設計一種雲級別身份認證結構

由 webmaster 在 四, 2011/12/29 - 20:47 發表

 

這篇文章首先發表在Computer雜誌上,現在由InfoQ與IEEE計算機學會聯合為您呈現。

在最近的IT記憶裡,雲迅速成為了最具爆發力的勢力之一。它提供更高的可靠性、更好的靈活度、更低的成本和更簡單的部署。云有著無可否認的潛力,能夠讓所有的用戶和各行業受益。然而,儘管前景遠大,雲仍然還很年輕。許多企業仍然對在全範圍內採用雲來處理關鍵工作表示擔心。最常被提起的不願意遷移到雲端的理由就是對安全的擔心。特別是管理用戶和訪問云端的權限對於組織來說是一個很大的安全方面的疑慮,也是一個棘手的問題。

在雲端的身份管理格外的困難,因為身份本身俱有跨界的特點,而且身份管理會同時在架構上和組織上產生影響。許多業者害怕使用雲會把自己暴露給可能的攻擊和數據破壞。另外,很多公司並沒有充分的條件來在企業級別和雲端管理身份認證,因為他們缺乏靈活的身份管理來囊括兩種領域。

雲端的身份管理還需要進化,才能夠成為一個值得信賴的計算平台。而一種革命性的身份管理方式——聯邦式身份認證結構——可以跨越企業和雲端的界限。

雲計算:提高可伸縮性的標準

雲計算讓人們可以便利地、隨時可得地通過網絡訪問一個可配置計算資源共享池——網絡、服務器、存儲、應用以及服務,這些都可以迅速地準備和發布,只需要很少的管理工作或與服務提供商之間的互動(請參照此鏈接)。它讓組織能夠在不投資新的基礎設施、不培訓新員工或購買新的軟件許可權的同時即時地增加處理能力或新增功能。

雲計算涵蓋任何在互聯網上實時擴展現有IT能力的所有基於訂購的服務[1]公開云通常是指軟件即服務(SaaS)應用,像是Salesforce.com所提供的,還有基礎設施即服務(IaaS),像亞馬遜網絡服務(AWS)。私有云則是指特定組織專有,並在自身場地部署、常隱藏在防火牆之後的應用或者平台。

性能的可伸縮性

當人們考慮可伸縮性的時候,大多數的人都會立即想到一個系統如何處理大規模事物、每秒的浮點操作等等。雲端的一個關鍵特色是它能夠通過增減計算能力來滿足變化的需求,提供有彈性的可伸縮性。比如,當很緊急地需要大規模計算能力的時候,在Amazon Elastic Compute Cloud(EC2)上可以非常快地升級一個應用,讓它使用更大的虛擬機。把這個概念再延伸一點,採用能夠支持近乎無限規模運算的N+1的體系結構,新的雲端應用在設計上支持線性地向外擴展。

因為便於開發者的廣泛使用,也因為有著令人印象深刻的效果,雲計算獲得了令人矚目的成長。比如,Force.com——Salesfore.com的雲計算平台——現在每季度要處理超過一百億個事物,其中超過半數是通過它的API來完成(請參照此鏈接),而Twitter則每天處理三十億次來自API的請求[2]而互聯網預計在不遠的未來仍將顯著增長:AT&T預測到2015年互聯網流量將增加五十倍[3]

集成和管理可伸縮性

一個與​​規模相關的不那麼引人注意的挑戰是關於組織能以什麼樣的速度來部署、集成並長期管理一個系統。當系統導致摩擦時——比如說在管理任務中,這會造成系統可伸縮性上的障礙,對於身份管理來說尤其是這樣。如果把基礎設施定義為企業內產生IT能力的共通硬件、軟件以及網絡服務,身份管理基礎設施包括了在整個企業內使用的目錄服務、身份和訪問管理服務、網絡代理以及驗證系統。今天很多企業都努力想要搭建一個能夠在雲架構下工作,並可以按雲的方式優雅地升級的身份基礎設施。

