当今基于Web的成功应用必须要解决的基本设计问题是什么呢?每一个安全专家可能都有不同的答案。有一件事情是肯定的,就是有效识别服务是现代应用集成中的重要方面。 在最近Open Group Jericho论坛上,一些针对确保“数字化环境”安全的服务识别最佳实践被打包。这个工作组认为目前的服务安全“以边界为中心”的方法将被证明不适用于以网络为中心的应用集成。
Jericho论坛最近发布了一组识别建议,帮助IT专业人士开始解决云计算场景操作的需求。这个组织提供了哪些建议呢?下面是简要概述:使用单一数据库进行识别数据的聚合是徒劳无益的,甚至很危险。为了支撑这个观点,Jericho论坛指出了最近的……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
当今基于Web的成功应用必须要解决的基本设计问题是什么呢?每一个安全专家可能都有不同的答案。有一件事情是肯定的,就是有效识别服务是现代应用集成中的重要方面。
在最近Open Group Jericho论坛上,一些针对确保“数字化环境”安全的服务识别最佳实践被打包。这个工作组认为目前的服务安全“以边界为中心”的方法将被证明不适用于以网络为中心的应用集成。
Jericho论坛最近发布了一组识别建议,帮助IT专业人士开始解决云计算场景操作的需求。这个组织提供了哪些建议呢?下面是简要概述:使用单一数据库进行识别数据的聚合是徒劳无益的,甚至很危险。为了支撑这个观点,Jericho论坛指出了最近的索尼和LastPass的个人数据泄漏事件(口令信息在云中保持同步丢失)。Jericho论坛的识别、权限和访问管理(IdEA)建议包含所有的“实体”,包括人和数码的内容,同时促进一种综合和识别权限和访问管理的全视图。这十三条建议包括:
- 所有核心身份必须受到保护,确保它们的安全性和完整性。
- 标识符必须受到信任。
- 识别权威来源必须是唯一标识符或者提供角色代表那个实体的证书。
- 一个实体可以有多个独立角色(身份)并且同为一标识符关联。
- 在特定的用例中,角色能够同样地被看到。
- 属性所有者负责保护并适当公开这种属性。
- 将属性和角色连接必须简单并可证实。
- 属性源应该尽可能接近授权源。
- 源所有者必须定义权限。
- 访问决策必须有相关性、有效且双向。
- 一个实体属性的用户负责保护这种属性。
- 主体可以委派一种权利到另一个主体,从而代表另一个角色。
- 授权主体可以获得访问(抓取)另一个实体的角色的权限。
相关推荐
-
移动访问管理 安全还是老问题
因为移动应用,密码和访问管理是如何改变的?当应用从来们二次编码的手机访问时,这双因素身份验证是否仍然有意义?
-
CA Technologies发布最新CA CloudMinder 助力混合型企业简化身份认证与访问管理
云计算及跨平台IT管理领先供应商CA Technologies (NASDAQ:CA)近日宣布推出CA CloudMinder身份认证与访问管理(IAM)服务解决方案。
-
Oauth为身份和访问管理领域带来生机
Layer7是一家面向服务、面向Web以及面向云集成的API安全和治理提供商,Scott Morrison是Layer7的CTO,他认为OAuth是身份和访问管理服务中偶遇的最有意思的事情。
-
身份认证与访问管理护航云安全
云计算为企业提供价值的同时,它也为云服务的消费者与供应商带来了不可回避的安全性问题。在信息安全人人自危的时代,对于信息的保护早已是人们共同关注的话题。