云计算平台兴起 如何甄别合法用户和黑客

针对众多在传统防火墙之外的工作人员和客户,公司正在重新考虑他们使用网络的权限和安全问题。在大多数情况下,我们仍需要防火墙的保护。但随着企业的IT应用程序越来越多,通过防火墙设置的合法访问已经超出了其本身的设定数量,并且防火墙的很多漏洞也给企业管理员带来了不少的麻烦。此外,软件即服务(SaaS)也已经逐渐兴起,许多企业都选择使用了SaaS,其应用程序本身也是设定在防火墙之外的。

当今,黑客活动往往聚焦于企业的IT基础设施,他们通常会把自己伪装成合法用户,所以,如何在合法用户中甄别出黑客已成为当务之急。

不但要支持内部以及远程用户的访问,还需将黑客和网络犯罪拒之门外;所以边界的授权访问远远超越了传统防火墙用户设备的接入访问。因此身份认证的相关概念就显得尤为重要了。

单点登录(SSO)技术虽不是一个新技术,但在许多地方都大显奇能。

例如CA、Oracle和IBM这类传统厂商的身份和访问管理产品中SSO系统已存在多年。这些产品的主要用途一直是为用户记录以及节省多个用户名和密码。大量账户和密码的使用会让人被迫将其写下来,这将是个潜在的安全隐患。

由于IT设备的日新月异以及竞争对手的增多,这些厂商所设计的SSO系统已经可以用于远程用户的私人设备,而且为了迎合SaaS的应用趋势,SSO系统也与其相兼容,为广大用户带来了便利。

将合法用户与资源相关联

此系统的目标是建立一个安全身份认证体系,其边界为指定的商业IT活动。将合法用户以及他们所需的资源挂钩,而SSO系统的作用则是身份桥接。

然而,这些系统还可以做更多的事情。在某些情况下,这些额外的功能除了能够验证身份还可以获取更多关于访问应用程序和数据源的相关信息——特别是那些与客户有关的信息。事实上,有了SSO系统不需要知道用户的身份,其价值则体现在第一次登陆时的安全验证。

我们可以来想象一下,一个好奇的游客正在浏览某个旅行社的网站。他们可能只是想在这个网站上得到一些关于航班、汽车租凭和酒店报价等相关信息,然后再考虑其旅行计划。SSO系统能够提供这些综合性访问所需要的资源,并获得相关报价,当潜在的客户决定预订东西的时候还可以添加更多的细节。

当然,想要执行该阶段的操作需要建立一个可信的身份。此时消费者需要在此系统中进行身份验证并取个用户名,但这种身份需要与真实的电子邮件地址相关联并且需要一个有效的付款方式。

开放更多的资源

在这一点上,SSO系统结合其它服务开始建立新客户的身份认证并对其提高了服务质量。一旦通过了安全认证,此身份可以打开更多的资源——例如在订票系统中查看客户的交易记录等。

对于其它交易,特别是企业与企业之间的电子商务,这种商业模式依赖于收购现有系统的身份信息。对于特定企业的员工身份认证信息一般来自于内部的某些目录,例如最常用的微软活动目录。

然而,当谈到开放应用程序伙伴和其他外部业务用户时,外部的身份信息来源可能是最为有价值的,例如合作伙伴的内部目录或是专业机构的会员数据库等。

对于消费者和商业用户,在某些情况下像Facebook 和LinkedIn的这类社交网站正在成为公认的身份信息来源。

这一趋势意味着SSO系统需要对越来越多的身份来源进行用户验证。为了使这个过程尽可能的简单,SSO系统本身的身份来源也需要进一步的规范。

身份验证和访问管理标准

为了支持这类需求,身份验证和访问管理也相应出台了许多标准,包括轻量目录访问协议LDAP用于存储身份信息,SAML安全断言标记语言用于传输用户身份证明。了解这些验收标准,不管是对哪家供应商所提供的SSO系统,这些标准都是一个重要的参考。

由于访问用户的身份来源非常广泛,SSO系统需要支持这些用户连接到多个应用程序,使业务流程和与之相关的供应链更加一体化,从而提高其工作效率。

目前这种应用已经被广泛使用,汽车经销商与制造商所相关联的订货系统;律师与法官管理系统和执法机构的相关链接等都是非常好的案例。SSO系统也可以自定义策略,给特定的用户以及特定的资源为不同的角色制定模板,从而简化了用户的配置。

也许更重要的是,当与指定客户端的合作关系终结时,需要及时取消他们从SSO系统对资源访问的权限,确保能够切断其行程。

SSO系统所带来的好处远远超越了传统防火墙的工作方式,针对IT应用程序来说则具备了更大的扩展性,用户所访问的资源也更加丰富。但监控、授权和访问控制则是最为必要的手段。SSO则可以有效实现这一目标。