要能夠升級來滿足雲端的架構與成長需要,系統架構師必須專注於對身份的優化管理和整合。對許多企業來說身份管理是一個採用雲的關鍵性的瓶頸。架構師明白他們的眼光必須超越雲可伸縮性的基本性能層面,還要去設計一個能夠讓身份的管理和整合也具備伸縮性的戰略。

一種雲級別的身份結構

通過不同的技術、標準和用例可以獲得跨越原本分別管理的安全領域的身份信息的可遷移性,讓一個領域的用戶可以安全地無縫訪問另一個領域的數據和系統,而不需要多餘的用戶管理。藉此聯邦身份就把多種元素和領域交織在一起,就像織布一樣。

過去公司把網絡身份存儲在目錄和數據庫裡。隨著互聯網的成長和雲端應用的出現,他們發現需要在傳統網絡以外來管理身份。今天網絡管理員必須管理企業和雲端應用的多個賬戶。這種重複勞動增加了工作量,並由於管理員必須要管理多個用戶身份和密碼導致了安全上的隱患。與外界夥伴與承包商的合作也要求公司向外來者開放網絡邊界。

為了保證這麼多信息資產與數據的安全,企業必須無縫地採用身份管理來連接到雲端。要實現成功的雲端身份管理,業者必須保證身份符合雲端獨特的架構需要,把身份看作一種會整合、抽象、擴展的結構,把身份當作IaaS交付,就像它所支持的雲平台一樣。

身份必須符合雲端需求

身份概念層次結構的五個領域必須有所發展來實現雲級別的身份結構:訪問控制和授權;驗證、聯邦和單點登錄(SSO);用戶帳戶管理和準備;審計和合規;以及雲平台架構需求。

訪問控制和授權

同時管理自身場地部署的和雲端部署的應用是一個複雜的任務。在雲端,沒有防火牆的保護,即使對於二進制訪問來說,也無法依靠網絡邊界來控制。今天很多用戶在私有網絡之外,通過互聯網來訪問SaaS,不需要通過公司網絡。這樣授權就必須進化成為分佈式模型來支持網絡防火牆外的用戶。

深度授權這個概念在三個層次上說明了授權策略變化中的粒度。第一個層次是粗粒度的訪問控制策略,監管用戶對應用或資源的訪問。第二個層次更加細粒度,在數據級別來控制訪問——往往通過URL。第三個層次是最細的粒度層次,控制對函數和視圖的訪問,有時又被稱為“賦權”(entitlements)。任何可伸縮的授權模型都必須反映對應多級別粒度或深度的需求,此需求與可伸縮性緊密結合——粒度越高,授權事務的量就越大。另一個升級訪問控制的關鍵是對訪問分組。在大型機上最早的訪問控制方式是基於手動維護的訪問控制列表(ACLs)。訪問控制列表最初工作得很好,因為沒有很多人使用大型機,但隨著用戶基數的擴大,它們變得難以操作,導致了用戶組的出現。用戶組訪問控制可伸縮性很好,但還是需要手動地管理組成員。這又導致了使用規則來決定成員和訪問的動態用戶組管理的出現。現在,組織使用基於角色的訪問控制(RBAC)取代了用戶組來反映企業的成員結構,使用基於屬性的訪問控制(ABAC)來處理動態許可。在雲端,這些屬性和角色成員都從操作系統被解耦,可以通過聯邦來分佈到各個系統。

授權可以用分佈式、聯邦式的模型來解決升級問題。通過把授權過程分解成為其核心的策略元素——管理、決策與實施,有可能讓各個技術與組織領域組成面向授權的聯邦。策略管理點、策略決策點與策略實施點必須分佈在分散的地點,特別是要橫跨整個雲端。

身份決策點提供身份數據以進行授權規則評估,還可以應用安全確認標記語言(SAML)斷言語句或使用現在的HTTP頭和未來的OAuth 2.0。例如,OAuth利用代理的信託模型,達到把用戶身份數據從用戶憑證抽像出來這樣一​​個很好的效果,還支持授權的令牌化,不過它確實需要一個理解OAuth的賦權實施架構。無論使用哪種技術,這些授權決策必須在很短時間內完成才能支持巨大的流量。

