云安全和访问管理

云安全和访问管理

自从云计算概念被提出以来，云计算已经变得非常流行。随着越来越多的数据和应用程序从传统系统转移到云端，企业及其管理层在云端存储、处理和访问数据时保护数据免受威胁和攻击变得至关重要。本文讨论的云安全和访问管理概念涵盖了一组技术、规则和法规，它们共同帮助企业保护其数据和客户的私人信息。

云计算简史

许多人会认为云计算的发明是21世纪技术进步的一部分。然而，云计算基金会在60多年前就开始了。计算机科学家J.C.R.Licklider在20世纪60年代中期发明了一个互联计算机系统。这个想法帮助Bob Taylor和Larry Roberts开发了第一个允许在互联但分离的远程计算机中进行通信的网络，称为ARPANET，即Advanced Research Projects Agency network，也称为“互联网的前身”。

随着时间的流逝和技术的进步，现代云计算应运而生。例如，IBM在1972年发明了虚拟机（Virtual Machine，VM），一种操作系统，到1996年，云计算已经成为公司，教育机构等越来越多的资源。

云计算的好处

云计算有许多为企业及其用户服务的优势。它可以建立一个虚拟办公室，允许随时随地与企业建立灵活的联系。云计算的一些好处包括：

1.工作活动的灵活性： 云计算通过多种方式为工作人员提供了灵活性。例如，可以从任何地方轻松访问数据：国内，国外或其他大陆。

2.安全性： 这是云计算的最大优势之一。它确保在发生本地自然灾害、危机或服务器损坏时，数据文件可用且安全。

3.节省成本： 云计算通常提供按量付费的定价模式。在软件或硬件方面没有过多的前期资本投资，也不需要经过内部培训的人员进行维护。

4.可用性： 可以以很少的成本轻松扩展数据存储，并且可以根据业务需求修改或扩展云功能。

5.自动化： 主机可以监视，控制和报告云计算的使用情况，从而提供操作透明性。

6.易于维护： 云计算系统经常升级，这使得它与更新的技术兼容。服务器也很容易维护，中断的可能性也很小。与竞争对手相比，企业也处于优势地位，因为它们可以快速接收信息和应用程序的更新。

7.可访问性： 用户可以使用互联网连接的设备（例如电话，平板电脑，笔记本电脑或工作站）轻松快速地访问存储的数据，从而提高生产率。

云计算有一些缺点。例如，意外的第三方访问，与第三方云计算服务提供商共享敏感信息，以及开展业务需要互联网连接。然而，云计算被广泛应用和接受的事实不容否认。

云计算的类型

云计算的普及是因为企业需要大量的数据存储空间。此外，小型和大型企业可以从云平台提供商提供的高级安全和访问管理中获益。云环境可以提供私有、联合或混合以及公共选项。。

私有云

Gartner将私有云定义为“仅由一个组织使用或确保组织与其他组织完全隔离的一种计算形式。” 它旨在满足组织的基本需求。它提供了灵活性，安全性和许多其他好处。通常是以月租期为基础。

公有云

公共云计算系统具有可扩展性和弹性。IT功能作为一种服务提供给使用互联网技术的外部客户。公共云的好处包括改进了安全系统，在传统的本地存储能力之外增加了存储能力，并且可以节省时间和金钱。

混合云

混合云是一种计算环境，它通过允许在数据和应用程序之间共享而将公共云和私有云结合在一起。根据Gartner的说法，它指的是“基于策略的、协调的、跨内部和外部云服务的服务供应、使用和管理”。混合云为企业提供了获得竞争优势所需的灵活性。

云计算模式

云计算分为三种主要的云服务模式，分别是软件即服务（SaaS），平台即服务（PaaS）和基础设施即服务（IaaS）。

软件即服务– SaaS

这是广为人知的云计算模式之一。这是一个应用程序托管并在Internet上提供给客户的场景。用户可以在Internet上访问应用程序，而无需在本地下载、更新和运行这些应用程序。

