企業確定雲安全通路的五大步驟

摘要：對于大型企業而言，他們通往雲計算部署的道路無疑是由身份內建整合和聯合層所鋪設的。那麼，就不妨參考本文，來作為確定您企業對于雲服務的安全通路的相關指南吧。

現如今，雲計算可以說正在推動着新的安全服務呈現爆炸似增長，但并不是每家企業都能夠同樣挖掘到，并充分利用這一趨勢。盡管身份即服務 (idaas) 和雲計算正在改變着中小型企業的市場競争遊戲規則，而那些财富1000強的企業鑒于其自身龐大的規模和複雜性的熱特點，使得這些已經建立了多年的老字号企業難以徹底的超越其邊界安全。他們的客戶群可能已經覆寫了全局範圍，但其基礎設施架構是如此的複雜——是以，確定這些基礎設施架構的安全是最為重要的——畢竟，這些公司并不具備将其導航到新的服務層的靈活性。

既然規模較小的企業可以很容易地将他們的身份基礎設施實施外包，但為什麼對于大型企業而言，想要遷移到雲服務就變得如此的困難呢?今天，當涉及到應用程式和安全時，規模可觀的大型企業正面臨着兩種不同的發展趨勢。首先，他們需要負責為更多的來自不同地理位置、采用更多不同的裝置、提供比以往任何時候都更多的應用程式的安全通路。第二，身份資料源的數量和表現的多樣性——ldap、ad、sql、api——也正在以相同的速率瘋狂增長，而這種瘋狂增長的速率可謂是指數級的。

如此多的異質性正推動着傳統的身份識别和通路管理(iam)超出了突破點的邊界，而此時，確定通路的安全性正變得越來越重要，而鑒于目前身份系統的複雜性和高度分散的特點，這一點也越來越難以保證。所有這一切帶來了一個經典的n-squared的問題，即許多企業正試圖通過很多的寫死以便将許多不同的資料來源連接配接起來，每個都有自己的安全協定和資料通路要求。其所導緻的結果是：成本昂貴的定制部署和更大的複雜性。

　　不同的資料存儲和應用程式之間的自定義編碼連接配接的成本可能是非常昂貴的。

好消息是：在跨web和雲應用程式的安全性和單點登入(sso)領域，這個n到n的問題正推動着諸如安全斷言标記語言(saml，security assertion markup language)、oauth和openid連接配接等聯盟标準的快速普及應用。但是，許多企業發現，較之通路一些“抽象”的身份提供者的簡單的聯盟要求，部署聯盟标準的要求更多。　　

雖然聯盟标準彙集整合了對于身份提供商的通路，但身份內建整合往往需要為您的身份提供商提供有凝聚力的觀點，以比對使用應用程式的需要。

為了促成這個解決方案的操作，需要某種形式的智能規範化和身份資料的整合。對于那些并非是待開發部署，其身份資訊是存在于一個獨特的、有效驗證狀态的已經成立多年的大企業而言，是一個很大的挑戰。

在理想的狀态下，身份提供者應該能夠為身份驗證請求調用一個單一的标準化的身份驗證。但大多數财富1000強企業都正在處理分散的身份基礎設施的問題，其中身份資料資訊和屬性是分散在不同的身份資料存儲的。身份提供者的目的并非是要跨資料孤島或理清協定差異來找到使用者和使用者重疊(雖然有産品做到了這一點)。其需要一個統一的，标準化的身份視圖，以便可以驗證使用者，并發出相應的指令，連接配接這些使用者到網絡或在安全邊界以外基于雲的應用程式。

但是，對于大多數大型企業而言，跨多種不同的分布式架構提出一個全局性的使用者視野并不是一個快速或簡單的任務。您所需要的是某種形式的內建層，其也可以聯合您企業的身份來源——如同saml和其他聯盟成員通路協定本身一樣。所有這些資料源必須是聯合的，因為每一個都包含需要從現有資料中進行協調的屬性或身份資訊片段。畢竟，在過去，沒有财富1000強公司曾開始過他們在這方面的業務。　　

　　在聯合層內建和協調身份。

并非要在所有這些複雜性之上強加一個獨特的集中式系統，一個聯合您身份資料源的整合應能夠提供整個系統的合理化觀點，所有用以響應新的需求和機會所需要的靈活性。通過整合跨資料孤島的身份資料和屬性，這種聯合身份層建立并維護了一個全局性的使用者清單，能夠跨所有企業系統實施動态策劃，然後映射資料，以滿足各個消費應用程式的獨特要求。

借助一個聯合身份層，您的身份提供者可以對身份實施一種理性的，普遍的驗證，同時每個使用者對于其自己的資料都有存儲維護自主權。當然，任何變更都将需要自動同步，并最好盡可能接近實時的自動同步。通過跟蹤所有使用者及其相關身份資訊，包括多個或重疊的使用者名，這個聯合身份層可以幫助實作所有應用程式的快速，準确的身份驗證和授權。

如下，是當企業在建立聯合身份層時牢牢記住的幾項基本步驟。

1、盤點目前的資料源，并提取和統一進制資料

建構一個身份內建整合層的第一步是要對于您企業所有的終端有一個充分的了解。您需要對所有您企業正擴充通路的使用者存儲進行盤點，同時要了解每款應用程式在底層是如何與這些存儲互動的，包括其如何驗證和收集授權資訊，以及它們發送了哪些查詢，它們期望哪類層次結構。一旦這一步完成了，您的整合層就可以開始了解資料的關系了(例如，在存儲中是否有相同的使用者，以及這些重複帳戶将如何進行協調)，使其能夠跨整個企業的每一個應用程式以所需要的方式提供完整的身份資訊。