驗證、聯邦和單點登錄

聯邦的概念在防火牆內更為常見一些,也許最好的例子就是無所不在的微軟Windows系統的域模型。企業可以定義不同組織間防火牆內信託模型,允許由本地域代理的驗證通過Kerberos獲得遠程域的信任,這樣可以把多個Windows域連接在一起,讓登錄對於終端用戶透明。

更新的聯邦模型超越了私有的微軟方式,放棄了Kerberos,使用一種基於XML的開放標準SAML來在安全領域之間——也就是說在身份提供者和服務提供者之間,交換驗證和授權數據,實現了互聯網上的單點登錄。

對於聯邦和單點登錄來說存在的問題是,已經過去了十來年,SAML的採用還沒有超過企業應用的百分之十,很明顯是由於基礎設施軟件的超高成本。

用戶帳號管理與準備

現在的應用,即使是那些採用了聯邦方式的應用,都需要一個本地賬號來做用戶身份管理。挑戰在於管理用戶的數據,尤其一些常規的變更像密碼重置和帳號註冊等。有了對應云端的用戶管理,每個應用都會以不同方式管理用戶,而且通常這種管理進行在應用的內部;用戶管理API既不一致也不標準。

理想情況下,開發者將使用在用戶帳號准備領域與SAML類似的服務準備標記語言(SPML),但是實際上現在只有很少幾個SPML實現。沒有聯邦用戶帳號准備API來實現本地帳號的自動同步,SAML的採用就還會受到局限。另外,還缺少對SAML的個人化屬性、會話上下文或即時用戶帳號准備的整合支持。由於缺少廣泛應用的用戶目錄模式定義,很難構建一般用途的管理工具。

審計和合規

在雲端審計方面的一個關鍵挑戰是要克服SaaS應用的用戶訪問缺乏可見性的問題。使用公開的互聯網而不是公司網絡使用戶脫離了網絡監控工具的可控範圍。

和多數企業網絡不同,雲端是隨處可訪問的。然而,監管的要求是隨著司法系統變化的,複雜而且時常相互矛盾。行業需要框架來對應所有的司法需要,身份管理正處在這樣一個框架的中心,因為很多監管都是以用戶隱私和訪問作為核心問題。

雲平台的架構需求

雲帶來了新的架構和平台,需要服務提供者添加身份相關性。特別是,很多雲服務提供者通過像是KVM或其他來自與VMware或Xen的一些託管的管理程序來提供存儲或數據庫服務,但這些IaaS現在還不能把身份和訪問管理也作為服務來提供。

雖然有著很高的使用率,但虛擬化平台無法消化使用前云計算時代網絡服務器插件和代理的網絡訪問管理(WAM)帶來的固定成本。WAM和插件之間的緊耦合已經被證明很脆弱,而虛擬雲平台的“爆炸性的”、高彈性的性質使插件模型失去了可行性。行業需要一個基於代理的方法,不會加重虛擬化網絡和應用服務器的負擔。

對於SaaS應用的情形來說,整合身份管理這個工作包括實施訪問控制和支持審計兩方面內容。這是個挑戰,而這挑戰來自多租戶模型,以及底層基礎設施由SaaS提供者擁有並運行這樣一個事實。這個事實使得為每個應用實例安裝專用代理或插件變得不可能。而且,對於多數SaaS應用,收集審計日誌是有問題的,因為往往它們和其他租戶的數據是混雜在一起的。在某些情形下,審計的細節不夠解答關鍵取證問題。需要一個松耦合的、非侵略性的身份管理平台來從SaaS應用本身上游施行策略。

身份必須整合、擴展並抽象

兩個雲級別身份結構的核心分別是單對多的集成模型,和通過網絡效應來獲得利益的延伸。另外還有對通過外化和全局採用開放標準來抽象身份的需要。

身份集成

要集成身份基礎設施和應用就需要進化成為一種中樞輻射模型。現在每個應用都要求一個不同的用戶帳號,可是在單對單的基礎上建立聯邦身份連接沒有可伸縮性。唯一獲得可伸縮性的方法是變換成單對多模型,在每個應用裡保存多個用戶身份。

