Стандарты по управлению аутентификацией в облаке могут дать толчок развитию облачных вычислений

Большие усилия по созданию стандарта по идентификации пользователей в
облаках был предпринят InCommon. Ее участниками являются более 116 организаций
высшего образования, 41 провайдеров и шесть федеральных агентств и
некоммерческих организаций. Группа пытается выработать общие определения
для  безопасности, защите частной информации, обмен информацией между
поставщиками ID (например, между высшими учебными заведениями) и провайдерами
облачных услуг.

После чего эта информация вшивается в метаданные  сертификатов,
позволяя поставщикам ID и сервис-провайдерам обмениваться информацией. Сейчас
InCommon использует два разработанных сообществом инструмента для обмена
данными: Security
Assertion Markup Language (SAML), это стандарт для обмена идетифицирующей
информацией между организациями, основанный на XML, и
Shibboleth, Web
сервис аутентификации, обслуживающий удаленные запросы.

Стандарт, который обеспечит безопасность и совместимость управления ID
пользователей, будет принят на ура, считает Эд Белл (Ed Bell), CIO
Массачусетской палаты парламента. «Внутренняя стандартизация стала очень важна,
— говорит он. — Это основная часть работы CIO. » «Они собираются провести
стандартизацию снаружи.»

Они верят в облачные вычисления

Еще одна группа, разрабатывающая стандарты —
Trusted Cloud Initiative (TCI) – целью ее деятельности
является помощь провайдерам облачных услуг в  разработке рекомендованного
для индустрии  безопасного и совместимого решения. Эта группа
разработчиков объявила себя вендор-независимой инициативой, сформированной
компанией Novell Inc. и Cloud Security Alliance (CSA). TCI планирует опубликовать
первый в индустрии сертификат безопасности в облаке к концу этого года.

«Как управлять ID? В облаке или   раздельно? Эти вопросы создают
серьезные препятствия на пути распространения облачных сервисов для
предприятий, — считает Алан Беме (Alan Boehme), старший вице-президент отдела
ИТ стратегии и архитектуры предприятия ING Americas и член совета директоров
CSA. — «Но если будет найдено решение, при котором у всех будут руководства по
безопасности и сертификаты пользователей, то распространение облачных сервисов
ускорится».

Команда TCI основывает свою работу на лучших практиках, недавно
опубликованных CSA в отношении предоставления данных, аутентификации и
авторизация  в облачной среде. Эти рекомендации готовы стать открытыми
стандартами. Вот часть рекомендаций CSA:

• Использование стандартных коннекторов, предоставленных провайдером облаков,
  которые построены на основе схемы
  Service Provisioning Markup Language (SPML). Если провайдер
  не предоставляет SPML, the CSA рекомендует предприятиям потребовать его.
• Оцените проприетарные схемы аутентификации, которые используют провайдеры
  SaaS и PaaS (Software as a Service и Platform as a Service), такие как
  зашифрованные куки. Общий приоритет следует отдавать открытым стандартам.
• Убедитесь, что приложения принимают такие форматы, как SAML или
  WS-Federation, спецификации, которые позволяют
   различные области безопасности наполнять информацией по персональным
  данным, атрибутам и аутентификации Проверьте, чтобы любой сервис по
  аутентификации пользователей, предложенный провайдером, удовлетворял стандартам
  Initiative for
  Open Authentication (OATH), что представляет собой стандарт, принятый
  вендорами, поставляющими аппаратную часть, платформу и приложения, и которые
  надеются найти способ надежной аутентификации, поддерживаемой  сетевой
  инфраструктурой, аппаратной частью и приложениями. Провайдерам облаков также
  необходимо уметь делегировать права аутентификации предприятиям, например,
  посредством SAML.

Защита за периметром облака

Но есть еще одна группа — Jericho Forum, предложила создать архитектуру облака, в
которой бы использовалась аутентификация, распространяемая на все уровни облака
(инфраструктура, платформа, приложения, процессы), и в проекте они назвали его
архитектурой, ориентированной на совместную работу —
collaboration-oriented architecture (COA). Этот концепт
включает компьютерную систему, созданную специально для того, чтобы она могла
использовать сервисы, поставляемые третьими лицами, находящимися за пределами
облака или области контроля. COA организовала бы идентификацию, аутентификацию
и авторизацию прав для организаций, индивидов или систем в стандартной форме,
которая бы применялась по всей облачной платформе.

COA основана на сервис-ориентированной архитектуре (SOA), которая необходима
для интеграции различных приложений в Web-среде, которая затрагивает различные
платформы. Вместо того, чтобы использовать программный интерфейс, SOA
определяет интерфейс, с точки зрения протоколов и функций, включая XML. Целью
SOA является наделение пользователей достаточно большими возможностями, которые
позволяют практически полностью из существующих в облаке сервисов получать
необходимые приложения.

Не каждый из этих стандартов приживется и разовьется, конечно, поскольку
облачная среда еще только зарождается и усилия по созданию таких стандартов
сильно разобщены, считают аналитики Burton Group Inc. Особенно SPML, который
является довольно сложным языком и сильно нагружает связь. Технический комитет
OASIS Provisioning Services пытался внести изменения в SPML в версии 2, но
члены сообщества не смогли прийти к единому мнению по поводу стандарта
пользовательской схемы.

Еще один вариант выделения прав может оказаться модель «pull», использующая
сервис, основанный на протоколе Lightweight Directory Access Protocol (LDAP),
поддерживаемый виртуальными директориями. Сейчас и Salesforce.com Inc., и
Google Inc. предлагают такие возможности, используя LDAP, в котором приложения
запрашивают корпоративные директории для аутентификации и идентификации.