將雲安全真實進行展現——阿裏、百度、騰訊、微軟公有雲用戶登錄功能分析

至頂網安全頻道 04月09日 綜合消息：

在上次雲主機橫向對比活動（http://net.zhiding.cn/files/all-3100268.htm）中，至頂網對阿裏雲、百度雲、騰訊雲和青雲這幾個主流公有雲的雲機主網絡及應用性能進行了一個評測，從而梳理出了一些對雲主機應用性能進行評估的方法。但是雲計算的應用技術發展太過迅速，“雲”又實在是大而“無形”，對雲應用的評估，也因此墜入了雲霧之中，難以理出頭緒。

在長期測試工作中不難發現，產品評測基本上可以分為功能性驗證和性能測試這兩大部分。對於雲計算的應用，開源的也好，商業的也好。能不能先通過功能驗證，將這些應用的可用性進行分析。然後再將這些應用功能通過不同配置的雲主機或Docker打包成相應的功能模塊，再對這些功能模塊進行應用性能測試，最後組建係統的時候，像搭積木一樣把這些功能模塊組建起來。這樣化無形為有形，從而對雲應用的有效性進行評估？

為了對這種評測思路進行驗證，至頂網策劃了本次雲安全功能橫向對比活動，以求在對當前公眾關注的雲安全功能進行分析的同時，將這些安全功能加以分類整理，為今後的模塊化應用性能驗證做好準備。

不知道大家有沒有卡在用戶登錄頁麵前長時間苦等、反複重試的上網經曆？用戶登錄功能的優劣，直接關係到用戶的上網應用體驗，一但處理不善往往會造成大量的用戶投訴和客戶流失。

在4月6日，外媒ZDNET剛剛報道了一起，某個著名雲應用廠商因為升級導致基於雲的辦公應用程序服務無法登錄的消息。由此可知，即便是一些國際知名的大企業，在用戶登錄環節，有時也難免出現紕漏。

並且在《中華人民共和國網絡安全法》第一章 第六條也明確規定了“國家倡導誠實守信、健康文明的網絡行為，推動傳播社會主義核心價值觀，采取措施提高全社會的網絡安全意識和水平，形成全社會共同參與促進網絡安全的良好環境。”

想要保障網絡行為的“誠實守信、健康文明”，需要了解互聯網上有哪些用戶，做到對互聯網上用戶進行準確辨識，因此國家也在大力推廣互聯網實名認證。而對用戶辨識最常用的方式就是“用戶登錄”。

然而當前普遍使用的通過“用戶名”和“密碼”進行登錄認證的用戶登錄方式，無論是從安全性上，還是使用便捷性上均受到詬病。當前在很多開源軟件社區內，也提供了很豐富的用戶登錄功能模塊，然而這些開源軟件在應用的可靠性、安全性上未必有十分周全的考慮，並且在出現問題後，也很難進行及時處理。

因此，在本次雲安全功能對比中，首先要進行的就是用戶登錄功能的對比。

為了對用戶登錄功能進行更好的對比，在這裏先將目前常見的登錄認證方式做一下分類整理。

一、用戶名、密碼

用戶名、密碼可以稱得上是目前最常見的用戶登錄認證方式。但也存在著常見密碼易被破解（撞庫）、複雜密碼容易忘記等多種不足之處，通常還會用圖文驗證等方式對其加以輔助。

二、動態密碼驗證

從動態令牌、手機短信、到現在的微信、APP應用，動態密碼驗證的認證方式經曆了很多變革。動態密碼驗證由於需要配合專門的硬件或應用，因此可以提供出更好的用戶認證便捷性和更高的安全性。

三、生物特征識別

指紋識別、人臉識別甚至聲紋識別……利用人類的生物特征進行用戶識別用戶認證方式在保證高安全性的同時，又不需要攜帶特定的硬件設備，在認證的便捷性上比動態密碼驗證又有所進步，但需要有更加強大的後台認證係統進行支持。

目前用戶認證方式，大體上離不開以上三種驗證的範疇。但是現在還有一些雲計算廠商在采用登錄地域（真實IP地址）、登錄設備比如主機名稱、mac地址、登錄所采用設備（安卓、蘋果、平板、PC等），來對登錄的用戶進行深度的驗證，一但發現異常，會采用更高安全級別的認證方式進行再次對用戶份進行確認，從而在保障用戶登錄便捷性的同時，提供用戶登錄的安全性，確保用戶應用安全。