這個問題可以在數學上進行分解,如圖1a所示,一個用戶在應用中使用單獨憑證的單對單模型可以被表示成

憑證數量=(用戶數量×應用數量)。

一個組織的應用的集成可以表示為

鏈接數量=(公司×集成應用的數量)。

在圖中,這些等式以線性增長,意味著對每一個建立的新連接或部署的應用,都在憑證數量或所需集成工作量上有一個對應的增長,同時增加用戶和應用數量則導致指數增長。

圖1.集成身份基礎設施和應用需要改變(a)單對單模型,其中憑證數量=(用戶數量×應用數量),而採用(b)單對多模型,其中憑證數量=(用戶數量+應用數量)。

比如說,設想有一個企業,擁有一萬名用戶(包括顧客、僱員和合作夥伴),他們會訪問十五個應用。在單對單模型下,需要十五萬個用戶憑證(密碼)。每年通過呼叫幫助中心重置一次密碼就會產生到四百五十萬美元的年管理費用。假設十​​五個應用的軟件許可證、部署、集成以及維護的費用都一樣,為五萬美元每連接,集成費用就是七十五萬美元。

雖然單對單模型可能在小規模下能夠正常工作,但它是不可持續的。多數從單對單架構起步的複雜系統都變成了更具伸縮性的單對多模型。比如股票市場的交易中心和結算中心,它們都需要使用中樞輻射模型連接幾百萬用戶和事務;同樣的,像Expedia這樣的旅遊預訂系統也提供了單對多模型來連接旅行者和很多航線。

要在聯邦身份結構下升級連接的數量並控制憑證的增長,雲服務提供者必須也遷移到單對多模型。他們不應該在雲端為了單點登錄和訪問直接集成應用,這樣會製造多餘的帳號和憑證,而應該使用預先集成到若干應用的結構來組成聯邦。

如圖1b所示,從一個單對多模型可以得出

憑證數量=(用戶數量+應用數量)

以及

連接數量=(公司+集成應用數量)。

把這兩個公式應用到前面有一萬個用戶的例子的話,產生一萬個憑證,與單對單模型相比減少了百分之九十三。這樣每年的管理成本就只有31,500美元,由於組織只需要一個到身份結構的連接,年度集成費用就只要五萬美元。

除了成本上的節約,減少百分之九十以上的憑證數量還帶來實際的安全和降低威脅的好處。另外,遷移到中樞輻射架構減少了可能出錯的組件的數量,也提高了可靠性。

身份網絡效應

網絡的價值會隨著更多人的使用而上升,本身也會隨之擴展邊界。這種正網絡效應的經典例子就是電話:越多人有電話,對每個擁有者的價值就越大。

隨著越來越多的用戶和應用集成到身份網絡,這些益處延伸到其他網絡成員,僅僅是因為他們連接在這個網絡上。這之所以成為可能是因為身份結構起到身份集成中介的作用,在網絡中被安全地共享。隨著身份結構的升級,整個雲端都獲得了好處。

網絡效應的例子在雲端隨處可見。來看看蘋果的iTunes。當蘋果公司把應用商店引入iTunes的時候,幾百萬用戶已經習慣於在iTunes上購買音樂,他們能夠快捷地為任意一部iPhone、iPod或iPad從網絡上獲取應用。自從2008年7月面世以來,顧客們已經從應用商店下載了超過七十億應用(請參照此鏈接),為蘋果帶來的巨大的收入。而且,絕大多數的採購是自助式的,沒有IT的參與,是開發者而非蘋果公司開發應用。

類似的,網絡效應也使雲身份受益匪淺。當供應商通過聯邦式單點登錄和用戶準備往結構裡添加新的SaaS應用時,任何網絡成員都可以不需花費額外力氣地利用這個集成的成果,這都是歸功於單對多的方式。通過自助能力把集成工作分散,身份結構的價值獲得了指數級的上升,因為在身份結構和應用間可以建立更多的連接。

另一個網絡效應為身份管理帶來正面影響的例子是Google在Google應用裡實施的強雙重認證。2010年9月,Google把一次性的驗證碼用移動電話(通過短信)發送給用戶,作為他們的密碼之外的又一層認證因素,讓企業能夠保護自己的帳號。

