容器云平台的基础安全和管理安全设计( 五 ) _云知道

对于账户的口令需要建立严格的管理机制，因为一个好的口令策略是防止未授权访问的一个最重要的安全屏障，减少弱口令风险是提升系统安全性的投入产出比最高的方式。
建设过程中需要对容器云平台，组织实体，个人实体等账户的口令进行分类，建立平台超级管理员口令，组织管理员口令，个人实体口令管理办法，典型的云平台超级管理员口令的安全性要求最高，组织管理员次之，个人实体口令要求相对低一些，因此口令的管理措施也不同，比如云平台超级管理员需要建设基于硬件的一次性密码或者双要素密码认证机制，组织管理员密码需要建立一次性密码或者双要素密码认证机制，个人实体密码需要满足一定密码复杂度要求。
典型口令策略，举例：

密码至少由8个字符组成，应该混合数字、大写字母、小写字母，以及特殊字符等；
所有系统管理员级别的密码必需每三个月更换一次，并依照规定进行存档备份。普通个人密码六个月更换一次。
用户所使用的任何具备系统超级用户权限账号密码必需和这个用户其他账号的密码均不相同。
重要的系统密码比如云平台超级管理员，组织管理员采用一次性密码或者双要素密码认证。

UIMS系统支持完备口令使用，变更，修改，注销等生命周期管理能力。
另外需要通过管理规定，严格要求密码使用时注意保护，比如不要把自己密码共享给他人，不要在email中写密码，不要给你上司密码等。
技术实现方案方面，可以通过Microsoft AD，Oracle Identity Management，OpenLdap等软件实现。在一个成熟企业内部基本上已经具备类似系统并且稳定运行。因此此对于容器云平台建设来说主要是统一对接，统一纳管，统一管理的问题。如果企业内部没有需要单独设立子项目建设UIMS系统。
构建统一身份认证平台SSO
容器云平台实现统一身份认证和传统应用原理一样，区别在于kubenetes支持的身份严重方式有不同要求，常见的统一身份认证方式归纳为以下两类：
1．传统的Cookie+Session解决方案，有状态会话模式；
2．基于令牌/票据的解决方案，无状态交互模式。
具体有：

分布式Session
OAuth2.0
JWT
CAS

上述方案各有利弊：
分布式Session是老牌的成熟解决方案，但因其状态化通信的特性与服务提倡的API导向无状态通信相互违背，且共享式存储存在安全隐患，因此微服务一般不太采用。
OAuth2.0是业内成熟的授权登录解决方案，然而OA2.0提供了4种授权模式，能够适应多种场景，作为基于令牌的安全系统，可以广泛用于需要统一身份认证和授权的场景。
JWT（JSON Web Token）是一种简洁的自包含的JSON声明规范，因其分散存储的特点而归属于客户端授权模式，广泛用于短期授权和单点登录。由于JWT信息是经过签名的，可以确保发送方的真实性，确保信息未经篡改和伪造。但由于其自包含的客户端验签特性，令牌一经签发，即无法撤销，因此单纯采用JWT作为统一身份认证和授权方案无法满足帐号统一登出和销毁、帐号封禁和解除这几种类型的需求。
CAS是时下最成熟的开源单点登录方案，包含CAS Server和CAS Client两部分。CAS Server是一个war包需要独立部署，负责用户认证；CAS Client负责处理对客户端受保护资源的访问请求，需要认证时，重定向到CAS Server 。值得注意的是，CAS是一个认证框架，其本身定义了一套灵活完整的认证流程，但其兼容主流的认证和授权协议如OAuth2、SAML、OpenID等，因此一般采用 CAS+OAuth2的方案实现SSO和授权登录。