辰东全部小说,魔天记忘语小说,欢乐颂小说结局是什么

最近2018中文字幕在日韩欧美国产成人片_国产日韩精品一区二区在线_在线观看成年美女黄网色视频_国产精品一区三区五区_国产精彩刺激乱对白_看黄色黄大色黄片免费_人人超碰自拍cao_国产高清av在线_亚洲精品电影av_日韩美女尤物视频网站

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

如何保證云計算的安全

企業(yè)正在探索將設備擴展到云端，并向市場提供了一些服務，例如：IaaS, PaaS, SaaS。本文將討論信息安全問題的三個挑戰(zhàn)：機密性，完整性和可用性。大多數(shù)企業(yè)分成關心他們數(shù)據(jù)的所有權。本文不僅介紹包括IAM在內(nèi)的云計算需要應對的安全挑戰(zhàn)，還將介紹當前用戶訪問云時的認證、授權和審計狀態(tài)，以及新興的IAM協(xié)議和標準。

1 介紹

為了理解云計算是什么，首先我們需要獲得關于它的演變的想法。托夫勒認為人類三大文明浪潮：農(nóng)業(yè)，工業(yè)和信息時代。信息時代有幾個子浪潮，我們正朝著云計算的方向發(fā)展。它指的是通過互聯(lián)網(wǎng)或基于云基礎設施提供服務。云計算將為市場帶來幾個優(yōu)勢，其中最重要的三項是：成本效益，安全性和可擴展性。我們主要關心的是討論一些用于保護云用戶的安全IAM協(xié)議，并總結出哪些協(xié)議最適合企業(yè)、哪些正在朝傷害云服務的方向發(fā)展。

最近，很多企業(yè)都在分析云技術在節(jié)約成本的應用，而忽略了云服務提供商(CSP)提供了什么級別的安全保障。只通過一個維度去衡量收益是很困難的，正如Richard Mayo 和 Charles Perng在IBM的一項研究中關于云計算Rate of Interest(Rol)的討論。Rol基于表中的五個維度。

Saving Factor	Cost Factor
Hardware	服務器減少數(shù)量/ 節(jié)省空間花費/電費節(jié)省
Sofeware	OS減少/ 不同實施軟件的支持和維護成本減少
自動配置	減少配置每項任務所需的小時數(shù)
生產(chǎn)效率	用戶友好，減少員工等待IT支持時間
系統(tǒng)管理	提高管理員和支持人員的工作效率，并為每個管理員提供更多系統(tǒng)支持

下圖中是一個案例結果，一個銀行需要大量的server來管理業(yè)務，他們的業(yè)務比較適合云。

在不久的將來，云計算支出將快速增長，“美國政府2010年至2015年的項目將在云計算方向支出增加40%，年復合利率增長達700萬美元?！背杀拘б媸鞘褂迷朴嬎愕闹饕獎訖C之一。但是我們應該考慮其他挑戰(zhàn)，例如安全性。企業(yè)將上傳其數(shù)據(jù)庫，用戶相關信息，并且在某些情況下，整個基礎架構將托管在云中。企業(yè)對CSP的安全級別是否滿意？

本文中我們主要關注數(shù)據(jù)安全方面，即云中的IAM。首先，我們將在第二節(jié)中概述當前云計算架構，在第三節(jié)中討論安全和隱私需求。在了解需求之后，我們將在第四節(jié)詳細討論IAM挑戰(zhàn)。此外，IAM生命周期和一些協(xié)議分別在第五節(jié)和第六節(jié)討論。第七部分是IAM通過云服務的最佳實踐，如身份管理即服務(IDaaS)。最后，在第八節(jié)中總結。

2 云計算結構

云計算系統(tǒng)類型

主要有三種系統(tǒng)類別：IaaS, PaaS, IaaS，下面詳細介紹：

SaaS傳統(tǒng)軟件用戶將其安裝到硬盤然后使用。在云中，用戶不需要購買軟件，而是基于服務付費。它支持多租戶，這意味著后端基礎架構由多個用戶共享，但邏輯上它沒每個用戶是唯一的。PaaSPaaS將開發(fā)環(huán)境作為服務提供。開發(fā)人員將使用供應商的代碼塊來創(chuàng)建他們自己的應用程序。該平臺將托管在云中，并將使用瀏覽器進行訪問。IaaS在IaaS中，供應商將基礎架構作為一項服務提供給客戶，這種服務以技術，數(shù)據(jù)中心和IT服務的形式提供，相當于商業(yè)世界中的傳統(tǒng)“外包”，但費用和努力要少得多。主要目的是根據(jù)所需的應用程序為客戶定制解決方案。表2顯示了幾個提供商當前使用的云計算服務。