這是對安全的一大改善,目的是減少釣魚攻擊和其他密碼軟肋,但從其本身來說,它只是讓Google應用的用戶受惠。可是當與其他身份結構結合時,強認證的益處就擴大到整個網絡。特別是如果用戶對身份結構的認證是源自Google,經過雙重認證的考驗,那麼這個可信會話就會被網絡上其他聯邦內應用承認,甚至包括那些並不需要如此強認證的應用。通過身份結構的聯邦化,整合和利用Google的強認證能力,雲服務提供者為自己節省了部署和管理強認證基礎設施的成本和工作量。

抽象

實現一個雲級別的身份結構需要把身份抽象成為身份服務。應用開發者在歷史上都是把身份塞進應用本身,維護一個本地用戶庫來執行認證。這導致了冗餘和常常陳舊的數據、密碼的增加和更大的幫助中心開銷。

在過去十年間,應用從利用基於輕量級訪問協議(LDAP)集中認證用戶的外部目錄開始,開始外化身份管理。這對於身份管理的可伸縮性來說是重要的一步,不過還要做的更多——LDAP密碼認證還不夠。企業必須能夠使用一種以上的認證,具體要看和應用相關的威脅的級別。

外化身份管理。把公開雲或私有云裡的Web應用所有的關鍵身份功能外化,開發者可以集中精力來改進應用,企業也可以更有效率管理多個應用的身份:

  • 訪問控制可以外化給網絡代理,不用再在本地應用裡執行。
  • 聯邦和驗證可以從Web應用外化給網絡服務器或代理,這樣應用從驗證服務獲得一個通過驗證的用戶ID,通常是通過HTTP頭。
  • 用代理來集中記錄活動,用聚合工具來報告活動,審計也可以被外化。
  • 利用像LDAP這樣的外部用戶目錄,而不是內部用戶數據庫,可以外化用戶管理。也可以把用戶管理API暴露給外部管理系統,最好是使用標準接口,如SPML。還有,用共通定義的目錄或用戶定義模式可以幫助外部身份管理。
  • 對於新的在雲端設計的應用,授權和賦權可以用新型的基於主張的模型來做外化,這里聯邦內的伙伴會在HTTP頭里提供用戶或事物屬性,或是授權的令牌。

標準。在外化身份時挑戰在於現有的應用要修改到一個什麼樣的程度,這些變更要不要影響到它的行為。改變的代價很大,許多開發者發現很難得到支持去把改善“排水工程”的工作的優先級放到顧客願意花錢去買的功能和改進之前。這就突出了標準的需求,有了標準就可以讓開發者更容易外化身份,這樣他們就可以一次性對應很多種身份管理技術。

要理解為什麼標準是已經充分證明的獲得廣泛應用的方式,我們只需要看看HTML、IP和SSL是怎麼佔領互聯網的。身份管理對於標準並不陌生,從LDAP、x509和HTTP認證可以得到證明。現存的雲端身份標準得到了很好的設計,有著可靠的實現,包括

  • 聯邦單點登錄的SAML,
  • 聯邦帳號管理和準備的SPML,以及
  • 聯邦授權和訪問控制的XACML(可擴展訪問控制標記語言)

上述這些以及其他雲級別的身份標準所存在的問題與優先級定位和採用有關。設想你買了台電腦,附帶一個插頭,可是你只能用在百分之五到十的插座上——而這就是SAML現在的採用率,SPML和XACML則落後的更多。要做到值得依賴,標準還需要更廣泛的採用。

要求聯邦SAML單點登錄的用戶要比要求新功能或某個特別應用的移動版本的用戶來的少。此外,收回實現SAML聯邦軟件的成本很困難,而這成本往往能超過十萬美元。這樣看來在改善身份基礎設施上進展不佳也情有可原。要解決標准採用率問題有兩點要注意:第一點,要利用開源工具如Fedlet來降低實現標準的成本;第二點,利用身份結構來以一種較容易消費的方式來提供這些身份服務,讓工作量和成本盡可能低。

