至顶网安全频道 04月09日 综合消息:
在上次云主机横向对比活动(http://net.zhiding.cn/files/all-3100268.htm)中,至顶网对阿里云、百度云、腾讯云和青云这几个主流公有云的云机主网络及应用性能进行了一个评测,从而梳理出了一些对云主机应用性能进行评估的方法。但是云计算的应用技术发展太过迅速,“云”又实在是大而“无形”,对云应用的评估,也因此坠入了云雾之中,难以理出头绪。
在长期测试工作中不难发现,产品评测基本上可以分为功能性验证和性能测试这两大部分。对于云计算的应用,开源的也好,商业的也好。能不能先通过功能验证,将这些应用的可用性进行分析。然后再将这些应用功能通过不同配置的云主机或Docker打包成相应的功能模块,再对这些功能模块进行应用性能测试,最后组建系统的时候,像搭积木一样把这些功能模块组建起来。这样化无形为有形,从而对云应用的有效性进行评估?
为了对这种评测思路进行验证,至顶网策划了本次云安全功能横向对比活动,以求在对当前公众关注的云安全功能进行分析的同时,将这些安全功能加以分类整理,为今后的模块化应用性能验证做好准备。
不知道大家有没有卡在用户登录页面前长时间苦等、反复重试的上网经历?用户登录功能的优劣,直接关系到用户的上网应用体验,一但处理不善往往会造成大量的用户投诉和客户流失。
在4月6日,外媒ZDNET刚刚报道了一起,某个著名云应用厂商因为升级导致基于云的办公应用程序服务无法登录的消息。由此可知,即便是一些国际知名的大企业,在用户登录环节,有时也难免出现纰漏。
并且在《中华人民共和国网络安全法》第一章 第六条也明确规定了“国家倡导诚实守信、健康文明的网络行为,推动传播社会主义核心价值观,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境。”
想要保障网络行为的“诚实守信、健康文明”,需要了解互联网上有哪些用户,做到对互联网上用户进行准确辨识,因此国家也在大力推广互联网实名认证。而对用户辨识最常用的方式就是“用户登录”。
然而当前普遍使用的通过“用户名”和“密码”进行登录认证的用户登录方式,无论是从安全性上,还是使用便捷性上均受到诟病。当前在很多开源软件社区内,也提供了很丰富的用户登录功能模块,然而这些开源软件在应用的可靠性、安全性上未必有十分周全的考虑,并且在出现问题后,也很难进行及时处理。
因此,在本次云安全功能对比中,首先要进行的就是用户登录功能的对比。
为了对用户登录功能进行更好的对比,在这里先将目前常见的登录认证方式做一下分类整理。
一、用户名、密码
用户名、密码可以称得上是目前最常见的用户登录认证方式。但也存在着常见密码易被破解(撞库)、复杂密码容易忘记等多种不足之处,通常还会用图文验证等方式对其加以辅助。
二、动态密码验证
从动态令牌、手机短信、到现在的微信、APP应用,动态密码验证的认证方式经历了很多变革。动态密码验证由于需要配合专门的硬件或应用,因此可以提供出更好的用户认证便捷性和更高的安全性。
三、生物特征识别
指纹识别、人脸识别甚至声纹识别……利用人类的生物特征进行用户识别用户认证方式在保证高安全性的同时,又不需要携带特定的硬件设备,在认证的便捷性上比动态密码验证又有所进步,但需要有更加强大的后台认证系统进行支持。
目前用户认证方式,大体上离不开以上三种验证的范畴。但是现在还有一些云计算厂商在采用登录地域(真实IP地址)、登录设备比如主机名称、mac地址、登录所采用设备(安卓、苹果、平板、PC等),来对登录的用户进行深度的验证,一但发现异常,会采用更高安全级别的认证方式进行再次对用户份进行确认,从而在保障用户登录便捷性的同时,提供用户登录的安全性,确保用户应用安全。
下面,至顶网将对阿里云、百度云、腾讯云和微软Azure云所提供的用户登录功能进行一个对比。
本次用户登录对比将从两个方面进行。一方面是对参与对比的这几家厂商的公有云控制台登录方式进行对比分析;另一个方面是对这几家厂商所提供的用户识别管理功能进行了解。
控制台登录方式对比
控制台是云计算系统的管理核心,“搞定”管理控制台之后,黑客就可以对用户的系统为所欲为。因此通过对云主算厂商控制台登录方式的了解,可以对云厂商的安全认证能力有一个最直观的认识。
