聯合識別(federation)透過業界標準例如SAML,在網路、雲端、應用程式之間建立一個信任的鏈結,不再需要繁雜的身分識別目錄複製與插入。身分識別與存取由企業管控,並且在企業、雲端與SaaS服務供應商之間進行認證。企業能夠集中化的管控使用者認證與終止。聯合識別提供了存取能見度與管控能力。
企業組織採納雲端技術可以帶來許多不可否認的效益,包括成本節省、商務敏捷性以及讓使用多種運算裝置的員工們達到更好的生產力。根據IDC所做的第五個年度終端使用者調查,亞太區資訊長(CIO)在2013年增加50%的雲端服務與技術支出,達到75億美元。儘管有著那麼多正面效益,但關鍵在於有一項致命且牽動所有層面的負面因素,阻礙企業朝雲端轉移,那就是被全球和亞洲企業組織視為最高優先的「安全性」!
大多數人們認為雲端比不上傳統資料中心安全,或者認為現在欠缺可以解決一些特定安全顧慮,例如資料外洩的完美方案。這並非真實,真正讓終端使用者感到不安的原因在於喪失管控能力。
儘管人們對於轉移到雲端運算有所遲疑,但事實上它擁有比傳統資料中心更多層的安全性。然而,一旦CIO選擇將應用程式從他們的資料中心轉移到雲端,就等於將他們整體資料保護的部分管控權讓渡出去。正因為如此,除了選擇一家優良的雲端服務供應商以建立信心之外,CIO需要在他們可以著力的地方如應用層強化安全性。
面對新典範的行動化、雲端與混合網路,企業如何解決網路、應用與資料存取問題?如此眾多行動化但僅受到公司有限度管控的新裝置,加上散佈在網路、各種雲端與SaaS環境的應用與資料,企業該如何確保快速、適當、驗證與授權的存取?
身分識別只是管控存取的先頭部隊。使用者請求存取的當下情境,以及他們提出存取請求時所處的環境,同樣都是確保安全存取的要素。若能夠適當地管控「何人」、「何事」、「何時」、「何地」、「為何」與「如何」,就可以確保、強化和區分使用者對網路、
雲端、應用與資料的安全存取,而不論那些資源駐留在何處或如何組成。
確保有效率且安全地在網路、雲端、應用程式和資料之間分享使用者身分識別,是當前必要的工作。然而,這有許多挑戰,例如身分識別孤島、雲端與SaaS應用和資料的企業內部(on-premise)身分識別、以及使用者密碼疲勞(導致較弱的使用者名稱與密碼)等都很容易被破解。解決之道就是要構築一個身分識別橋梁。聯合識別(Federation)透過業界標準例如SAML,在網路、雲端、應用程式之間建立一個信任的鏈結,不再需要繁雜的身分識別目錄複製與插入。身分識別與存取由企業管控,並且在企業、雲端與SaaS服務供應商之間進行認證。企業能夠集中化的管控使用者認證與終止。聯合識別提供了存取能見度與管控能力。
F5利用安全性判斷提示標記語言(Security Assertion Markup Language,SAML)在身分識別提供者與服務提供者之間交換認證與授權資料,協助企業組織在應用層強化安全性與存取政策。其後,他們就可以一致地維護政策執行並確保使用者能夠存取關鍵的服務,跨越應用程式與環境,讓雲端部署更為簡單且擁有更安全的本質。
(本文作者現任F5台灣暨香港區資深技術總監)