云计算之安全路标 (2) – 身份访问控制管理-IAM
在过去的十年里,企业投入了很大资源,用于建立贯穿覆盖基础架构和主要应用的身份帐号IAM系统。现在,“云”出现了。“云”中的IAM与传统的IAM相比,不仅同样重要,而且出现了更加令人兴奋的新特点。
对一个中大型企业来说,IAM是一个很消耗资源的工作。形象一点来计算,有10000名员工,1000台服务器,500个网络设备,100名IT工程师。这时,在通常的情况下,大概的ID数量已经达到在数十万个。为什么这么多?大概有近百个应用,不多吧。假设大部分应用已经实现了集中的账号和认证,例如不管是基于AD的LDAP,还是其它的企业目录,这样应用层面的ID是10万以上或数万个。大部分Windows服务器也加入了AD域或通过PAM等实现了集中的账号和认证,这时服务器上面的ID数量大概也是10-数万个。网络设备假如也大部分实现了Radius/ACS等的集中账号和认证(通常需要本地的应急和备份账号),网络账号较少,应该数千个。从安全实践上来说,每个季度核查确认一遍ID应该不算过分,确认过程可能是通过HR系统、合同管理系统、邮件系统、手工排查等的联合操作,在一般性的工具和流程条件下,消耗的人力应该在数百人天,全年下来,在上千人天。按照每人天500元计算,安全成本达到了数十万元。即使通过外包等方法,将每人天费用降到100元,费用也是很可观的。您得记住,这里,没有计算进一步核查“访问授权”的部分,那部分的人力资源消耗比ID确认要大数倍,即使你把它降低到非常粗粒度的水平。
IAM是很基础性的工作。IT界的大厂商基本上都有自己的IAM解决方案,例如IBM/HP/CA/Microsoft/Oracle(SUN)/Novell/…. 还有很长。国内在此方面的投入从几年前已经开始,但是从企业内部来看,自动化、集中化、集成化的水平还有很大差距。安全经理经常需要在安全性和成本、进度等问题上被迫妥协。随着符合性和安全意识的提高,在此问题上的投入还会持续增加。
基于互联网的应用千百万,家家户户各不同。用户只能费力的记住自己申请了那些账号,口令是什么。觉得无奈、没办法、记不住、不想记的时候,就会妥协,把他们记下来、口令很简单。好消息是业界已经做了很多的努力,像OpenID, Microsoft的Passport等。作为某个独立的应用,按照集成方法集成了,用户就可以使用公用的账号和口令登录使用。这在Blog的留言系统中采用尤为普遍。
在云计算年代,更多的应用被迁移到了互联网上面,或者企业内部私有的,或者提供给公众的。ID带来的隐私问题(个人通常不介意创建免费的ID,并留下若干个人信息,但不会费力去删除那些不用的ID)、ID的假冒和识别(此张三、非彼张三)、ID的信任度(它的财务状况、被投诉状况等)、应用之间关联ID的单点登录SSO都为独立的、第三方的、专业的ID服务商提供了成长的土壤和空间。它需要具备完善易用的集成开发接口、用户友好的服务界面、多种的认证方式、灵活的流程引擎、完备的日志和符合性模板等。
Recent Comments