混合云解决方案

一、 安全挑战

如今,随着政企推进“互联网+“ 业务平台的建设,政企开始逐渐采用云服务,越来越多的业务应用从传统的 IDC 向公有云迁移。带来的问题是,将传统的防火墙内的账户/密码暴露在云端在很多的 IT 安全策略中是不被允许的。

1

除了传统的 PC 端应用,新近的移动端应用,未来政企还有公有云和物联网的统一认证需求,传统的 IAM 平台因为专注在 PC 上 B/S 应用的统一认证,应对上述挑战会很困难。

 

二、 解决方案

九州云腾的混合云解决方案在原有的4A(账户Account、认证Authentication、授权Authorization、审计Audit)基础上,又加入了独有的应用商店(Application),共同形成了5A。

2017-05-12_172530

  • 应用管控(Application) 

今天一个政企 CIO 面临的应用不仅仅有内部应用, 还有 SaaS、PaaS 应用、大数据接口、移动应用,以及物联网应用等等。 这些都是一个员工完成日常工作的利器。这些软件和硬件我们统称为应用资源,纳入到我们的哪些人能访问哪些应用的管控范围。将政企的公/私有云应用、移动、物联网应用及第三方大数据接口集中管控,并形成应用访问控制的标准和规范,是平台能实现的目标。

  • 账户唯一(Account)

我们的平台支持政企内部 CD (Cloud Directory)系统与 HR 数据库及 LDAP域的同步,也可以通过 SCIM 接口和第三方应用交换数据。除了上述的接口操作,还支持表格手动的导入和导出。如上所述,我们这里的账户不仅仅是政企内部的员工,更可以是一个在线销售系统的客户,也可以是一个合作伙伴的第三方接口,灵活多样的接口和协议为账户的互联互通奠定了基础。

  • 统一认证(Authentication)

通过我们的统一认证服务器 IPG(Identity Provider Gateway), 可以在企业内部私有云进行认证,通过标准认证协议如 SAML, OIDC 等令牌实现单点登录登录,打开公有云 SaaS 服务,形成完整的混合云解决方案。因为通过证书签名等方式可以做到一次一密, 在提高安全等级的基础上,更方便用户使用,提高工作效率。
2
我们定义的强认证包括手机绑定等MFA手段,结合大数据等后台防欺诈风控措施。在用户主账户登录的基础上,通过三种不同的主子账户的映射(Account Mapping)和关联(Account Linking),可以实现一个主账户作为认证源,而众多的子账户都捆绑在其上面。这样,通过主账户来实现对统一认证门户的访问控制。

  • 集中权限(Authorization)

通过创建员工及部门组,将所有的政企用户以安全组的形式管理起来,一级授权控制哪些人能访问哪些应用, 二级授权能控制哪个角色能访问哪些菜单,按钮等资源,管控用户的访问去向。

  • 透明审计(Audit)

记录系统范围内的安全和系统审计信息,有效地分析整个系统的日常操作与安全事件数据,通过归类、合并、关联、优化、直观呈现等方法,使管理员轻松识别应用系统环境中潜在的恶意威胁活动,可帮助政企用户明显地降低受到来自外界和内部的恶意侵袭的风险。在积累了一定的数据后,采用大数据平台,更可以形成一定的规则,直接封IP、限流量、限时等,并可以在认证的时候实现主动防御,瞬间互动。这样可以有效的防止刷单等操作。

 

三、 方案价值

九州云腾的混合云解决方案,充分借鉴了我们的IDaaS平台能力,也就是像SaaS一样,把身份认证变成一种服务,随要随到。其主要的工作原理是利用符合国际标准的基于PKI体系的公钥/私钥证书签名,可以做到全公司员工在使用该身份认证的时候一次一密,而不是使用长期不变的账户和密码。最终用户只需要用主账户(比如来自AD)登录一次,就可以自动找到匹配的子账户,并一键免登更多应用。

2017-05-12_173030

要达到上述效果并不复杂,无论几百人还是几万人,IT 管理员只需要几分钟,就可以把应用在后台设置好,并分配权限;APP 业务开发人员,只需要把服务端和客户端 SDK 集成进去,就可以全程去密码,带给用户全新的体验, 达到降本增效的目的!

 

欢迎联系我们,咨询合作!

电话: 010-62366788/18601352129
邮箱: info@idsmanager.com
地址:北京市海淀区知春路6号锦秋国际B座701

 

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注