數(shù)十年專注企業(yè)數(shù)字化轉(zhuǎn)型、智能化升級(jí)、企業(yè)上云解決方案服務(wù)商
工單提交 騰佑科技咨詢熱線咨詢熱線: 400-996-8756
百度云服務(wù)中心騰佑科技公司
云服務(wù)器活動(dòng) 服務(wù)器租用 服務(wù)器托管 機(jī)柜租賃 帶寬租賃
  • 最新資訊
  • 熱門資訊
  • 最熱資訊
智能建站

輕松學(xué)習(xí)云服務(wù)器安全知識(shí)

發(fā)布時(shí)間:2016-08-18 作者:admin

簡(jiǎn)述:現(xiàn)如今,云服務(wù)器可以說正在推動(dòng)著新的安全服務(wù)呈現(xiàn)爆炸似增長(zhǎng),但并不是每家企業(yè)都能夠同樣挖掘到,并充分利用這一趨勢(shì)。盡管身份即服務(wù)(IDaaS)和云計(jì)算正在改變著中小型企業(yè)的市場(chǎng)競(jìng)爭(zhēng)游戲規(guī)則,而那些財(cái)富

現(xiàn)如今,云服務(wù)器可以說正在推動(dòng)著新的安全服務(wù)呈現(xiàn)爆炸似增長(zhǎng),但并不是每家企業(yè)都能夠同樣挖掘到,并充分利用這一趨勢(shì)。盡管身份即服務(wù)(IDaaS)和云計(jì)算正在改變著中小型企業(yè)的市場(chǎng)競(jìng)爭(zhēng)游戲規(guī)則,而那些財(cái)富1000強(qiáng)的企業(yè)鑒于其自身龐大的規(guī)模和復(fù)雜性的熱特點(diǎn),使得這些已經(jīng)創(chuàng)建了多年的老字號(hào)企業(yè)難以徹底的超越其邊界安全。他們的客戶群可能已經(jīng)覆蓋了全局范圍,但其基礎(chǔ)設(shè)施架構(gòu)是如此的復(fù)雜——因此,確保這些基礎(chǔ)設(shè)施架構(gòu)的安全是最為重要的——畢竟,這些公司并不具備將其導(dǎo)航到新的服務(wù)層的敏捷性。

既然規(guī)模較小的企業(yè)可以很容易地將他們的身份基礎(chǔ)設(shè)施實(shí)施外包,但為什么對(duì)于大型企業(yè)而言,想要遷移到云服務(wù)就變得如此的困難呢?今天,當(dāng)涉及到應(yīng)用程序和安全時(shí),規(guī)??捎^的大型企業(yè)正面臨著兩種不同的發(fā)展趨勢(shì)。首先,他們需要負(fù)責(zé)為更多的來自不同地理位置、采用更多不同的設(shè)備、提供比以往任何時(shí)候都更多的應(yīng)用程序的安全訪問。第二,身份數(shù)據(jù)源的數(shù)量和表現(xiàn)的多樣性——LDAP、AD、SQL、API——也正在以相同的速率瘋狂增長(zhǎng),而這種瘋狂增長(zhǎng)的速率可謂是指數(shù)級(jí)的。

如此多的異質(zhì)性正推動(dòng)著傳統(tǒng)的身份識(shí)別和訪問管理(IAM)超出了突破點(diǎn)的邊界,而此時(shí),確保訪問的安全性正變得越來越重要,而鑒于當(dāng)前身份系統(tǒng)的復(fù)雜性和高度分散的特點(diǎn),這一點(diǎn)也越來越難以保證。所有這一切帶來了一個(gè)經(jīng)典的n-squared的問題,即許多企業(yè)正試圖通過很多的硬編碼以便將許多不同的數(shù)據(jù)來源連接起來,每個(gè)都有自己的安全協(xié)議和數(shù)據(jù)訪問要求。其所導(dǎo)致的結(jié)果是:成本昂貴的定制部署和更大的復(fù)雜性。

確保云安全訪問的五大步驟

不同的數(shù)據(jù)存儲(chǔ)和應(yīng)用程序之間的自定義編碼連接的成本可能是非常昂貴的。

好消息是:在跨Web和云應(yīng)用程序的安全性和單點(diǎn)登錄(SSO)領(lǐng)域,這個(gè)n到n的問題正推動(dòng)著諸如安全斷言標(biāo)記語言(SAML,SecurityAssertionMarkupLanguage)、OAuth和OpenID連接等聯(lián)盟標(biāo)準(zhǔn)的快速普及應(yīng)用。但是,許多企業(yè)發(fā)現(xiàn),較之訪問一些“抽象”的身份提供者的簡(jiǎn)單的聯(lián)盟要求,部署聯(lián)盟標(biāo)準(zhǔn)的要求更多。

