移动安全 安全管理 应用案例 网络威胁 系统安全应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用安全 >

可重用云东西弥补利用安然标题问题

时间:2013-05-03 13:18来源:TuZhiJiaMi企业信息安全专家 点击:
当在两个不合的公司工作时,软件工程师Alex Salazar和Les Hazlewood发现本身正在为每个利用重塑身份验证和拜候节制。因为贫乏可重用、矫捷的企业和安然云利用开辟东西,促使他们辞掉落工作并
Tags应用安全(1006)安全漏洞(114)Hazlewood(1)云工具(1)  

  当在两个不合的公司工作时,软件工程师Alex Salazar和Les Hazlewood发现本身正在为每个利用重塑身份验证和拜候节制。因为贫乏可重用、矫捷的企业和安然云利用开辟东西,促使他们辞掉落工作并为开辟人员和架构师构建可重用、开放源代码的和商业的安然东西。

  Salazar和Hazlewood成立Apache Shiro的过程中,揭露了企业和云利用开辟者所面对的安然标题问题,措置这些标题问题标编制和避免常见的弊端。他们为企业和云利用的身份验证、暗码存储、用户治理、拜候节制和共同安然工作流成立了Stormpath利用法度接口(API)。

  在Georgia Tech上大年夜学时,Salazar和Hazlewood曾是1999年成立的软件即办事(SaaS)工程团队的创办者。“但在那时被称为‘利用法度办事供给者’,”Salazar说,“在Marc Benioff使它成为尺度之前,我们就成立了多租户系统……,它运行得很好并且我们痴迷于SaaS模型。”

  纵不雅他们的职业生活生计,他们都在不竭地解决安然东西不足的标题问题,并一向在知足每个项目中DIY安然的需求,开辟人员凡是不克不及不从头开端编写用户治理代码。

可重用云东西弥补利用安然标题问题

  可重用云东西弥补利用安然标题问题

  “所有的这些工尴尬刁难安然来讲都很需要,但这其实不是利用功能的核心,”Hazlewood说,“并且,因为这些自定义代码其实不强大年夜,并且不克不及被多个利用法度利用,开辟人员凡是为他们成立的每个利用重写不异的代码,进一步加重了开辟成本。”一旦实现,这些从零开端编写的代码凡是就会被忽视并且很少更新,可能跟着时候的推移就会呈现安然缝隙。

  Hazlewood启动Apache Shiro项目,成立一个用于认证、授权、加密和会话治理的开放源代码的Java安然框架。

  “Shiro强大年夜了,”Salazar说。即便如斯,Hazlewood仍然发现一个标题问题:安然框架只解决了部门的认证拜候节制标题问题,因为框架为了完成他们的工作,仍然不克不及不与后端系统对话,如Active Directory或LDAP。当构建基于云的利用法度时,但是,没有Active Directory或LDAP,是以他仍然不克不及不几次地重塑那一部门。

  Hazlewood说,在公有云中,传统的收集安然策略其实不合用,并且任何安然缝隙可能被敏捷操纵。这个缺点与索尼PlayStation Network 、LinkedIn、Last.FM、雅虎和比来的Twitter比拟,成本较着很高。

  Hazlewood说:“大年夜大都开辟团队的员工没有足够的安然专业常识,所以当将他们的利用法度摆设到公有云时,他们冒着很是高的风险”。Salazar暗示同意,“云日渐成为利用法度的争议平台。”

  Hazlewood不知道Salazar也在云中间件软件范畴措置着一样的标题问题,现有的东西有单点登录功能,这些功能对在云中构建新的利用法度是不敷的。“当将Salesforce与其他产品集成时,单点登录是很好的,但对你本身的自定义利用却并不是如斯,”Salazar说,“我看到每小我在构建定制云利用都很疾苦,和很是具体利用法度、手机的利用法度、客户利用法度、火伴利用法度等等。”

  Salazar叫Hazlewood来解决他的手艺验证的标题问题。“他开端笑了,因为他在做不异的工作,”Salazar说,“我说,‘好吧,让我们谈谈一些客户。辞掉落工作并创办一个公司。’”

  作为开放源代码软件的撑持者,他们第一次打算发布他们的东西作为开放源代码的产品,利用典型的开放源代码的商业模式。在摸索性研究中,他们发现,对那些具有内部安然与成长团队的大年夜企业来讲,开放源代码交付结果很好,可是那些小型和中型企业(SMB)却结果不佳。如需要的话,大公司有能力DIY,可是他们却很欢迎可重用、内部的解决方案。大年夜大都中小企业没有DIY的安然团队或内部专业。“不言而喻,云交付是中小企业交付线路,”Salazar说,“中型企业不想做安然治理,他们担忧修补数据库办事器和运行最新的副本。他们只是想要一个随需应变的API”。

  开辟人员构建新的利用法度,Stormpath供给主动化安然工作流的办事,启用身份验证办事、拜候节制和更多办事,Hazlewood说:“是以开辟人员可以回往写代码了”。如认证、暗码重置和电子邮件帐户验证如许的工作,每个都需要一个单一的REST调用。Salazar说:“没稀有据建模,没有代码,没有UI,也没有那些”。说话库使Java、PHP和Rubydevelopers没必要体味REST和JSON。

  “没有人喜好一遍又一遍地构建安然性,” Salazar说,“这是利用法度的关头,但它其实不是核心;成立营业逻辑才是核心。”他们继续摸索可重用利用安然解决方案,对Salazar和Hazlewood来讲,接下来的一步是成立更多的Stormpath软件开辟者东西包并扩大开辟说话和平台撑持。

------分隔线----------------------------

推荐内容