SaaS的好处

由于易于访问，这种软件模型因不同的业务应用程序而闻名。订阅费按月或按年支付。

SaaS的优势之一是该模型可以在所有设备上完美运行，从计算机到移动设备，而且还支持所有主流浏览器。此外，对于SaaS客户而言，系统的自动更新会非常频繁。

因此，它们降低了可用时购买新软件版本的成本。这对于IT人员有限的公司而言非常有利。此外，SaaS平台还降低了软件许可成本。

然而，SaaS客户面临一些挑战。用户在将大文件从一个软件平台移动到另一个平台时可能会遇到困难。如果用户或IT部门决定一起替换SaaS软件，这一点尤其正确。

此外，SaaS用户需要连接到Internet才能访问他们的文件。与客户端或服务器应用程序相比，SaaS应用程序运行速度较慢。

SaaS最合适的用例包括：

•希望快速运行电子商务应用程序的新成立公司

•需要快速关注的短期项目

•高峰季节使用的诸如Turbo Tax软件之类的应用程序

平台即服务– PaaS

这是一种云计算模式，第三方提供商通过互联网为用户处理应用程序开发所需的硬件和软件工具，这两种工具都托管在其基础设施上。

它们可以通过公共云、私有云和混合云提供应用程序托管，而且它们的许多产品都面向软件开发。付款是基于每个用户的模式，消除了硬件和软件的费用。

基础架构即服务– IaaS

这是一种云计算模型，可通过互联网提供虚拟计算资源。而且，它是一种云计算形式，可以按需付费，向消费者提供重要资源。

优点

•节省时间：基础设施成本较低，对于新业务而言，这是一种经济的选择。

•灵活性：工作者可以访问并连接到服务器以快速检索数据。

•可用性：它可以在服务器停机时运行，对基础架构造成损害的机会较小。

缺点

•安全性：企业无法控制云安全性。

•可访问性：技术问题可能会依赖第三方来解决，因此可能会限制对应用程序和数据的访问。

云身份管理

云计算是各种计算资源（如服务器、存储、应用程序和服务）的组合，为云用户和客户提供按需访问。

云中存储的数据由云服务提供商（CSP）维护。因此，身份和访问管理是基于云的服务的一个重要关注点，因为许多数据泄漏的情况是由于身份和访问管理不当造成的。

身份和访问管理（Identity and Access Management，IAM）是一种将安全性和身份验证构建到分布式资源中的方法，因为无法避免资源（服务，存储等）的广泛分布，并且通常没有单一的软件可以保护所有系统。

身份和云访问管理SaaS每天都在扩展，因为许多SaaS正在迁移正在迁移到云应用程序。最新的身份和访问管理市场报告估计，截至2019年，IAM市场价值183亿美元。

身份管理标准和协议

物理安全机制

其中包括访问卡和生物识别技术，可确保对云物理资源的访问安全。

芯片和密码

芯片和PIN卡是一种信用卡，要求持卡人通过引入卡并输入个人识别码（PIN）来授权交易。该芯片为正方形，可在卡上看到并存储信息。芯片卡和密码卡的组合比老式信用卡更能防止欺诈。

单点登录

SSO是一种身份验证服务，允许用户使用一组登录凭据（例如，名称和密码）访问多个应用程序。公司可以使用它们来避免为数千个用户和系统管理用户名和密码。

它是联合身份管理（FIM），此系统的使用称为身份联合。此服务的示例是Kerberos和安全声明标记语言（SAML）。

优点

•每个应用程序的密码和用户名较少

•减少IT部门对访问问题的投诉

缺点

•用户无法访问网络时，他们被锁定在连接到单点登录（SSO）机制的多个系统之外

•未经授权的用户一旦访问系统便可以访问多个应用程序

OpenID

这是基于OAuth 2.0规范系列的分散式身份验证协议，该协议允许用户通过第三方身份供应商对资源提供者进行身份验证。它支持SSO服务，用户可以轻松登录到支持OpenID身份验证使用的网站。OpenID的最新版本是OpenID Connect（OIDC）。它允许对本机和移动应用程序进行身份验证，并为参与者之间的通信提供链接。