確保云安全訪問的五大步驟

雖然聯(lián)盟標(biāo)準(zhǔn)匯集整合了對(duì)于身份提供商的訪問,但身份集成整合往往需要為您的身份提供商提供有凝聚力的觀點(diǎn),以匹配使用應(yīng)用程序的需要。

為了促成這個(gè)的操作,需要某種形式的智能規(guī)范化和身份數(shù)據(jù)的整合。對(duì)于那些并非是待開發(fā)部署,其身份信息是存在于一個(gè)獨(dú)特的、有效驗(yàn)證狀態(tài)的已經(jīng)成立多年的大企業(yè)而言,是一個(gè)很大的挑戰(zhàn)。

在理想的狀態(tài)下,身份提供者應(yīng)該能夠?yàn)樯矸蒡?yàn)證請(qǐng)求調(diào)用一個(gè)單一的標(biāo)準(zhǔn)化的身份驗(yàn)證。但大多數(shù)財(cái)富1000強(qiáng)企業(yè)都正在處理分散的身份基礎(chǔ)設(shè)施的問題,其中身份數(shù)據(jù)信息和屬性是分散在不同的身份數(shù)據(jù)存儲(chǔ)的。身份提供者的目的并非是要跨數(shù)據(jù)孤島或理清協(xié)議差異來找到用戶和用戶重疊(雖然有產(chǎn)品做到了這一點(diǎn))。其需要一個(gè)統(tǒng)一的,標(biāo)準(zhǔn)化的身份視圖,以便可以驗(yàn)證用戶,并發(fā)出相應(yīng)的指令,連接這些用戶到網(wǎng)絡(luò)或在安全邊界以外基于云的應(yīng)用程序。

但是,對(duì)于大多數(shù)大型企業(yè)而言,跨多種不同的分布式架構(gòu)提出一個(gè)全局性的用戶視野并不是一個(gè)快速或簡(jiǎn)單的任務(wù)。您所需要的是某種形式的集成層,其也可以聯(lián)合您企業(yè)的身份來源——如同SAML和其他聯(lián)盟成員訪問協(xié)議本身一樣。所有這些數(shù)據(jù)源必須是聯(lián)合的,因?yàn)槊恳粋€(gè)都包含需要從現(xiàn)有數(shù)據(jù)中進(jìn)行協(xié)調(diào)的屬性或身份信息片段。畢竟,在過去,沒有財(cái)富1000強(qiáng)公司曾開始過他們?cè)谶@方面的業(yè)務(wù)。

確保云安全訪問的五大步驟

在聯(lián)合層集成和協(xié)調(diào)身份。

并非要在所有這些復(fù)雜性之上強(qiáng)加一個(gè)獨(dú)特的集中式系統(tǒng),一個(gè)聯(lián)合您身份數(shù)據(jù)源的整合應(yīng)能夠提供整個(gè)系統(tǒng)的合理化觀點(diǎn),所有用以響應(yīng)新的需求和機(jī)會(huì)所需要的靈活性。通過整合跨數(shù)據(jù)孤島的身份數(shù)據(jù)和屬性,這種聯(lián)合身份層建立并維護(hù)了一個(gè)全局性的用戶列表,能夠跨所有企業(yè)系統(tǒng)實(shí)施動(dòng)態(tài)策劃,然后映射數(shù)據(jù),以滿足各個(gè)消費(fèi)應(yīng)用程序的獨(dú)特要求。

借助一個(gè)聯(lián)合身份層,您的身份提供者可以對(duì)身份實(shí)施一種理性的,普遍的驗(yàn)證,同時(shí)每個(gè)用戶對(duì)于其自己的數(shù)據(jù)都有存儲(chǔ)維護(hù)自主權(quán)。當(dāng)然,任何變更都將需要自動(dòng)同步,并最好盡可能接近實(shí)時(shí)的自動(dòng)同步。通過跟蹤所有用戶及其相關(guān)身份信息,包括多個(gè)或重疊的用戶名,這個(gè)聯(lián)合身份層可以幫助實(shí)現(xiàn)所有應(yīng)用程序的快速,準(zhǔn)確的身份驗(yàn)證和授權(quán)。

如下,是當(dāng)企業(yè)在建立聯(lián)合身份層時(shí)牢牢記住的幾項(xiàng)基本步驟。

1、盤點(diǎn)當(dāng)前的數(shù)據(jù)源,并提取和統(tǒng)一元數(shù)據(jù)

