云計算身份管理標(biāo)準(zhǔn)有望加快云的應(yīng)用
云計算身份管理標(biāo)準(zhǔn)小組宣稱將確保在云供應(yīng)商和他們的客戶之間開放和安全的身份交換。
為建立云計算身份管理標(biāo)準(zhǔn)付諸最大努力之一的是InCommon,其參與者包括116個以上的高等教育機(jī)構(gòu)、41個服務(wù)提供商、6個聯(lián)邦機(jī)構(gòu)和非贏利團(tuán)體。該小組為身份提供者(如高等教育機(jī)構(gòu))和云服務(wù)供應(yīng)商之間的安全、隱私和數(shù)據(jù)交換達(dá)成共同的定義和準(zhǔn)則,以驗證雙方承諾的身份并善意行事。
然后這些信息將封裝在包含證書的元數(shù)據(jù)中,以允許身份提供商和服務(wù)提供商共享信息。InCommon目前使用兩個社區(qū)開發(fā)的產(chǎn)品用于交換信息:安全斷言標(biāo)記語言(Security Assertion Markup Language, SAML)和Shibboleth。SAML基于XML標(biāo)準(zhǔn),用于組織之間交換身份信息。Shibboleth是基于Web的單點登錄服務(wù),支持遠(yuǎn)程服務(wù)請求的認(rèn)證。
馬薩諸塞州眾議院和參議院臨時首席信息官、ING Americas美國金融服務(wù)部門前任部門級首席信息官Ed Bell預(yù)言,確保身份管理的安全和互操作性的標(biāo)準(zhǔn)將受到歡迎。他說:“在內(nèi)部,標(biāo)準(zhǔn)已經(jīng)變得如此強(qiáng)大,它是任何CIO的核心部分。他們將在外部采納[用于身份管理的]標(biāo)準(zhǔn)?!?/P>
在可信任云計算中
另一個標(biāo)準(zhǔn)組織,稱為可信任云端運算計劃(Trusted Cloud Initiative, TCI),旨在幫助云提供商開發(fā)業(yè)界建議的、安全的和可互操作的解決方案。TCI聲稱自己是一個由Novell公司和云安全聯(lián)盟(Cloud Security Alliance, CSA)成立的廠商中立的運算計劃。TCI希望在今年年底發(fā)布業(yè)界首個云安全證書。
ING Americas IT戰(zhàn)略與企業(yè)架構(gòu)高級副總裁、CSA董事會成員Alan Boehme說:“如何管理身份信息,或者在云端,或者和云聯(lián)合,這是企業(yè)采用云服務(wù)的重大障礙。通過建立一個共識的安全參考指南和認(rèn)證路線圖……我們期望加快云應(yīng)用?!?/P>
關(guān)于在云環(huán)境中配置身份、認(rèn)證、聯(lián)盟和授權(quán),CSA最近表示,TCI將建立在云計算上的最佳實踐準(zhǔn)則。這些建議被極大地調(diào)整以符合開放的標(biāo)準(zhǔn)。例如,CSA建議:使用云供應(yīng)商提供的標(biāo)準(zhǔn)連接器,最好是建立在服務(wù)配置標(biāo)記語言(Service Provisioning Markup Language, SPML)模式之上。如果云提供商目前不提供SPML,CSA建議企業(yè)提出要求。
評估軟件即服務(wù)(Software as a Service, SaaS)和平臺即服務(wù)(Platform as a Service, PaaS)供應(yīng)商所使用的專有的認(rèn)證模式,例如,共享加密的cookie。一般應(yīng)優(yōu)先使用開放標(biāo)準(zhǔn)。
確保應(yīng)用程序的設(shè)計支持SAML或WS-Federation格式,WS-Federation格式詳細(xì)說明了允許不同安全領(lǐng)域代理身份、屬性和認(rèn)證的信息。
檢查由云供應(yīng)商實現(xiàn)的任何本地認(rèn)證服務(wù)與開放認(rèn)證(Open Authentication, OATH)實現(xiàn)兼容,OATH是設(shè)備、平臺和應(yīng)用廠商的聯(lián)合,希望促進(jìn)跨網(wǎng)絡(luò)、設(shè)備和應(yīng)用的強(qiáng)認(rèn)證的使用。云供應(yīng)商應(yīng)該也可以委托認(rèn)證給企業(yè),例如,通過SAML。
超越周邊的保護(hù)
但另一個稱為杰里科(Jericho)論壇的小組提出了一個云架構(gòu),該架構(gòu)在設(shè)計中跨所有云層(基礎(chǔ)設(shè)施、平臺、軟件、流程)使用安全和身份管理,它被稱為面向協(xié)作構(gòu)架(collaboration-oriented architecture, COA)。這個概念涉及一個計算機(jī)系統(tǒng),該系統(tǒng)被設(shè)計使用超越“周邊”或控制區(qū)域的第三方服務(wù)。COA以標(biāo)準(zhǔn)化的形式組織機(jī)構(gòu)、個人和系統(tǒng)的身份識別、認(rèn)證和授權(quán)證書,實現(xiàn)了跨云平臺的有效性。
COA基于面向服務(wù)架構(gòu)(service-oriented architecture, SOA),而SOA是用于在基于Web的環(huán)境中集成分布廣泛、涉及多個不同平臺的應(yīng)用。SOA不使用具體的應(yīng)用程序編程接口,它根據(jù)協(xié)議和功能(包括XML)定義接口。SOA的目標(biāo)是允許用戶“編排”相當(dāng)大的功能塊以形成專門的應(yīng)用,該應(yīng)用幾乎完全從現(xiàn)有的軟件服務(wù)進(jìn)行構(gòu)建。
根據(jù)Burton Group Inc.分析師,鑒于云空間處于初始階段和不同的標(biāo)準(zhǔn)化努力,并不期待所有這些標(biāo)準(zhǔn)能夠生存下來或取得成果。特別是SPML,因為它的復(fù)雜性和置于連接上的性能負(fù)擔(dān),已經(jīng)陷入困境。OASIS配置服務(wù)技術(shù)委員會曾試圖在第2版改善SPML,但其成員未能達(dá)成一個標(biāo)準(zhǔn)的用戶模式。
另一個配置選項可能是使用“拉”模式,該模式使用基于輕量目錄訪問協(xié)議(Lightweight Directory Access Protocol, LDAP)、由虛擬目錄支持的目錄服務(wù)。值得注意的是,Salesforce.com公司和谷歌公司都提供了一個通過LDAP的拉能力,可以在其應(yīng)用程序中,查詢現(xiàn)有的企業(yè)目錄以發(fā)現(xiàn)認(rèn)證和身份信息。
物聯(lián)網(wǎng)相關(guān)文章:物聯(lián)網(wǎng)是什么
評論