Examples of Cloud Service

這里有一些云服務商及代表性的云服務舉例。本文重點介紹提供安全環(huán)境的身份管理和技術。具體來說，IAM安全性可以通過石洞的協(xié)議和標準來實現(xiàn)。為了理解云中IAM安全性需求，本文將在下一節(jié)討論云計算的安全性和隱私性。

3 CLOUD SECURITY AND PRIVACY

在云計算中，用戶數(shù)據(jù)存儲在服務提供商的數(shù)據(jù)中心而不是存儲在用戶的計算機上。這會讓用戶擔心他們的隱私。此外轉向集中式云服務將導致用戶的隱私和安全漏洞。部署期間可能會發(fā)生安全威脅；也可能會出現(xiàn)新的威脅。云環(huán)境應該保持數(shù)據(jù)完整性和用戶隱私，同時增強跨多個云服務提供商的互操作性。因此，我們想討論云中的數(shù)據(jù)完整性，機密性，可用性。與數(shù)據(jù)安全相關的三個方面：- Network Level云服務提供商將監(jiān)控、維護和收集有關防火墻、入侵檢測/防御以及網(wǎng)絡內(nèi)的數(shù)據(jù)流信息。- Host Level收集系統(tǒng)日志文件是非常重要的，可以知道何時何地app被登錄過- Application Level審計app日志，結果可能被用于事件響應或數(shù)字認證

在每個層面上都需要滿足安全要求，以保護云中的數(shù)據(jù)安全性，如機密性，完整性和可用性，如下：A. 機密性確保云中用戶數(shù)據(jù)不能被未授權訪問。這可以通過考慮加密技術實現(xiàn)：對稱或不對稱加密算法，以及對稱密碼情況下的密鑰長度和密鑰管理。這都是依賴云服務提供商。EMC MozyEnterprise采用加密技術保護用戶數(shù)據(jù)，而Amazon S3沒有使用加密技術，這也依賴于客戶意識到他們可以在上傳信息之前加密。CSP應保證加密技術符合NIST(美國標準局)標準B. 完整性除了數(shù)據(jù)機密性之外，用戶還關注數(shù)據(jù)的完整性。加密技術可以提供機密性，主要有兩種方法提供完整性保障：消息認證碼(MAC)和數(shù)據(jù)簽名(DS)。在MAC中，它基于對稱密鑰提供附加數(shù)據(jù)的校驗和。在DS算法中，它依賴于非對稱密鑰對。由于對稱算法比非對稱算法快的多，在這種情況下，我們認為MAC將提供完整性檢查機制的最佳方案。研究表明，PaaS和SaaS不提供任何完整性保護，在這種情況下，確保數(shù)據(jù)完整性至關重要。C. 可用性另一個問題是通過授權的用戶請求數(shù)據(jù)時的可用性。最強大的技術是通過避免威脅影響服務或數(shù)據(jù)的可用性來預防。監(jiān)測針對可用性的威脅非常困難。以可用性為目標的威脅可能是網(wǎng)絡的攻擊，例如DDoS攻擊或CSP的可用性，例如AWS S3在2008年遭受兩個半小時停電以及2008年7月停電8小時。

在下一節(jié)中，我們將通過一些協(xié)議如SAML，OAuth以及二者之間的比較來討論IAM實踐，得出最佳方案。

4 IAM

身份和訪問管理可以定義為通過規(guī)則和策略為企業(yè)資源和數(shù)據(jù)提供適當級別的保護的方法，這些規(guī)則和策略通過各種技術強制執(zhí)行，例如強制登錄密碼，為用戶分配權限和設置用戶賬戶。但是，定義不限于企業(yè)資源，同樣為用戶個人信息和行為提供隱私和保護。大部分企業(yè)的基于不同的信息系統(tǒng)提供服務，管理這些用戶信息并提供隱私和保護將是一大挑戰(zhàn)。

管理數(shù)字身份是不夠的，除非我們能描述與用戶數(shù)字身份相關的兩個主要用戶屬性：存在(在線)和位置。這三種特征用于當今的技術中。存在與實時通信系統(tǒng)相關聯(lián)，例如：IM及VoIP，其中提供關于通信期間或通信之后用戶狀態(tài)的所有必須描述，無論他們是空閑還是活動，在線還是脫機，并且在某些情況下提供他們正在執(zhí)行的一些特定任務，例如寫文檔或電子郵件。位置信息指用戶的地理位置，如經(jīng)緯度和高度，實體的IP可以指定的地理位置。

A. Challenges

任何企業(yè)在管理身份方面面臨的主要挑戰(zhàn)來自一個企業(yè)的用戶群體-客戶，雇主，合作伙伴等
根據(jù)市場業(yè)務及其功能，調(diào)整和維護組織內(nèi)員工流動
在兼并和分拆情況下處理用戶身份
避免身份，屬性和憑證的重復