構(gòu)建一個(gè)身份集成整合層的第一步是要對(duì)于您企業(yè)所有的終端有一個(gè)充分的了解。您需要對(duì)所有您企業(yè)正擴(kuò)展訪問的用戶存儲(chǔ)進(jìn)行盤點(diǎn),同時(shí)要了解每款應(yīng)用程序在底層是如何與這些存儲(chǔ)交互的,包括其如何驗(yàn)證和收集授權(quán)信息,以及它們發(fā)送了哪些查詢,它們期望哪類層次結(jié)構(gòu)。一旦這一步完成了,您的整合層就可以開始了解數(shù)據(jù)的關(guān)系了(例如,在存儲(chǔ)中是否有相同的用戶,以及這些重復(fù)帳戶將如何進(jìn)行協(xié)調(diào)),使其能夠跨整個(gè)企業(yè)的每一個(gè)應(yīng)用程序以所需要的方式提供完整的身份信息。

大型企業(yè)往往跨存儲(chǔ)庫(kù)陣列存儲(chǔ)身份和屬性信息,每個(gè)使用不同的協(xié)議和數(shù)據(jù)模型。一款智能聯(lián)合身份系統(tǒng)則應(yīng)能彌合這些不同的系統(tǒng),以創(chuàng)建一個(gè)通用對(duì)象模型。這樣的系統(tǒng)必須能夠發(fā)現(xiàn)并提取元數(shù)據(jù),或身份信息,并讓每個(gè)數(shù)據(jù)源映射該信息到一個(gè)共同的命名。這是能夠讓關(guān)聯(lián)身份信息和由應(yīng)用程序消耗的格式代表唯一身份信息的關(guān)鍵。如果跨整個(gè)數(shù)據(jù)源沒有用戶的重疊,所有身份的一個(gè)集合通常是足夠的。如果相同用戶位于多個(gè)數(shù)據(jù)源,則需要關(guān)聯(lián)邏輯以連接這些常見的帳戶,使它們?cè)谔摂M視圖僅代表一次。

2、聚合和關(guān)聯(lián)身份信息,以建立一個(gè)獨(dú)特的參考列表

當(dāng)大型企業(yè)在嘗試遷移到云服務(wù)時(shí),他們所面臨的其中一個(gè)主要挑戰(zhàn)不僅僅是多個(gè)用戶存儲(chǔ)的問題,而是跨越這些存儲(chǔ)的用戶重疊的問題。這是建立聯(lián)盟身份的一個(gè)主要障礙。理想的身份驗(yàn)證的基礎(chǔ)是一份單一的全局用戶列表,其中每個(gè)用戶只有一個(gè)賬號(hào),而沒有跨所有那些用戶可能散落的不同地方的多個(gè)不同的列表。您會(huì)希望所有的用戶屬性位于同一個(gè)邏輯位置進(jìn)行授權(quán)。

解決方案是創(chuàng)建一個(gè)包含了所有用戶配置文件信息的單一列表,而做到這一點(diǎn)的最佳方式則是通過整合跨所有身份存儲(chǔ)的身份信息。一旦您的庫(kù)存盤點(diǎn)完成了之后,您可以從您的后端開始提取模式,然后關(guān)聯(lián)相同的用戶以創(chuàng)建一份全局名單。

對(duì)于最靈活的系統(tǒng),映射所有的身份模式到一個(gè)共同的命名結(jié)構(gòu),并跨身份筒倉(cāng)關(guān)聯(lián)相同的用戶帳戶是必不可少的,以便使得中全局用戶列表中沒有重復(fù)的身份。在用戶位于多個(gè)數(shù)據(jù)源的情況下,系統(tǒng)應(yīng)該保持鏈接到本地身份標(biāo)識(shí)符。這使得在認(rèn)證過程中,系統(tǒng)的認(rèn)證檢查功能更有效——這是加快認(rèn)證過程,促成單點(diǎn)登錄的關(guān)鍵步驟。而不是執(zhí)行一個(gè)耗時(shí)的,需要對(duì)所有的數(shù)據(jù)源執(zhí)行循環(huán)搜索的過程,系統(tǒng)只需檢查用戶存儲(chǔ)有帳戶的這些庫(kù)。

3、加入身份來創(chuàng)建全局配置文件

一旦創(chuàng)建了全局列表,您可以通過加入操作所有本地帳戶的屬性,以豐富用戶的配置文件。不同的應(yīng)用需要一個(gè)用戶身份信息的不同方面,所以重要的是要結(jié)合所有來源的認(rèn)證和授權(quán)到一個(gè)全局配置。通過聯(lián)合所有的身份來源,您可以加入這些方面以形成一個(gè)全局配置,使得身份提供者能夠很容易地訪問,封裝打包到安全指令,用于消費(fèi)應(yīng)用程序。

