安全把关：银行使用PCF进行身份和访问管理

我们一直说，为银行运行IT并非易事。这项工作需要融合创造力、敏捷性、实用性以及足够的勇气，还要能够驾驭各种变化，比如：

法规要求和合规性。行业规章制度应该会规定该如何进行创新以及在哪些领域投资。

安全性。未来十年，最成功的银行将属于快速且安全的银行。这两者必须兼得。

不断上升的消费者期望。现在，用户希望银行app可以像他们最喜爱的手机app那样运行。这就要求您提供快速、响应能力强且具有吸引力的体验。

与金融科技公司的竞争加剧。您的竞争对手可不仅是您在华尔街的邻居们。硅谷的首要目标就是颠覆银行业。

如何借助这些颠覆性的变化获利并赢得市场份额呢？

方法就是成为云原生企业。

许多领先银行都转向Pivotal Cloud Foundry (PCF)，以期在转型过程中获取助力。事实上，美国最大型的银行中有7家与Pivotal建立了合作关系。

今天我们将介绍一个常见的安全挑战，介绍银行如何使用Pivotal Cloud Foundry来提高安全状况，具体介绍身份与访问管理。

全局：确保无障碍访问正确的服务

您需要一个平台来最大限度提高开发人员的工作效率。那么问题来了，如何为每个开发人员提供正确的权限，让他们完成自己工作？怎样才能让平台尽可能成为自助服务平台呢？又该如何扩展这个模式呢？毕竟，与许多一流的科技公司相比，最大型的银行拥有更多的开发人员。

我们当然都期望自动化平台能够支持未来十年的发展。通观全局，目前面临以下问题：

身份孤岛难以管理。您需要负责来自全球多个部门的数千名开发人员。每个开发人员可能拥有自己独特的权限和访问级别。而且，还要将用户映射到他们各自的成本中心！

数据中心较多。您需要将平台快速扩展为在多个位置运行。

受到大量法规和合规性要求的约束。这一问题从一开始就要纳入考虑范围。

需要考虑诸多员工调配和取消调配事项。这属于身份管理的“identity”部分。使用什么流程和技术进行身份注册、调配和传播？日常管理和取消调配呢？能以多快的速度启动和关闭访问？

与现有的身份和访问管理实践集成。您目前可能部署了很好的控制措施。如何使它们适应现代平台呢？

推出具有许多登录ID和多个密码的解决方案非常有吸引力。但这会给您造成很大困扰。员工必定会出现重用密码、使用弱密码和共享密码等的行为。

不过，我们已经帮助银行部署了更好的解决方案：通过联合身份管理重用凭证。其中，您可以将Pivotal Cloud Foundry的授权和身份验证模块与您所选的身份提供程序(IdP)结合使用。为什么这个模式是最佳实践呢？主要有以下几个原因：

节省时间和资金。您的自动化身份调配可以与企业的IdP一起实施，无需重复工作。它还可以通过削减数千小时的IT和服务台时间来降低成本。

更加简单。用户需要记住的凭证更少。

易于管理。您可以从单一控制平面执行用户调配和取消调配。

一次更改，全面传播。需要更新用户状态？在身份管理系统中执行一次更改后，平台就会将更改传递给所有PCF集群。

继承合规性。如果您拥有经认证且合规的身份和访问管理流程。可以将这些工作流程用作现代平台的基准。

这个选项安全、合规并且可以“顺畅运行”。此外，它还避免了身份和访问管理最常见的缺陷：

系统会自动调配和取消调配，因此出现人为错误的可能性较低。

用户无需等待即可访问，因此可以保持较高的工作效率。

风险下降，因为您可以快速取消调配即将离职的员工。

集成单点登录也可以享受到许多这些相同的好处。稍后详细介绍这一点。首先，我们来详细了解一下银行如何确保安全访问平台。

使用PCF API进行联合身份管理

我们需要自动化身份调配系统解决几项重要任务。因此，让我们使用Cloud Foundry API执行以下操作：

创建组织（Organizations）。组织是Cloud Foundry权限模型的一部分。将组织看作用户、资源、应用和环境的集合。每个组织都有资源配额且单独计费。将组织“映射”到公司的产品团队是常见操作。

创建空间（Spaces）。组织进一步细分为空间。空间表示分散的应用环境。例如，组织可能有用于调试和生产的空间。空间有助于您遵循开发/生产一致性要素。

将组织映射到成本中心。这样可以简化对平台使用情况的计费和反馈。将PCF中的组织结构与内部会计工作流程同步。想知道如何在PCF中实施计费/反馈吗？查看这份白皮书吧！它记录了来自像您这样的企业的大量最佳实践。

创建用户（Users）并将它们分配到组织。您当前的IdP已经拥有您的所有用户信息了。因此，这里的任务是让这些用户进入PCF，然后配置他们可以执行的操作以及可以看到的内容。使用CF CLI自动从您的IdP导入用户。