上述的挑戰(zhàn)和其他一些挑戰(zhàn)，讓企業(yè)尋求幾種和自動化的身份管理系統(tǒng)。這為我們引入聯(lián)邦用戶的概念。它是企業(yè)群體之間既有某種信任關系的合約，以便用戶可以使用相同的標識從授信的組獲得服務。核心職責是管理組織內(nèi)部網(wǎng)絡之外的服務訪問控制。聯(lián)邦支持單點登錄(SSO)技術，用戶不必多次登錄或記住每個云特定服務的注冊信息。

因此，我們想討論當前IAM的實踐，這對正在使用云計算的用戶在提供認證、授權和審計有所幫助：- 認證云計算認證設計驗證用戶或系統(tǒng)的身份，例如，服務到服務的認證涉及對由另一個服務發(fā)來的請求信息驗證。- 授權一旦認證過程成功，確定權限的過程就可以提供給合法用戶，在這個階段，系統(tǒng)將執(zhí)行安全策略。- 審計這是審查和檢驗授權和認證記錄的過程，以檢查是否符合預定義的安全標準和政策。此外，它將有助于監(jiān)測系統(tǒng)維護。

B. 云環(huán)境準備

為準備好云，企業(yè)需要準備IAM策略，結構，了解IAM生命周期并制定好哪些設備型號將支持聯(lián)邦身份，要求如下：- 定義身份信息的授權來源- 為用戶配置文件定義必需的屬性- 定義企業(yè)內(nèi)部身份管理系統(tǒng)的當前結構- 實施支持SSO技術的身份提供商，如OpenID，Microsoft CardSpace和Microsoft Novell Digital Me- 身份提供商與公司內(nèi)部構建目錄兼容

為了管理數(shù)字身份，我們應該知道數(shù)字身份將通過哪些不同階段，從而為該階段提供合適的安全級別。這個討論引導我們討論IAM生命周期。在下一節(jié)我們將描述數(shù)字身份生命周期。

5 IAM 生命周期

在這個階段，我們應該考慮身份生命周期所經(jīng)歷的不同階段。一個重要的問題是：我們應該關注從用戶的身份創(chuàng)建，使用和終止之后都發(fā)生了什么。根據(jù)Mather, Kumarasuamy and Latif，數(shù)字身份管理應該經(jīng)過如下五個階段：- 配置和取消配置在此過程中，將根據(jù)組織中的角色為用戶分配必要的信息訪問權限，并且在用戶權限升級或降級的情況下，將分配適當?shù)脑L問角色。這個過程需要大量的時間，精力和工作人員來保持身份分配的權限盡可能充分。但是，使用身份管理即服務（IDaaS）等適當技術的云管理可以減輕組織的負擔。- 認證和授權將需要一個中央身份驗證和授權基礎架構來構建滿足組織業(yè)務目標的自定義身份驗證和授權模型。擁有這樣的模型將執(zhí)行應該遵循的安全策略來保護應用程序和數(shù)據(jù)庫。- 自助服務在身份管理中啟用自助服務將加強身份管理系統(tǒng)。在這個階段，用戶可以重置密碼，維護和更新自己的信息并查看查看能力。來自任何位置的組織信息。- 密碼管理通過實施支持單點登錄(SSO)訪問云基服務的聯(lián)合系統(tǒng)。密碼管理包括如何使用MD5或SHA1as將密碼存儲在云數(shù)據(jù)庫中。- 檢查和審計在這個過程中，訪問將被監(jiān)控和跟蹤，以確保系統(tǒng)中不存在安全漏洞。它還將幫助審計人員驗證不同訪問控制策略的執(zhí)行情況，定期審計和報告。

6 IAM 標準和協(xié)議

以前，我們討論了應用IAM結構的要求是什么。在下文中，我們將討論一些標準和協(xié)議來管理云中的身份;然而，這里值得一提的是，IAM標準和協(xié)議應該由雙方來考慮：組織和消費者。

在本文中，我們主要關心的是討論組織如何使用協(xié)議來處理IAM。有幾種協(xié)議和標準企業(yè)應該考慮，如：安全聲明標記語言（SAML）和開放認證（OAuth）協(xié)議。下面將分別詳細介紹，如下所述：

A. SAML

SAML 基于XML標準，用作交換兩個實體(在云計算場景下，身份提供商IdP和云服務提供商CSP)之間的授權和認證屬性的工具。SAML主要目標是通過互聯(lián)網(wǎng)支持SSO。有不同版本的SAML，支持數(shù)字簽名和加密，下面例子幫助理解用戶, IdP和CSP之間基于SAML的SSO。- 1，User 請求CSP的網(wǎng)頁- 2，CSP返回將用戶瀏覽器重定向到idp網(wǎng)站- 3，用戶瀏覽器處理重定向，訪問IDP- 4，IdP和用戶之間的身份驗證協(xié)議進行身份驗證。- 5，IdP使用編碼的SAML向用戶做出響應。- 6，用戶瀏覽器將SAML響應發(fā)送到CSP訪問URL- 7，csp將信息返回用戶