對(duì)于具有重疊身份的每個(gè)用戶,集成層應(yīng)該能夠從原始身份源和包括它們的全局配置文件提取所有屬性。證書應(yīng)保存在原始數(shù)據(jù)源,而身份相關(guān)確保具有類似名稱的用戶不會(huì)被授予不當(dāng)授權(quán)。

4、合理化群組

不必在多個(gè)源進(jìn)行搜索,以找到群組和成員,身份提供者應(yīng)該只需要搜索集成層以檢查群組成員,超速登錄和訪問。如果您企業(yè)的現(xiàn)有群組足以滿足今天強(qiáng)制執(zhí)行的政策,當(dāng)您在部署聯(lián)合身份層時(shí)不應(yīng)該重做任何工作。這層應(yīng)該虛擬化現(xiàn)有的群組,通過翻譯和DN(專有名稱)進(jìn)行自動(dòng)重映射。

當(dāng)基于群組成員進(jìn)行授權(quán)時(shí),聯(lián)合身份層應(yīng)該能夠合理化和匯總現(xiàn)有的群組,如果需要的話,扁平化嵌套組,甚至跨多個(gè)數(shù)據(jù)源的群組成員執(zhí)行計(jì)算動(dòng)態(tài)。其也應(yīng)該讓您計(jì)算“成員”的價(jià)值,定義群組和用戶的條目本身之間的關(guān)系。

5、緩存速度和可擴(kuò)展性造成的視圖

一種高級(jí)的身份集成整合層位于您企業(yè)當(dāng)前目錄基礎(chǔ)設(shè)施及其所訪問的應(yīng)用程序之間,從后端隔離變化。該層需要高度的可用性,可擴(kuò)展性和快速的交付——有時(shí)甚至比底層的后端更快,以便為所有用戶提供對(duì)于應(yīng)用程序快速和可靠的訪問,無論這些應(yīng)用程序位于何處;是如何存儲(chǔ)的。

這樣的一個(gè)層也應(yīng)該能夠提供一個(gè)基于您企業(yè)的部署要求和環(huán)境的持久性高速緩存的選擇,所以輸入、查詢、或建模視圖均可以緩存,以實(shí)現(xiàn)更高的性能和可用性,實(shí)時(shí)的或基于一個(gè)預(yù)定安排。物化層次視圖的持久性意味著查詢性能將不再受到復(fù)雜的連接和跨多個(gè)數(shù)據(jù)源的搜索所限制。

確保云安全訪問的五大步驟

一份關(guān)于聯(lián)合身份層在聯(lián)合設(shè)計(jì)中適應(yīng)的架構(gòu)建議

借助一個(gè)聯(lián)合身份層,大型企業(yè)可以在簡(jiǎn)化其身份基礎(chǔ)設(shè)施的同時(shí),關(guān)心其現(xiàn)有的投資,使其更容易為自己的身份供應(yīng)商提供信息,并安全地兌現(xiàn)聯(lián)合的承諾。但這一層還提供了一個(gè)靈活的基礎(chǔ)設(shè)施和架構(gòu)模式,超越了聯(lián)合所帶來的直接挑戰(zhàn),使得許多其他的用例,如Web訪問管理認(rèn)證、為高度安全性要求數(shù)據(jù)的細(xì)粒度授權(quán)或應(yīng)用程序、完整的客戶檔案、更快的應(yīng)用部署,甚至并購(gòu)整合變得更容易。構(gòu)建一個(gè)身份整合層可以解決聯(lián)盟的挑戰(zhàn),同時(shí)使企業(yè)能夠解決未來可能出現(xiàn)的任何新的挑戰(zhàn)。

點(diǎn)擊展開全文

鄭州騰佑科技有限公司(以下簡(jiǎn)稱“騰佑科技”)成立于2009年, 總部位于鄭州,是 一家致力于互聯(lián)網(wǎng)服務(wù)業(yè)的高新技術(shù)企業(yè),公司主營(yíng)業(yè)務(wù)以互聯(lián)網(wǎng)數(shù)據(jù)中心、云計(jì)算、人 工智能、軟件開發(fā)、安全服務(wù)“互聯(lián)網(wǎng)+”行業(yè)解決方案及行業(yè)應(yīng)用等相關(guān)業(yè)務(wù)。

售前咨詢熱線:400-996-8756

備案提交:0371-89913068

售后客服:0371-89913000

熱門活動(dòng)

百度云服務(wù)中心
標(biāo)簽:
  • 熱門資訊
  • 隨便看看