零信任

零信任是由John Kindervag于2010年创建的，其基于这样的信念：组织需要彻底验证和审查任何用户，无论是内部用户还是外部用户，或者任何想要访问其系统的用户，然后才被允许访问。

Zero Day

零日漏洞管理可防止在发现软件弱点的同一天发生网络攻击。当检测到软件问题和更新时，会向公司发送报告，以便立即修补软件。

轻型目录访问协议

LDAP允许用户在公共或公司网络上查找有关组织和个人的数据和信息。可以在不同的应用程序或服务中使用它来对用户进行身份验证。

内容安全政策（CSP）

内容安全策略是一个安全层，可减轻与跨站点脚本（XSS）和数据注入攻击有关的某些安全风险。这些类型的攻击用于获得未经授权的访问，窃取数据，插入恶意软件以及破坏网站。

质询握手身份验证协议

CHAP是一种安全协议，用于验证用户访问网络实体（如任何服务器或Internet服务提供商（ISP））的身份。

身份验证机制

身份验证是基于某人或设备所拥有、知道或拥有的信息（如密码、手势、声音等）对其进行身份验证的过程。

权益

这是一种基于已验证用户的权利或权限来允许或拒绝对特定资源的访问的方法。该过程决定了用户进入系统后可以执行的操作。

有时，这些授权权限由第三方供应商提供，应用程序可以访问企业或个人的某些私人信息。云计算中的授权是通过访问控制策略或访问权限委托获得的。

强制访问控制

MAC是一种定义用户访问权限的机制。它通过操作系统授予访问权限，并控制数据所有者允许或拒绝客户端访问文件系统的能力。客户端无权更改这些访问权限，不过，这需要仔细规划和频繁监视。

自由访问控制

MAC是一种定义用户访问权限的机制。它通过操作系统授予访问权限，并控制数据所有者允许或拒绝客户端访问文件系统的能力。客户端无权更改这些访问权限，不过，这需要仔细规划和频繁监视。

监管机构的要求

HIPPA

1996年，美国总统比尔·克林顿签署了《1996年健康保险便携性和责任法案》（Health Insurance Portability and Accountability Act of 1996）和HIPAA，也称为《肯尼迪卡塞豪法案》（Kennedy Kassehaun Act）。它的建立是为了引入新的医疗保健信息流，并规定了医疗保健部门维护的个人信息应如何防止欺诈或盗窃。

HIPAA规定，医生和医疗保健专业人员可以使用移动设备访问云中的医疗数据，只要有物理和管理措施来保护所用设备上医疗数据的机密性和可用性。此外，如果云服务提供商遇到数据安全漏洞，则必须向相关实体和业务伙伴报告。

FEDRAMP

联邦风险与授权管理计划是一个政府机构，为云产品和服务的安全评估，授权和持续指导提供的标准方法。该计划中包括云系统的规定，该云系统提供了额外的安全性来保护和加密政府信息。

金融现代化法案

《金融现代化法案》（Financial Modernization Act）又称《格拉姆-里奇-比利法案》（Gramm-Leach-Biley Act），是美国联邦法律，要求金融机构列举如何共享和保护客户的私人信息。

