私有云下的身份与管理解决方案.docxVIP

PAGE 1 PAGE 1 私有云下的身份与管理解决方案  针对企业迁入云中面临的资源管理的有效性和安全性问题，提出了特地针对私有云下的全面的身份与管理解决方案。方案从身份管理、隐私保护、单点登录以及访问掌握角度动身，分别使用数据同步服务、多重手段认证、SAML2．0规范引入以及XACML协议与RBAC模型相结合等技术手段实现云环境下集成化、一站式的身份与访问安全管理。该方案结合多种技术手段，有效解决了企业迁入云中后面临的安全管理风险，提高了企业的资源管理效率。  　　信息化时代，企业分布式管理模式的广泛应用使当今的IT系统管理变得复杂，企业必需供应一个全方位的资源端详以确保企业资源的有效访问和管理。而云计算的不断发展使得众企业将服务迁往云中以获得更高的利益?。企业迁入云中后，信息资源放在云端，其安全性又受到了新的威逼。为了提高云中各系统资源的安全性，企业必需供应更高层次的保密性以实现对云中资源的安全访问和管理。构建云环境下安全有效的资源访问以实现业务规律的增值已成为众多企业的最新选择。  　　身份与访问安全集中管理系统(IdentityandAccessManagement，IAM)是一套全面的建立和维护数字身份，并供应有效、安全的IT资源的业务流程和管理手段，从根本上实现了组织信息资产统一的身份认证、授权和身份数据集中管理与审计。企业引入IAM后能够简化企业用户管理，提高网络资源的访问安全，降低应用成本，给企业带来利润。文中提出一种全面的针对企业私有云的身份与管理解决方案。该方案是从综合治理角度动身建立的一套集成化、一站式的身份与访问安全管理解决方案，帮助企业有效解决在身份生命周期管理、统一身份认证、企业IT系统集成及单点登录、授权与访问掌握管理等方面存在的问题。  　　1、云中的身份认证与访问管理  　　企业迁入云中给企业带来巨大利益的同时也带来了诸多的安全风险。一方面，传统的IAM方案中用户的身份存储通过多个管理员手动输入实现，开通过程缺乏标准的规范指导，使得访问效率低下；对内部及外部服务的不同员工用户群的访问管理则采用不同目录、不同管理用户身份和访问权限的Web页面，在企业的安全性、合规性等方面给企业带来了极大风险。另一方面，云计算的快速发展使得众多企业选择建立自己的私有云服务，而IAM向云的迁移又给企业带来了新的挑战。传统的企业机构中，应用程序部署在机构的范围内，“信任边界”处于IT部门的检测掌握之下，是静态的。而当采用云服务后，机构的信任边界变成了动态的，并且迁移到IT掌握范围之外。掌握权的丢失给传统的信任管理和掌握模式带来了巨大的挑战。下面介绍云中IAM需要解决的问题。  　　1.1身份管理  　　对企业接受云计算服务机构的主要挑战之一是在云端安全和准时地管理报到(即创建和更新账户)和离职(即删除用户账户)的用户。企业私有云中的用户是动态变化的，用户的角色和职责经常会因为业务因素而变化，同时，各组织机构内还存在用户流淌的问题。针对用户的移动性，各组织机构应加强和改进对访问内部及外部服务的不同用户群的访问管理。  　　传统云中，不同系统间的信息交换采用手动方式将数据同步到云中的各应用系统中。当用户发生变动时，手动方式的更新在造成效率降低的同时也给云中不同系统间信息的安全性造成了威逼，一些恶意内部人员对用户机密信息的丢失和泄露将使企业遭受重大的损失。  　　1.2隐私保护及认证  　　云中资源的开放性使用户对资源的使用更加便利，但同时也为一些居心叵测者供应了更多的漏洞。用户信息放在云端，并被过度采集造成信息的泄露危急。为保障用户信息的安全性，最主要的是对用户访问者的身份进行管理、认证，然后进行适当的授权，让他只能够接触到他这个授权水平所能够接触到的数据。  　　身份认证是信息系统对访问者身份合法性的检查，云中各系统拥有独立的身份认证方式或模型，认证强度和标准不统一，管理、运维和用户成本随系统规模的增加而增加。当企业迁入云中开始利用云端服务时，以可信任及易于管理的方式来认证用户是一个至关重要的要求。  　　目前现有的IAM方案多数不支持国产商密算法并且具有安全漏洞，面向的用户范围狭窄，其在技术实现上缺乏扩展性的考虑，与采用各种技术的云平台进行衔接的难度较大，无法保障云入口的安全管理。  　　1.3单点登录  　　用户访问云中的系统资源时需要重复登录系统进行身份认证，给用户带来繁琐的同时也降低了资源的访问效率。单点登录技术实现了一次登录而安全访问云中的全部系统资源，提高了云中资源访问的便捷性和敏捷性。但传统单点登录技术缺乏一个突出的标准来实现身份信息的交换，用来保证信息交换过程的安全性和有效性。