提供給合法用戶,在這個階段,系統(tǒng)將執(zhí)行安全策略。- 審計這是審查和檢驗授權(quán)和認(rèn)證記錄的過程,以檢查是否符合預(yù)定義的安全標(biāo)準(zhǔn)和政策。此外,它將有助于監(jiān)測系統(tǒng)維護(hù)。

B. 云環(huán)境準(zhǔn)備

為準(zhǔn)備好云,企業(yè)需要準(zhǔn)備IAM策略,結(jié)構(gòu),了解IAM生命周期并制定好哪些設(shè)備型號將支持聯(lián)邦身份,要求如下:- 定義身份信息的授權(quán)來源- 為用戶配置文件定義必需的屬性- 定義企業(yè)內(nèi)部身份管理系統(tǒng)的當(dāng)前結(jié)構(gòu)- 實施支持SSO技術(shù)的身份提供商,如OpenID,Microsoft CardSpace和Microsoft Novell Digital Me- 身份提供商與公司內(nèi)部構(gòu)建目錄兼容

為了管理數(shù)字身份,我們應(yīng)該知道數(shù)字身份將通過哪些不同階段,從而為該階段提供合適的安全級別。這個討論引導(dǎo)我們討論IAM生命周期。在下一節(jié)我們將描述數(shù)字身份生命周期。

5 IAM 生命周期

在這個階段,我們應(yīng)該考慮身份生命周期所經(jīng)歷的不同階段。一個重要的問題是:我們應(yīng)該關(guān)注從用戶的身份創(chuàng)建,使用和終止之后都發(fā)生了什么。根據(jù)Mather, Kumarasuamy and Latif,數(shù)字身份管理應(yīng)該經(jīng)過如下五個階段:- 配置和取消配置在此過程中,將根據(jù)組織中的角色為用戶分配必要的信息訪問權(quán)限,并且在用戶權(quán)限升級或降級的情況下,將分配適當(dāng)?shù)脑L問角色。 這個過程需要大量的時間,精力和工作人員來保持身份分配的權(quán)限盡可能充分。但是,使用身份管理即服務(wù)(IDaaS)等適當(dāng)技術(shù)的云管理可以減輕組織的負(fù)擔(dān)。- 認(rèn)證和授權(quán)將需要一個中央身份驗證和授權(quán)基礎(chǔ)架構(gòu)來構(gòu)建滿足組織業(yè)務(wù)目標(biāo)的自定義身份驗證和授權(quán)模型。擁有這樣的模型將執(zhí)行應(yīng)該遵循的安全策略來保護(hù)應(yīng)用程序和數(shù)據(jù)庫。- 自助服務(wù)在身份管理中啟用自助服務(wù)將加強(qiáng)身份管理系統(tǒng)。在這個階段,用戶可以重置密碼,維護(hù)和更新自己的信息并查看查看能力。來自任何位置的組織信息。- 密碼管理通過實施支持單點登錄(SSO)訪問云基服務(wù)的聯(lián)合系統(tǒng)。密碼管理包括如何使用MD5或SHA1as將密碼存儲在云數(shù)據(jù)庫中。- 檢查和審計在這個過程中,訪問將被監(jiān)控和跟蹤,以確保系統(tǒng)中不存在安全漏洞。它還將幫助審計人員驗證不同訪問控制策略的執(zhí)行情況,定期審計和報告。

6 IAM 標(biāo)準(zhǔn)和協(xié)議

以前,我們討論了應(yīng)用IAM結(jié)構(gòu)的要求是什么。在下文中,我們將討論一些標(biāo)準(zhǔn)和協(xié)議來管理云中的身份;然而,這里值得一提的是,IAM標(biāo)準(zhǔn)和協(xié)議應(yīng)該由雙方來考慮:組織和消費者。

在本文中,我們主要關(guān)心的是討論組織如何使用協(xié)議來處理IAM。有幾種協(xié)議和標(biāo)準(zhǔn)企業(yè)應(yīng)該考慮,如:安全聲明標(biāo)記語言(SAML)和開放認(rèn)證(OAuth)協(xié)議。下面將分別詳細(xì)介紹,如下所述:

A. SAML

SAML 基于XML標(biāo)準(zhǔn),用作交換兩個實體(在云計算場景下,身份提供商IdP和云服務(wù)提供商CSP)之間的授權(quán)和認(rèn)證屬性的工具。SAML主要目標(biāo)是通過互聯(lián)網(wǎng)支持SSO。有不同版本的SAML,支持?jǐn)?shù)字簽名和加密,下面例子幫助理解用戶, IdP和CSP之間基于SAML的SSO。- 1,User 請求CSP的網(wǎng)頁- 2,CSP返回將用戶瀏覽器重定向到idp網(wǎng)站- 3,用戶瀏覽器處理重定向,訪問IDP- 4,IdP和用戶之間的身份驗證協(xié)議進(jìn)行身份驗證。- 5,IdP使用編碼的SAML向用戶做出響應(yīng)。- 6,用戶瀏覽器將SAML響應(yīng)發(fā)送到CSP訪問URL- 7,csp將信息返回用戶

