云计算的服务安全身份识别与访问管理

　　Sas服务安全身份识别与访问管理是一套建立和维护数字身份，并提供有效地、安全地访问资源的业务流程和管理手段，利用AM可以实现组织信息资产统一的身份认证、授权和身份数据集中管理与审计。通俗地讲：AM是让合话的自然人或系统（统称访问实体）在恰当的时间通过统一的方式访间授权的信息资产，提供集中式的数字身份管理、认证、授权、审计的模式和平台。从传统意义上来看，机构实施AM可以提高运营效率，并满足法规、隐隐私和数据保护等方面的需求。在云服务环境下实施1AM具有更多意义，它除了提高运行效率和合规性管理效率，1AM还可以实现新的交付和部署模式（作为一种云应用服务）例如，身份联合，作为IAM的关键组成部分，可以实现跨信任边界的身份信息连接和携带。因此，AM使机构和云服务提供商通过web单点量录及联合的用户开通，在安全信任域间建立通道。

　　云服务的用户需要1AM保护云中自有应用在云服务发展初期至中期，云服务市场格局尚未形成垄断型格局，企业在将一部分应用移入到云中（如AmazonEC2）的同时还会保留一部分应用在企业内部（可能某些关键应用永远也无法放在云环境中），同时还会在不同CP那里订阅SaaS服务（Salesforce．comCRN和GoogleDocs），这将形成企业应用混和模式，给出了云服务环境下企业应用混和格式，在此格局下可能包括企业内部应用、基于laS和PaS部的专有应用、SaaS应用等在云服务环境下，企业的网络、系统和应用程序的边界将延伸到CP所在的T服务域内（对于大多数从事电子商务、供应链管理、外包和与合作伙伴及社团协作的大公司来说，这早已是事实。

　　另外，在目前情况下，云服务环境对用户而言透明度极其有限，用户对于腰务的都方式和位置以及它的控制方式，可能只知一二甚至一无所知。云服务可以由多个供应商的众多服务的“混搭”组成，可以是在不同地理位置的数据中心进行物理托管的。这种信任边界的模及服务非透明化的模式使得企业用户几乎完全丧失了对T控制的能力。这种控制权的丢失，对企业已有的信任模型和控制模式包括对于员工和承包商的可信来源形成了很大的挑战。若没有得到妥善解决，将阻碍企业对云服务的使用。

　　为了弥补网络控制权限的丢失并加强云环境下应用安全风险管理，企业将不得不根据数据价值（或数据安全等级）对迁移到云服务环境下的应用和数据采取更高级别的安全控制措施，即用户认证和访问控制（IAM），这些安全控制表现为强认证、基于角色或声明的授权、身份联合、单点登录（SSO）．用户行为监测以及审计等。同时对于订阅的可以产生高价值数据的SaS服务，如CRM应用等，企业应该根据数据价值（或数据安全等级）向CP确认已经实施了严密的安全控制的措施，其稳固程度至少应该与企业的安全水平相当。

　　小编结语：对于使用私有云的企业，这种架构通常是专用基础机构基础上发展而成，因此，仍然面向单一租户（即企业）专用，这种架构的应用保护同样要求有类似企业传统架构的安全访问控制措三施。