大型企業往往跨存儲庫陣列存儲身份和屬性資訊，每個使用不同的協定和資料模型。一款智能聯合身份系統則應能彌合這些不同的系統，以建立一個通用對象模型。這樣的系統必須能夠發現并提取中繼資料，或身份資訊，并讓每個資料源映射該資訊到一個共同的命名。這是能夠讓關聯身份資訊和由應用程式消耗的格式代表唯一身份資訊的關鍵。如果跨整個資料源沒有使用者的重疊，所有身份的一個集合通常是足夠的。如果相同使用者位于多個資料源，則需要關聯邏輯以連接配接這些常見的帳戶，使它們在虛拟視圖僅代表一次。

2、聚合和關聯身份資訊，以建立一個獨特的參考清單

當大型企業在嘗試遷移到雲服務時，他們所面臨的其中一個主要挑戰不僅僅是多個使用者存儲的問題，而是跨越這些存儲的使用者重疊的問題。這是建立聯盟身份的一個主要障礙。理想的身份驗證的基礎是一份單一的全局使用者清單，其中每個使用者隻有一個賬号，而沒有跨所有那些使用者可能散落的不同地方的多個不同的清單。您會希望所有的使用者屬性位于同一個邏輯位置進行授權。

解決方案是建立一個包含了所有使用者配置檔案資訊的單一清單，而做到這一點的最佳方式則是通過整合跨所有身份存儲的身份資訊。一旦您的庫存盤點完成了之後，您可以從您的後端開始提取模式，然後關聯相同的使用者以建立一份全局名單。

對于最靈活的系統，映射所有的身份模式到一個共同的命名結構，并跨身份筒倉關聯相同的使用者帳戶是必不可少的，以便使得中全局使用者清單中沒有重複的身份。在使用者位于多個資料源的情況下，系統應該保持連結到本地身份辨別符。這使得在認證過程中，系統的認證檢查功能更有效——這是加快認證過程，促成單點登入的關鍵步驟。而不是執行一個耗時的，需要對所有的資料源執行循環搜尋的過程，系統隻需檢查使用者存儲有帳戶的這些庫。

3、加入身份來建立全局配置檔案

一旦建立了全局清單，您可以通過加入操作所有本地帳戶的屬性，以豐富使用者的配置檔案。不同的應用需要一個使用者身份資訊的不同方面，是以重要的是要結合所有來源的認證和授權到一個全局配置。通過聯合所有的身份來源，您可以加入這些方面以形成一個全局配置，使得身份提供者能夠很容易地通路，封裝打包到安全指令，用于消費應用程式。

對于具有重疊身份的每個使用者，內建層應該能夠從原始身份源和包括它們的全局配置檔案提取所有屬性。證書應儲存在原始資料源，而身份相關確定具有類似名稱的使用者不會被授予不當授權。

4、合理化群組

不必在多個源進行搜尋，以找到群組和成員，身份提供者應該隻需要搜尋內建層以檢查群組成員，超速登入和通路。如果您企業的現有群組足以滿足今天強制執行的政策，當您在部署聯合身份層時不應該重做任何工作。這層應該虛拟化現有的群組，通過翻譯和dn(專有名稱)進行自動重映射。

當基于群組成員進行授權時，聯合身份層應該能夠合理化和彙總現有的群組，如果需要的話，扁平化嵌套組，甚至跨多個資料源的群組成員執行計算動态。其也應該讓您計算“成員”的價值，定義群組和使用者的條目本身之間的關系。

5、緩存速度和可擴充性造成的視圖

一種進階的身份內建整合層位于您企業目前目錄基礎設施及其所通路的應用程式之間，從後端隔離變化。該層需要高度的可用性，可擴充性和快速的傳遞——有時甚至比底層的後端更快，以便為所有使用者提供對于應用程式快速和可靠的通路，無論這些應用程式位于何處;是如何存儲的。

這樣的一個層也應該能夠提供一個基于您企業的部署要求和環境的持久性高速緩存的選擇，是以輸入、查詢、或模組化視圖均可以緩存，以實作更高的性能和可用性，實時的或基于一個預定安排。物化層次視圖的持久性意味着查詢性能将不再受到複雜的連接配接和跨多個資料源的搜尋所限制。　　

　　一份關于聯合身份層在聯合設計中适應的架建構議

借助一個聯合身份層，大型企業可以在簡化其身份基礎設施的同時，關心其現有的投資，使其更容易為自己的身份供應商提供資訊，并安全地兌現聯合的承諾。但這一層還提供了一個靈活的基礎設施和架構模式，超越了聯合所帶來的直接挑戰，使得許多其他的用例，如web通路管理認證、為高度安全性要求資料的細粒度授權或應用程式、完整的客戶檔案、更快的應用部署，甚至并購整合變得更容易。建構一個身份整合層可以解決聯盟的挑戰，同時使企業能夠解決未來可能出現的任何新的挑戰。

本文作者michel prompt是radiant logic公司的創始人兼首席執行官。radiant logic公司的radiantone聯合身份服務采用了先進的虛拟化引擎和“大資料”驅動的目錄存儲，這兩大功能特點均能夠以給企業使用者帶來對于所有使用者的全局視圖，可擴充到數以百萬計的使用者查詢。

本文轉自d1net（轉載）