B. OAuth

OAuth是一個非常具有互動性和趣味性的協(xié)議，它允許一個CSP用戶與另一個CSP共享他們的照片、文件等私人資源，而不會暴露用戶名和密碼等個人身份信息。它的主要目標是為安全API的授權訪問提供開放的標準。從CSP的角度來看，它提供了一項服務，用戶可以在不透露身份憑證的情況下訪問托管在不同服務提供商處的可編程應用程序。例如，消費者（網(wǎng)站或代表用戶訪問存儲文件的應用程序）從存儲文件的服務提供商那里請求打印服務，結果打印將被執(zhí)行而不透露文件所有者證書。使用OAuth協(xié)議的用戶和服務提供商之間的通信過程如下：- 1，web app 訪問Google賬戶認證服務請求OAuth request token- 2，Google返回未授權請求token- 3，web app重定向User到Google web 認證頁面，授權請求token- 4，用戶訪問Google認證頁面，確認是否同意web app訪問用戶數(shù)據(jù)- 5，如果用戶拒絕訪問，用戶將被重定向到Google page- 6，如果授權訪問，用戶將重定向到web app頁面，并包含授權的請求token- 7，授權的請求token會在web app和Google 認證服務之間進行交換- 8，Google確認請求并發(fā)送Access Token- 9，web app攜帶Access Token訪問Google service用戶數(shù)據(jù)- 10，Google Service驗證Access Token，通過后返回用戶請求的數(shù)據(jù)

7 WHICH IS BETTER SOLUTION

很難說哪一個協(xié)議更好，它完全依賴于組織的行為來實現(xiàn)其業(yè)務目標。由于技術重疊，大多數(shù)CSP可能更愿意使用多個認證協(xié)議來提供更好的安全模型來控制其用戶身份。SAML常用于企業(yè)和學校，用戶只需登錄一次，即可在內(nèi)部或外部與其他網(wǎng)站進行身份驗證。SAML是數(shù)字身份“企業(yè)”組的一部分，它擁有更多的經(jīng)驗，并且其庫已經(jīng)開發(fā)了很長時間。但是，在OAuth中，它屬于“開放源代碼”庫，其中這些庫是新的庫，需要做更多工作來改進此類別的協(xié)議。從我們的角度來看，OAuth將成為研究人員改善它的非常有競爭力的環(huán)境。但是，SAML將成為在云中部署SSO和聯(lián)盟的最佳選擇。SAML已經(jīng)成熟并且暴露于各種漏洞和威脅之中，因此我們建議將它作為部署IAM安全性和維護用戶信息隱私的最佳解決方案。

8 IDENTITY MANAGEMENT-AS-A-SERVICE

由于云環(huán)境達到服務提供商可以提供任何服務（XaaS）的水平，這將導致我們考慮外包身份提供商，如服務（IDaaS）。然而，大多數(shù)組織可能傾向于外包合作伙伴和消費者身份管理，但他們有義務管理其員工身份和內(nèi)部資源訪問權限。該模型基于軟件即服務（SaaS），支持多種服務，例如：賬戶配置，審計，密碼管理和用戶自助服務。通過采用這種架構，組織可以完全自動化用戶賬戶的提供和審計。市場上有多種解決方案可以提供身份管理，例如：簡化和Ping身份。

外包身份管理的主要優(yōu)勢是擁有一個多協(xié)議環(huán)境，其中包含SAML，OAuth等等，以便與不同的云服務聯(lián)合系統(tǒng)進行交互。在通過瀏覽器SSO訪問任何基于云的服務之前，IDaaS將對用戶進行身份驗證。

與任何基于云的服務一樣，任何組織都可以采用這種模式，這會有一點變化或者沒有任何變化。IDaaS的主要缺點是企業(yè)不知道CSP的結構，實施和服務。此外，生成的有關用戶的報告可能與組織要求不匹配，即使有編輯報告的功能，它也會限制為CSP功能。

9 總結

總之，云計算對于商業(yè)世界來說是非常有吸引力的環(huán)境，因為它以非常經(jīng)濟高效的方式提供所需的服務。但是，確保和加強安全和隱私實踐將吸引更多企業(yè)進入云計算的世界。應適當實施IAM，確保云計算管理的相互認證，授權和審計。我們主要關心的是討論一些用于保護云用戶的安全IAM協(xié)議，并總結出哪些協(xié)議最適合正在使用云服務的組織。

網(wǎng)頁標題：如何保證云計算的安全
鏈接地址：http://m.fisionsoft.com.cn/article/cdioiso.html