下面,我们先看一下阿里云、百度云、腾讯云和微软Azure云的控制台登录界面。
阿里云登录界面
百度云登录界面
腾讯云登录界面
微软 Azure云登录界面
从不同云计算厂商所提供的控制台登录界面我们不难看出,这几家云厂商的控制台登录认正方式可以称得上是八仙过海,各显其能。
除了最为传统的用户名、密码登录认证方式之外,阿里、百度和腾讯不约而同的都加入了通过专用手机APP扫码验证的登录方式。当前绝大部从手机号码已经完成身份信息的实名认证,微信与支付宝也早已和用户的手机号码进行了绑定。通过手机APP扫码验证,本身就可以起到一个对用户身份进行精准判定的效果。对于百度而言,它的APP可能没有支付宝和微信那么普及,因此比较贴切的加上了一个通过手机短信发送验证码进行验证的方式,可对登录用户身份进一步进行核实。
表面上看只有微软 Azure云的认证方式最为传统,只能通过用户名和密码进行登录,但是要了解,这个用户名和密码是和用户的微软帐户相关联的。只需要对有关信息稍微进行一个核验,自然不难对登录用户身份的真伪进行核实……
在云计算系统中,控制台的登录安全由云厂商进行保护,但云主机和应用系统的用户登录就只能靠用户自身来进行防护了吗?云厂商在这里可以为用户提供哪些身份验证手段呢?下面我们就来看一下几个云厂商的云市场里面提供了哪些身份验证的功能。
原计划是对云市场中提供的身份验证功能进行收集,可是看到阿里云市场中身份及特权管理系统中的内容之后,还是改变了主意,变为对云市场中有关身份验证功能厂商进行了解。
阿里云 云市场 身份及特权管理系统截图
目前身份验证的方式无非是利用APP动态密码、手机短信认证、USBKey认证以及AD/LDAP/radius的认证方式去对用户进行鉴别。这里不得不表扬一下安恒信息,这几种认证方式均可以进行提供,而且在国内云安全厂商的云市场中,也都可以看到他的身影。从提供身份验证功能的厂商来讲,在阿里云的云市场中的厂商最多,云市场的分类也最清晰,但是过多厂商让用户选择上可能也会带来一些不便。在其他云市场中,提供身份验证功能的厂商数量还明显偏少。相信随着时间的发展,在公有云市场上提供的第三方身份验证功能和厂商都会有更加成熟的发展。
需要补充说明一下的是,这四个公有云厂商都提供了基于人工智能的人脸识别的生物特征识别功能。这有利于用户采用更高安全级别的验证方式,对用户进行更加精准的识别。以后有机会,也期望可以更加深度的对这项身份验证功能进行更深入的检验。
上面只是十分简略的对这几家公有云厂商所提供的用户登录功能做了一个摸底,目的是明确一下,在下一步要对用户登录认证功能进行评测时,可以从哪些角度,通过什么样的方式去具体进行。
令人遗憾的是各家公有云厂商虽然都有着自身相对完善的用户登录、认证方法,但是并没有把它变成一个通用的产品功能模块,通过云市场提供给客户进行使用。这也许是厂家出于自身安全方面的考虑,也许是认为在开源社区中已经有相关内容提供。开源社区固然可以解决部分编程问题,但一个成熟、稳定的用户登录模块想必也是很多用户所迫切需要的。因为它可以大大减少用户自身所需编写的代码量,而用户自身编写的代码量越少,应用普及的程度就会越高。如果有一天云应用可以像苹果和安卓的APP一样可以让普通用户随意调用的话,相信云计算也会得到真正的普及。而我们现在所做的,就是先确定好应用需求,然后打造出合格的功能模块,并对它们进行验证。
接下来至顶网还将继续对公有云厂商的“用户行为管理”、“信息安全隔离”、“防攻击”、“防病毒”、“防泄漏”、“监测统计”、“管理控制”这些安全功能一一进行了解。期望通过这些了解之后,可以找到一个明确的方向,将云安全真实的展示在用户面前。
好文章,需要你的鼓励
后来广为人知的“云上奥运”这一说法,正是从这一刻起走上历史舞台。云计算这一概念,也随之被越来越多的人所熟知。乘云科技CEO郝凯对此深有感受,因为在2017年春节过后不久,他的公司开始成为阿里云的合作伙伴,加入了滚滚而来的云计算大潮中。同一年,郝凯带领团队也第一次参加了阿里云的“双11”活动,实现了800万元的销售业绩。
随着各行各业数字化变革的不断深入,人类社会正加速迈向智能化。作为智能世界和数字经济的坚实底座,数据中心也迎来了蓬勃发展。面