金融机构必须与客户讨论他们如何共享敏感数据，公司还必须解释客户不满意时的退出选择。

该法案的作用是确保金融机构保护其客户私人信息（例如银行帐号，地址，电话号码，信用收入和历史记录）的机密性和安全性。

GLBA要求持有财务数据的金融机构或CSP必须：

•创建书面的信息安全计划。

•设计和实施要定期监控和测试的保障计划。

•根据紧迫的挑战和情况调整服务。

FIPS 200

这是1996年《信息技术管理改革法案》签署的第二个标准，其中列举了联邦数据和信息系统的最低安全要求。该法案规定，联邦机构必须在以下17个领域中满足某些最低要求：

•访问控制

•意识和培训

•审计和问责

•认证、鉴定和安全评估

•配置管理

•识别和认证

•事件响应

•维护

•媒体保护

•物理和环境保护

•规划

•人员安全

•风险评估

•系统和服务获取

•系统和通信保护

•系统和信息完整性

云计算的未来

21世纪的时代经历了巨大的技术进步和云计算的增长。云计算的未来一直是许多技术科学家和研究人员争论不休的话题。

据估计，到2045年，世界人口将增加到90亿，云计算将为未来的城市提供数字基础设施。此外，通过云计算将更好地管理电梯，无人出租车和自动驾驶汽车。

对于公司，尤其是中小型公司，云将成为一种变革工具。人工智能和其他云计算方面将成为所提供服务的一部分。

云还将帮助社会适应不断增长的数据量。车载技术将会有一个发明和进步。因此，人们将使用无人驾驶汽车，该汽车将配备可产生大量数据的传感器和摄像头。云计算将支持人工智能等新兴技术，帮助它们适应新的移动平台和设备。

结论

云计算将扩展到使资源、应用程序和数据随时随地可用，而不受位置和距离的限制。安全威胁将增加，新的云安全技术将出现，以保护和保护大量数据。

IaaS，SaaS，PaaS这三种云计算模式是云计算的重要方面，它们都对业务运营做出了重大贡献，同时又带来了独特的挑战和风险。云计算的功能和优点是无穷无尽的：可访问性、节省成本和易于维护。

云安全最佳实践、标准和协议包括标识，身份验证和授权控制，以限制受到威胁的可能性。

云安全性和访问管理概念和机制包括OAuth，OpenID，轻量级目录访问协议（LDAP），零信任，零日漏洞和内容安全策略（CSP）。尽管各种法规为数据保护提供了指导，但它们也给不遵守法规的组织带来风险，并可能因安全事件而对监管机构和消费者承担责任。

云计算的未来是令人兴奋的，它将带来一个新的技术进步领域。必须制定强有力的云安全政策和解决方案，以消除黑客威胁和未经许可访问数据。是时候为先进的技术努力做准备了，这将推动人类走向数字化和机器人化的未来。

本文翻译自《Cloud Security and Access Management Concepts》一文。

原文链接：https://www.identitymanagementinstitute.org/cloud-security-and-access-management-concepts/

关于我们

「龙归科技」 是一个专注于低代码赋能企业级信息化服务提供商。核心创始人团队来自绿盟安全、红帽开源操作系统、知名游戏玩蟹科技、知名开源社区等专家共同创立。

「龙归科技」 致力于让中国每一个企业拥有专属的自动化办公操作系统，助力企业或政府拥抱 （Cloud Native First）云原生优先战略，帮助客户构筑以「身份与应用」为中心的现代化 IT 基础设施！从而实现 「数字化转型」 及 「软件行业工业化生产」 ！

主打产品：ArkOS方舟操作系统：一个企业级办公自动化操作系统 ，结合自研低代码应用开发平台，构建产业生态，专注为各类企业与组织机构打造一体化全栈云原生平台。系统自带应用包括：ArkID 统一身份认证，ArkIDE，ArkPlatform，App Store 等产品。截至目前，公司已经获得 15个 软件著作权、2个发明专利，并与2020年11月份，获得北京海淀区中关村国家高新技术企业认定。

相关链接：

官网：https://www.longguikeji.com/

文档：https://docs.arkid.longguikeji.com/

开源代码仓库地址：

https://github.com/longguikeji

https://gitee.com/longguikeji

历史文章

1. 登录的轮子，你还在造？
2. 企业级单点登录——信息化体系建设基础
3. 远程办公，你准备好了吗？
4. 企业信息化，怎样才算数？
5. 龙归科技 | 对未来的若干猜测
6. 龙归科技 | 企业办公自动化的未来
7. 龙归科技 | 软件的成本下降
8. 开源软件项目的定性和定量分析指标 —— CHAOSS 指标解析
9. 使用SSO增强身份安全性的四个理由