设置角色（Roles）。一个用户可以有一个或多个角色。这些角色的组合定义了用户在组织中以及该组织的特定空间内的整体权限，如管理员、空间经理或空间开发人员。

花点时间考虑这些场景。所有这些功能在初始阶段就可以让数百名开发人员使用Pivotal Cloud Foundry确保工作效率。整体效果要大于个体效果的总和！

使用UAA配置用户授权

现在，我们已经将用户添加到PCF。下面是时候对开发人员进行身份验证并授权其使用平台了。我们的目标是让正确的个人在正确的时间以正确的理由访问正确的Pivotal Cloud Foundry资源。

根据与几家大型金融服务公司的合作，我们发现了以下常见要求：

阻止访问PCF资源，除非用户输入正确的凭证。此外，控制措施应该足够“智能”，以反映不同的访问级别。考虑可自动部署应用的CI/CD工具。您需要大量开发人员才有机会部署到开发环境。同样，您需要较少开发人员就可以部署到生产环境。这应该能够“顺畅运行”，不会对工程师的日常工作造成任何额外的阻碍。

提供一个框架来管理整个Cloud Foundry环境中的用户属性、凭证和授权。您需要确定每个人可以访问的资源。他们是否应该能够创建和管理帐户信息？对于由Cloud Foundry API控制的资源，他们能否分配写入或只读访问权限？

允许基于策略的访问。管理可应用于许多用户的策略容易得多，也更加安全！您应该能够基于任何数量的因素创建策略，如他们所属的团队和他们的角色。

用户帐户和身份验证(UAA)服务是适用于Cloud Foundry的身份管理服务。UAA模块可为应用和API提供基于身份的安全功能。它支持热门的身份验证和授权开放标准，如OAuth、OpenID Connect、SAML和LDAP。请选择正确的IdP，要么是在您的数据中心，要么作为公有云中的托管服务！

现在的任务是将UAA配置为重定向到外部IdP的服务提供程序。大多数管理员选择将UAA与LDAP服务器相集成。当这种集成完成后，UAA可以通过LDAP搜索和绑定操作对用户进行身份验证。

让我们来看看如何将企业身份映射到平台角色。您将构建一个简单脚本，自动将用户从企业身份管理系统迁移到PCF中。我们可以使用适用于PCF的API和UAA，通过简单几步即可自动执行该流程：

从这里，我们可以继续为PCF平台上运行的应用实施单点登录。如前所述，SSO是必备功能。这项服务使开发人员能够安全无缝地将应用连接到正确的用户和资源。

大多数客户都会选择部署Single Sign-On for PCF tile。此tile专为这种使用场景构建，Pivotal会定期为其发布补丁和更新。

The Single Sign-On service for PCF

Single Sign-On for PCF有助于您执行多项有用的操作：

它支持我们迄今为止讨论的各种概念，包括本机身份验证、联合单点登录和授权。操作人员可以配置本机身份验证和联合单点登录（如使用SAML）来验证应用用户的身份。完成身份验证之后，单点登录服务将使用OAuth 2.0来保护资源或API。

功能块代表您的Cloud Foundry Marketplace中已批准和配置的身份服务。开发人员为应用预配置了身份功能，因此集成非常简单！身份系统出现在Marketplace中其他面向开发人员的服务旁边，这也十分有益。

将复杂的SAML交换转换为基本OAuth令牌，以供应用使用。

支持为Java Spring应用提供快速安全支持。具体怎么做呢？Spring Security可以处理并强制执行OAuth令牌。

与平台协作，以自动强制实施安全措施并执行运行时配置。

保留CALM和cf push

像Pivotal Cloud Foundry这样的高度自动化平台可以显著改善您的安全状况。PCF可轻松确保安全无忧。您还能做些什么来提高安全性呢？

Culture（文化）。没有文化，任何关于现代软件开发的对话都是不完整的。那么，现代信息安全文化是什么样的呢？首先，您应该拥有一个重视编码能力的通才和专家团队。此外，您应该几个月轮换一次安全团队人员。这是改变团队如何考虑安全性的绝佳方式。改变不会一蹴而就，但轮换会使它发生得比您想象的更快！

Automation（自动化）。如果您需要多次执行某事，就应该对其实施自动化。扫描就应该自动化。此外，您应该构建Service Broker，以自动化团队与附加服务交互的方式。

Lean controls（精益控制）。公司可能需要花费数百万购买提供边际收益的传统安全产品。而现在，PCF平台就可以做到这些！它开箱即用，因此，您可以继承非常多的安全性和合规性控制功能。

Metrics（指标）。能够衡量的东西都可以管理。您需要收集并跟踪正确的数据。专注于常见KPI，如快速修补。我们也看到银行会跟踪其系统的年龄。原因何在于旧资源往往更脆弱。尽量争取更新的虚拟机、群集、容器和凭证。

作者简介

Fadzi Ushewokunze是Pivotal的高级平台架构师，与华尔街的许多金融服务公司都有合作。Fadzi从事金融科技行业超过10年，在安全性、软件开发和数字化转型方面积累了丰富的经验。他对金融科技行业的激情可以追溯到亚太地区，他在RSA工作了很长一段时间，专注于研究安全转型。