“一谈到身份管理和认证,在‘地面上’上看到的所有漏洞,同样也会出现在云中,”Gartner公司分析师Perry Carpenter说道。但是,云还引进了其自身的特色和问题。
Gartner认为,云计算身份管理有三个不同方面。一是,身份管理到云端,能够从企业中发送一些信息到云端,二是,云计算到身份管理,能够从云或者其他一些已经存在的地方发送信息到组织机构中,三是,云到云的身份管理。
每个方面都有不同的风险。在企业机构中,采用身份管理服务本身相对较少。只发生在所支持的特定业务活动,只是为了在云计算中有ID管理。
“我们很难把安全相关的东西与云分开,这意味着需要更成熟的技术,”他说。另一方面,一些中小企业也开始介入。
法律期望和服务等级协议(SLA)
这是全方位的挑战。“在云中有像Google Apps、Salesforce.com和Workday一样的东西。识别组件是后来添加的东西,事实上,这种后来添加的东西会携带固有的弱点,”Carpenter说。
Carpenter指出,很多云安全问题归结起来就是法律的期望和服务等级协议(SLA),它不了解技术。“我们称它为云,是因为想让它更有吸引力,但是,这些根本问题已经有一段时间了。”而云又添加了一些自己的问题。“首先,每个云厂商都有自己私有的身份管理系统。所以,没有万无一失的方法,如果我能够在一个上下文中获得正确的身份管理,在另一个上下文中也会正确,”他说。
此外,IT历史表明,当你处理多个不兼容的系统时,也会导致故障。我认为最好是,客户之间有一个标准的接口,更多插件播放的方式。
SAML和Oauth
然而,在此期间,Gartner分析师Gregg Kreizman一直在寻找正确的方法。他用身份识别与存取管理(IAM)来形容这次挑战。Carpenter指出,同种身份的岛屿或者已经存在的孤岛可以复制到云中。
因此,SaaS提供商开始重塑IAM功能,例如,申请联合的API和认证,实现类似单点登录的功能。
“企业现在已经开发了IAM,并把已经完成的内容扩展到云和他们的SaaS应用中,”他说。据Kreizman所说,认证方面的挑战已经有些成熟了。然而,公有云的成功还需要API或者企业基础设施的web服务。
Kreizman说,传统的IAM厂商已经为他们的盟友扩展他们的产品了,扩展连接器可以与云资源结合,如Google Apps和SalesForce。另一个趋势是新兴的IAMaaS市场——IAM作为一个服务——凭借聚集小厂商,提供核心的IAM功能到云中去或者是从云中获取。IAMaaS公司实现了连接部件或者是在客户端提供网关,在云中加入他们的服务,并连接SaaS厂商。
传统的IAM厂商也在云中建立服务,更像是网关提供商的服务。例如,Lighthouse的计算机服务已经采用了IBM的Tivoli软件堆,“把它封装起来,使它更容易使用。”他指出,他们可以为内部的应用程序提供一个相似的功能。
但是,这只是暂时的,Kreizman说,没有一个成功的准则。“采用这些服务有些惶恐。一些机构不想把身份数据或者其他敏感信息放到云中。然而,一些想‘检验是否有问题疏漏’。”
Kreizman说,那些努力克服IAM问题的人应该熟悉一些相关的技术,如:
认证端的安全断言标记语言(SAML),就联盟而言,它是主要的赢家,因为它提供了单点登录的能力。OpenID Connect(OpenID的替代品,基于OAuth2.0协议)也出现了,可能会更有用。OpenID Connect是一套轻量级规范,能够通过RESTful API为身份合作提供一个框架,
Oauth的建立是作为访问云中资源的一种手段,他已经被主要的参与者认同,如Facebook和Twitter。
简单的云身份管理(SCIM)是由一些厂商支持的规范,(依照它的助推器)建立在现有的模板之上,并以降低开销和用户管理复杂度为目标。
还有一种U-MA — 用户管理访问。Kantara的提议,U-MA大本营,一个U-MA的授权web用户可以一次性授权web应用的请求,不断访问包含存储在“个人数据”服务主机的地址资源,由授权决策服务(授权管理器)充当访问决策来告诉主机。