近年来,很多基于云的服务公司,包括Zappos、Evernote和LinkedIn,都被不计其数的用户密码泄露事件攻破。虽然有大量关于确保密码管理和存储的安全的文章来反映这样的事件,但是实际上访问云服务需要的远不止用户名和密码身份认证。
幸运的是,日益增加的云提供商正在提供更健壮的身份认证衡量,以及更强有力的身份认证和基于角色的访问控制。然而,每一个提供商的身份认证产品究竟怎么样呢?
在这篇技巧中,我们将探究一些主要云提供商的多因子身份认证选择,细化挑战和优势,涉及使用更有效的公有云中的身份认证和身份认证技术。
云端多因子身份认证
在讨论公有云提供商时,有两个大名鼎鼎的公司,即亚马逊Web服务(AWS)和微软Windows Azure,因此我们将关注这两个提供商的身份认证功能。
微软最近发布了其Windows Azure多因子身份认证服务器,这也是微软2013年收购的一家厂商的PhoneFactor软件的升级版本。简而言之,提供了一些简单的身份认证特性。除了Azure用户密码,开发者现在可以在一次身份认证事件发生时,通过电子邮件、电话、文本和其他的途径通知用户,附加的PIN或者身份认证口令需要参与完成完整的身份认证活动。
微软通过集成内置的本地和基于Azure的Active Directory用户存储库,让这种形式的身份认证更吸引人,允许本地部署和集成Active Directory和应用。此外,多因子身份认证现在何以同RADIUS、轻量目录访问协议 (LDAP)和互联网信息服务器(IIS)Web应用结合,也可以轻松扩展和集成到Azure云端。在本地和Azure云中能够进行多因子身份认证集成为用户提供了极大便利,对于混合云部署提供了更多保障,内部云和公有云场景中也是如此。
AWS的产品如何对应微软的最新云身份认证产品呢?首先亚马逊在创建的AWS身份和访问管理(IAM)角色中为管理AWS账户和用户提供了多因子身份认证。亚马逊Web服务还允许将软口令(soft-token)集成到计算机、平板电脑和智能手机上,这些设备上运行的应用基于时间的一次性密码标准,主要包括谷歌动态口令、AWS针对安卓的虚拟MFA以及Windows Phone设备的动态口令。用户可以购买Gemalto硬件口令,用来替代。
很多其他的云提供商提供了类似微软和亚马逊的多因子认证选择,大多数关注移动设备并且利用文本、电话集合的方式,或者是本地生产的代码。谷歌为例,通过移动设备上的本地应用生成验证码提供了第二种身份认证因子(除了用户名和密码),或者是用文本或电话将代码发送到移动设备上。这个代码必须在输入用户名和密码之后输入才能完成任何谷歌应用的完整访问。
云身份认证障碍
我们已经通过一些领先的云提供商确立了一些有效的身份认证的特性,但是在部署和管理公有云中的多因子身份认证时,企业面临的主要挑战是什么呢?首先,正如上面所提到的,大多数选择关注移动设备,因此如果设备一旦被窃或者遗失,用户账户至少在短期内处于潜在的奉献中。然而,这种风险是大多数“软”口令身份认证工具的固有风险,企业在通过这种途径进行认证的时候需要接受这种风险。另一个问题在于用户如果忘了PIN码或者遗失硬件口令,云提供商提供支持就很重要。在使用云提供商的身份认证工具和支持产品时,要确保审查清楚不同的支持服务水平协议和选择。
最后,现有应用和企业的IAM基础架构的兼容性是个挑战,尤其是当企业已经使用了多因子选择,不同于云提供商所使用的。最终一些企业就可以赚到身份认证即服务提供商,他们可以处理健壮的身份认证、身份认证和联合,而不是在提供商层面实施这样的内部功能。出于这个原因,微软最近的身份认证产品可能比其他的混合云部署和集成内部应用和系统的云提供商,提供了更多的灵活性。
总结
很像传统的企业IT环境,身份认证仍旧是云环境中棘手的问题。多因子身份认证服务目前在类似微软和AWS这样的厂商中有望解决这些问题,但是如果脆弱或者不兼容的选择出现了,企业必须警惕可能的问题。通过提前花时间确保云提供商提供了有效且兼容的身份认证服务,随后可能避免这样的问题。
