3.2.6  管理或?qū)彶椴蛔?/p>

3.2.6.1  身份認(rèn)證管理薄弱

傳統(tǒng)的網(wǎng)絡(luò)安全模型中，針對網(wǎng)絡(luò)終端用戶的安全接入和訪問控制已有成熟的解決方案，但是在云計(jì)算環(huán)境下，對云端用戶的安全接入和訪問控制出現(xiàn)一些新的要求，特別是在基礎(chǔ)設(shè)施即服務(wù)的模型中，云服務(wù)提供商需要為每個(gè)用戶提供自助服務(wù)管理界面，并針對不同企業(yè)或類型的租戶提供差異化的用戶身份認(rèn)證管理授權(quán)策略，以確保合法的用戶訪問正確的服務(wù)器。動(dòng)態(tài)的云計(jì)算資源及訪問資源的海量用戶和服務(wù)，為身份基礎(chǔ)設(shè)施服務(wù)的可擴(kuò)展性、自動(dòng)化和可用性需求帶來挑戰(zhàn)。同時(shí)，云服務(wù)提供商也需要在用戶訪問行為的日志記錄和安全事件的報(bào)告分析方面提供差異化的解決方案，參與該解決方案的用戶認(rèn)證網(wǎng)關(guān)、AAA認(rèn)證授權(quán)平臺在相關(guān)的多實(shí)例和多域支持方面要有更加嚴(yán)格的要求。薄弱的用戶驗(yàn)證機(jī)制，或者單因素的用戶密碼驗(yàn)證都可能產(chǎn)生安全隱患，而云自助服務(wù)管理門戶的潛在安全漏洞也將導(dǎo)致各種未經(jīng)授權(quán)的非法訪問，從而產(chǎn)生新的安全風(fēng)險(xiǎn)。

同樣在典型的安全管理模式下，業(yè)務(wù)系統(tǒng)通常部署在服務(wù)提供商可監(jiān)控的范圍之內(nèi)，服務(wù)提供商通過虛擬局域網(wǎng)、入侵檢測系統(tǒng)、入侵防護(hù)系統(tǒng)及多因素身份認(rèn)證等網(wǎng)絡(luò)安全控制手段，對網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全訪問。而在云計(jì)算環(huán)境下，云計(jì)算的多層服務(wù)模式使得云服務(wù)提供商的網(wǎng)絡(luò)和系統(tǒng)遷移到其他服務(wù)提供商的監(jiān)控范圍內(nèi)，這種控制權(quán)的丟失，對云服務(wù)提供商已有的信任管理和控制模式形成了巨大挑戰(zhàn)。

此外，云服務(wù)提供商目前所支持的身份認(rèn)證管理實(shí)踐和標(biāo)準(zhǔn)不足，隨著網(wǎng)絡(luò)邊界的持續(xù)消退，在保護(hù)用戶知識產(chǎn)權(quán)和敏感信息及保持合規(guī)性等方面，云服務(wù)提供商面臨更大的風(fēng)險(xiǎn)。