身份基礎設施即服務

根據Nicholas Carr的關於IT進化成公用事業[4]的分析,類似於基礎設施的電力供應是以一個獨有的模式興起的:只有具有大量資本的組織才負擔的起建造和運維自己的水輪機(後來則代之以發電機)的投入。這個基礎設施漸漸地集中成為一個公共事業——發電廠或電話公司,可能是出於像經濟力量和民主化進程的影響。最終,分佈標準和發送網絡的建立導致了對公共事業的廣泛採用,達到了規模經濟效益、成本降低和增加新產能的效果。

雲端身份管理也必須進化到標準化、可以被很多應用和用戶訪問的階段。為什麼它必須以與傳統單租戶、防火牆後身份管理軟件不同的方式來開發呢?沒有人成功地把雲端的結構和模型納入到舊有軟件過,這些舊軟件是基於一套完全不同的假設開發的。要在雲的時代取得成功,組織和製造商必須要從根本上重新思考他們管理、提交和消費身份的方式。

身份基礎設施即服務這個概念來自於兩個大的潮流:其一是IT從一項關鍵基礎設施演變成一項服務,其二為IT的消費品化。

身份即服務

與其在開發或使用一個應用時投資很多去做身份管理,組織還不如利用一項服務來滿足自己的身份管理需求。身份即服務提出了一個隨需的模型,在適當時機提供適量的能力。公司不需要更多考慮實現身份管理的技術,可以更關注服務等級協議和服務管理,而不是基礎設施。這意味著身份管理方式從被公司所擁有變成被服務提供者擁有且運行。

需要投入資本來使用雲服務的身份管理解決方案和這種轉換無關。如果每個人都要買一個蜂窩電話發射台才能使用移動電話的話,那還有多少人能用得起移動電話呢?移動電話現在應用得這麼廣泛是因為用戶不需要購買任何基礎設施就可以使用網絡。他們只需要為服務付租費,就可以訪問到整個共享的蜂窩基礎設施。

考慮一下互聯網域名系統(DNS)骨幹網的例子。大型的DNS服務透明且可靠地提供服務,提供者實際上是怎麼運行域名服務的沒有關係,重要的是域名服務隨時可得而且正確工作。身份服務也必須能夠像DNS服務那樣透明可靠地工作。

消費品化

我們每個人每天都在生活中使用複雜的面向消費者的網絡應用。比如,幾百萬用戶訪問亞馬遜來搜尋和購買物品;上億人連接到Facebook;iTunes有成百萬首歌曲、成千電視節目、電影、podcast和有聲書以供下載。我們在這樣的網站上的體驗讓我們期待企業系統也做到如此簡單、不用費力而且可靠。此外,我們都喜歡“免費又超值”的模式,讓我們可以無需承諾和投資就試用服務。

我們還喜歡自己嘗試。我們通常希望不用IT人員的幫助、只要很少的配置工作就可以使用應用,我們還從民間購買科技產品如智能手機和筆記本,而不是集中地從公司購買。任何人都可以用信用卡和用來買書或其他東西所用的同一個亞馬遜帳號租來一個開發環境,同樣情況也適用於身份管理——專業人士和個人使用者間的界限變得模糊。比方說,你為了工作使用twitter或Facebook的時候,你是一個員工還是一個消費者?這兩者時常很難去區分。

雲服務提供者能夠給他們的客戶更好的身份解決方案,讓他們利用專業經驗,而不用自己來開發。他們必須從一開始就在每一個設計決策中考慮可伸縮性的問題。可惜可伸縮性往往只是在系統過載後才被想起。開發者在開發應用的時候會設定對性能的預期,當滿足預期的時候,就會認為具有可伸縮性。但是當預期變化的時候問題就來了,比如有的時候產品出乎意外的像病毒發作一樣的爆發性地成功,又比如把應用服務器移植到雲端。用託管管理程序來把計算能力從應用中抽像出來是一個向上升級的簡單方法,但是多數應用並不是採用了能夠直接利用雲端所具有的N+1升級能力的架構。