B. OAuth

OAuth是一個非常具有互動性和趣味性的協(xié)議,它允許一個CSP用戶與另一個CSP共享他們的照片、文件等私人資源,而不會暴露用戶名和密碼等個人身份信息。它的主要目標(biāo)是為安全API的授權(quán)訪問提供開放的標(biāo)準(zhǔn)。從CSP的角度來看,它提供了一項服務(wù),用戶可以在不透露身份憑證的情況下訪問托管在不同服務(wù)提供商處的可編程應(yīng)用程序。例如,消費者(網(wǎng)站或代表用戶訪問存儲文件的應(yīng)用程序)從存儲文件的服務(wù)提供商那里請求打印服務(wù),結(jié)果打印將被執(zhí)行而不透露文件所有者證書。使用OAuth協(xié)議的用戶和服務(wù)提供商之間的通信過程如下:- 1,web app 訪問Google賬戶認(rèn)證服務(wù)請求OAuth request token- 2,Google返回未授權(quán)請求token- 3,web app重定向User到Google web 認(rèn)證頁面,授權(quán)請求token- 4,用戶訪問Google認(rèn)證頁面,確認(rèn)是否同意web app訪問用戶數(shù)據(jù)- 5,如果用戶拒絕訪問,用戶將被重定向到Google page- 6,如果授權(quán)訪問,用戶將重定向到web app頁面,并包含授權(quán)的請求token- 7,授權(quán)的請求token會在web app和Google 認(rèn)證服務(wù)之間進(jìn)行交換- 8,Google確認(rèn)請求并發(fā)送Access Token- 9,web app攜帶Access Token訪問Google service用戶數(shù)據(jù)- 10,Google Service驗證Access Token,通過后返回用戶請求的數(shù)據(jù)

7 WHICH IS BETTER SOLUTION

很難說哪一個協(xié)議更好,它完全依賴于組織的行為來實現(xiàn)其業(yè)務(wù)目標(biāo)。由于技術(shù)重疊,大多數(shù)CSP可能更愿意使用多個認(rèn)證協(xié)議來提供更好的安全模型來控制其用戶身份。SAML常用于企業(yè)和學(xué)校,用戶只需登錄一次,即可在內(nèi)部或外部與其他網(wǎng)站進(jìn)行身份驗證。SAML是數(shù)字身份“企業(yè)”組的一部分,它擁有更多的經(jīng)驗,并且其庫已經(jīng)開發(fā)了很長時間。但是,在OAuth中,它屬于“開放源代碼”庫,其中這些庫是新的庫,需要做更多工作來改進(jìn)此類別的協(xié)議。從我們的角度來看,OAuth將成為研究人員改善它的非常有競爭力的環(huán)境。但是,SAML將成為在云中部署SSO和聯(lián)盟的最佳選擇。SAML已經(jīng)成熟并且暴露于各種漏洞和威脅之中,因此我們建議將它作為部署IAM安全性和維護(hù)用戶信息隱私的最佳解決方案。

8 IDENTITY MANAGEMENT-AS-A-SERVICE

由于云環(huán)境達(dá)到服務(wù)提供商可以提供任何服務(wù)(XaaS)的水平,這將導(dǎo)致我們考慮外包身份提供商,如服務(wù)(IDaaS)。然而,大多數(shù)組織可能傾向于外包合作伙伴和消費者身份管理,但他們有義務(wù)管理其員工身份和內(nèi)部資源訪問權(quán)限。該模型基于軟件即服務(wù)(SaaS),支持多種服務(wù),例如:賬戶配置,審計,密碼管理和用戶自助服務(wù)。通過采用這種架構(gòu),組織可以完全自動化用戶賬戶的提供和審計。市場上有多種解決方案可以提供身份管理,例如:簡化和Ping身份。

外包身份管理的主要優(yōu)勢是擁有一個多協(xié)議環(huán)境,其中包含SAML,OAuth等等,以便與不同的云服務(wù)聯(lián)合系統(tǒng)進(jìn)行交互。 在通過瀏覽器SSO訪問任何基于云的服務(wù)之前,IDaaS將對用戶進(jìn)行身份驗證。

與任何基于云的服務(wù)一樣,任何組織都可以采用這種模式,這會有一點變化或者沒有任何變化。IDaaS的主要缺點是企業(yè)不知道CSP的結(jié)構(gòu),實施和服務(wù)。此外,生成的有關(guān)用戶的報告可能與組織要求不匹配,即使有編輯報告的功能,它也會限制為CSP功能。

9 總結(jié)

總之,云計算對于商業(yè)世界來說是非常有吸引力的環(huán)境,因為它以非常經(jīng)濟(jì)高效的方式提供所需的服務(wù)。但是,確保和加強(qiáng)安全和隱私實踐將吸引更多企業(yè)進(jìn)入云計算的世界。應(yīng)適當(dāng)實施IAM,確保云計算管理的相互認(rèn)證,授權(quán)和審計。我們主要關(guān)心的是討論一些用于保護(hù)云用戶的安全I(xiàn)AM協(xié)議,并總結(jié)出哪些協(xié)議最適合正在使用云服務(wù)的組織。


網(wǎng)站題目:如何保證云計算的安全
當(dāng)前URL:http://m.5511xx.com/article/cdioiso.html