雲端身分驗證與存取管理

·身分供應方式：對於採用公有雲端服務的企業來說，創建新的使用者和回收已開設的帳號，將是必要的作業流程，所以了解服務供應商是如何提供所需的使用者帳號，以及如何刪除不再使用的帳號，就是必要的功課，這也將有助於企業分析如何將現有的使用者管理方式，進一步延伸至雲端服務之中。

·身分驗證方式：一旦企業開始採用雲端服務，如何確保所採用的身分驗證機制具有足夠的安全強度，避免受到外來的破解入侵，將是不可輕忽的重點，因此了解雲端供應商的身分驗證方式，包括是否採取了多因素驗證或憑證管理，才可判斷此項雲端服務能否符合企業對於安全的信任和期望。

·身分管理聯盟：在雲端服務之中，有所謂的身分供應商（IdP）是可以提供企業和服務供應商之間所需的身分管理服務，這時候，了解身分供應商與服務供應商彼此的合作關係，以及對於身分生命週期的管理就顯得相當重要，企業也勢必要了解這種作法是否可以有效保護系統的安全性，以及確保資料的機密性與完整性。

身分驗證與存取管理的建議

在CSA的雲端運算關鍵指南中，對於身分驗證和存取管理，提出了以下建議，可作為企業在採用雲端服務時的評估基準與參考：

1. 目前的雲端服務，藉由供應商所提供的身分驗證功能，可能無法完全滿足企業所需的功能要求，在這種情況之下，建議企業仍要避免採用獨特的身分連結與管理方式，否則將會增加身分管理的複雜性，以及未來無法易於遷移的問題。

2. 採取業界標準的身分連結方式是最好的，像是目前廣泛運用的SPML模式，如果供應商支援此一服務供應標記語言，將會降低身分管理的獨特性，必要時企業也需要修改其身分授權的資料庫，以便延伸至雲端服務之中。

3. 在身分認證方面，企業通常有兩種選擇，一種是採用企業認證，藉由身分驗證供應商所提供的服務，以聯盟方式來建立與雲端服務供應商的信任。另一種則是讓使用者以個人的名義，透過普遍應用的公有服務，像是Google、Yahoo、Windows live及Open ID等來建立可在多個網站使用的身分憑證。

4. 如果企業使用的是IaaS的基礎服務，為了達成伺服器的管理要求，利用VPN來建立專屬通道，會是較為簡易的驗證方式，若是直接透過應用程式進行相互連結，那麼採用SSL的加密協定是必要的作法，應該確保應用程式在一開始設計時，即具備可接受此一形式的身分驗證。

5. 隨著雲端服務愈來愈多，各項系統的身分驗證要求將形成企業運作的負擔，因此透過身分聯盟來減少登錄系統的要求是可行的作法，但要注意的是在不同的服務供應商之間，如何確保身分驗證的有效性，並提供所需的身分週期管理，將成為評估雲端服務供應商時的重要關鍵。

在雲端的環境之中，各項服務的應用都非常仰賴使用者的帳號和身分，一旦使用者的身分受到冒用或盜用，勢必對企業的營運和資訊安全會造成龐大衝擊。因此選擇具備一定強度以上的身分驗證方式，並事先了解可能面臨的安全風險，絕對是企業必要的功課之一，尤其是雲端服務很可能讓傳統的身分驗證變得更加複雜，並且產生以前所未知的資安風險，這是所有採取雲端服務的企業，務必要有的認知與挑戰。

參考資料
CSA: Security Guidance for Critical Areas of Focus in Cloud Computing