鞏固了身份基礎設施,服務提供者可以獲得規模經濟效果。就像使用固態硬盤,需要移動的部分減少了,結果運行時間和可靠性都得到了改善。每個身份集成點都是一個壓力點,而每份憑證都都擴大了攻擊的受面和潛在幫助中心成本。

展望

許多大規模身份生態系統都有著爆發的潛力來加速雲端身份的變遷。2010年3月發布的Google應用在頭一個月就獲得了超過兩千七百萬用戶[5];顯然,現在的數量應該會高得多。其他的例子還有twitter,有一億六百萬註冊用戶,每天新增三十萬用戶[6],還有Google的Gmail,號稱擁有一億七千萬每月都會訪問的用戶[7]

Facebook經歷了大流行,擁有超過五億五千萬用戶——比美國、加拿大、英國和意大利的人口總和還要多[8]由於Facebook平台和用戶社區的封閉性,這樣龐大數量的用戶可以作為整體與身份結構結合。當Facebook在2009年引入了OpenID身份共享的支持的時候,上億人一下子就擁有了OpenID憑證。

當之前一年Google決定支持OpenID時,它一夜間就為這個市場帶來了一億用戶。雲端身份隱含的結果就是,已經被證明能夠擴展到上億規模的消費者驗證模型將成為身份結構的一部分,賦予其關鍵的數量和規模。這些例子清楚地表明鏈接企業和雲端的身份訪問架構不但有用而且必要。

雲的增長可以與一個大規模地建造住宅,卻不去建造支持交通客流量的道路基礎設施的城市相比。在雲時代網絡管理員必須要管理大量用戶身份並保障他們的安全,但在身份管理的方面雲的發展並沒能跟上步伐。

要落實雲端的益處,企業必須獲得能夠克服前云時代身份架構局限的身份基礎設施。這意味著要使用身份結構來連接許多應用到一個身份。身份的滋生要求一個更好的身份管理方案,不只是減少IT管理員花在管理身份上的工時,還要解決安全和隱私隱患。

能夠提供企業和雲端安全連接,且減少身份數量的身份結構是加速雲端全局採用的明確答案。作為基礎設施服務發布的隨需即得的基於雲端的身份管理極大地惠及用戶、網絡管理員、應用軟件商和服務提供者。雲雖然已經是無所不在的技術,還是要讓身份管理結構做到無所不在,因為雲本身的增長和接受度也有賴於此。

關於作者

Eric Olden是科羅拉多州Boulder的一家云端安全供應商Symplified的創建人、CEO以及主席。他的公司正在開發一個隨需信託結構來幫助保障和促進云的採用。Olden從加州大學伯克利分校畢業。要聯絡他可以發郵件到eolden@symplified.com。

Computer , IEEE計算機學會的旗艦出版物,出版受到同行高度評價的、由專業人士撰寫、寫給專業人士的文章,反映了從硬件到軟件、從最新研究到新的應用的計算技術的全景。比商貿雜誌奉獻更多技術內容,比研究學刊提供更多實用思想。Computer貢獻可用於日常工作環境的有益信息。


[1] E. Knorr and G. Gruman, “ What Cloud Computing Really Means ,” InfoWorld, 7 Apr. 2008; 

[2] “ Twitter User Statistics Revealed ,” The Huffington Post, 14 Apr. 2010; 

[3] Morgan Stanley Research, The Mobile Internet Report, 15 Dec. 2009, Morgan Stanley & Co.; 

[4] N. Carr, The Big Switch: Rewiring the World, from Edison to Google, WW Norton & Co., 2008.

[5] C. Boulton, “ Google Apps Marketplace Stats Expected to Show Platform Success ,” eWeek.com, 8 Apr.2010; 

[6] “ Twitter User Statistics Revealed ,” The Huffington Post, 14 Apr. 2010; 

[7] BBC News, “ Google Takes on Facebook and Twitter with Network Site ,” 9 Feb. 2010; 

[8] Central Intelligence Agency, The World Factbook 2009 ; 

查看英文原文:Architecting a Cloud-Scale Identity Fabric

Read more >>

關於EC ONE ECONE-top-right.png