下麵，至頂網將對阿裏雲、百度雲、騰訊雲和微軟Azure雲所提供的用戶登錄功能進行一個對比。

本次用戶登錄對比將從兩個方麵進行。一方麵是對參與對比的這幾家廠商的公有雲控製台登錄方式進行對比分析；另一個方麵是對這幾家廠商所提供的用戶識別管理功能進行了解。

控製台登錄方式對比

控製台是雲計算係統的管理核心，“搞定”管理控製台之後，黑客就可以對用戶的係統為所欲為。因此通過對雲主算廠商控製台登錄方式的了解，可以對雲廠商的安全認證能力有一個最直觀的認識。

下麵，我們先看一下阿裏雲、百度雲、騰訊雲和微軟Azure雲的控製台登錄界麵。

阿裏雲登錄界麵

百度雲登錄界麵

騰訊雲登錄界麵

微軟 Azure雲登錄界麵

從不同雲計算廠商所提供的控製台登錄界麵我們不難看出，這幾家雲廠商的控製台登錄認正方式可以稱得上是八仙過海，各顯其能。

除了最為傳統的用戶名、密碼登錄認證方式之外，阿裏、百度和騰訊不約而同的都加入了通過專用手機APP掃碼驗證的登錄方式。當前絕大部從手機號碼已經完成身份信息的實名認證，微信與支付寶也早已和用戶的手機號碼進行了綁定。通過手機APP掃碼驗證，本身就可以起到一個對用戶身份進行精準判定的效果。對於百度而言，它的APP可能沒有支付寶和微信那麼普及，因此比較貼切的加上了一個通過手機短信發送驗證碼進行驗證的方式，可對登錄用戶身份進一步進行核實。

表麵上看隻有微軟 Azure雲的認證方式最為傳統，隻能通過用戶名和密碼進行登錄，但是要了解，這個用戶名和密碼是和用戶的微軟帳戶相關聯的。隻需要對有關信息稍微進行一個核驗，自然不難對登錄用戶身份的真偽進行核實……

在雲計算係統中，控製台的登錄安全由雲廠商進行保護，但雲主機和應用係統的用戶登錄就隻能靠用戶自身來進行防護了嗎？雲廠商在這裏可以為用戶提供哪些身份驗證手段呢？下麵我們就來看一下幾個雲廠商的雲市場裏麵提供了哪些身份驗證的功能。

原計劃是對雲市場中提供的身份驗證功能進行收集，可是看到阿裏雲市場中身份及特權管理係統中的內容之後，還是改變了主意，變為對雲市場中有關身份驗證功能廠商進行了解。

阿裏雲 雲市場 身份及特權管理係統截圖

目前身份驗證的方式無非是利用APP動態密碼、手機短信認證、USBKey認證以及AD/LDAP/radius的認證方式去對用戶進行鑒別。這裏不得不表揚一下安恒信息，這幾種認證方式均可以進行提供，而且在國內雲安全廠商的雲市場中，也都可以看到他的身影。從提供身份驗證功能的廠商來講，在阿裏雲的雲市場中的廠商最多，雲市場的分類也最清晰，但是過多廠商讓用戶選擇上可能也會帶來一些不便。在其他雲市場中，提供身份驗證功能的廠商數量還明顯偏少。相信隨著時間的發展，在公有雲市場上提供的第三方身份驗證功能和廠商都會有更加成熟的發展。

需要補充說明一下的是，這四個公有雲廠商都提供了基於人工智能的人臉識別的生物特征識別功能。這有利於用戶采用更高安全級別的驗證方式，對用戶進行更加精準的識別。以後有機會，也期望可以更加深度的對這項身份驗證功能進行更深入的檢驗。

上麵隻是十分簡略的對這幾家公有雲廠商所提供的用戶登錄功能做了一個摸底，目的是明確一下，在下一步要對用戶登錄認證功能進行評測時，可以從哪些角度，通過什麼樣的方式去具體進行。

令人遺憾的是各家公有雲廠商雖然都有著自身相對完善的用戶登錄、認證方法，但是並沒有把它變成一個通用的產品功能模塊，通過雲市場提供給客戶進行使用。這也許是廠家出於自身安全方麵的考慮，也許是認為在開源社區中已經有相關內容提供。開源社區固然可以解決部分編程問題，但一個成熟、穩定的用戶登錄模塊想必也是很多用戶所迫切需要的。因為它可以大大減少用戶自身所需編寫的代碼量，而用戶自身編寫的代碼量越少，應用普及的程度就會越高。如果有一天雲應用可以像蘋果和安卓的APP一樣可以讓普通用戶隨意調用的話，相信雲計算也會得到真正的普及。而我們現在所做的，就是先確定好應用需求，然後打造出合格的功能模塊，並對它們進行驗證。

接下來至頂網還將繼續對公有雲廠商的“用戶行為管理”、“信息安全隔離”、“防攻擊”、“防病毒”、“防泄漏”、“監測統計”、“管理控製”這些安全功能一一進行了解。期望通過這些了解之後，可以找到一個明確的方向，將雲安全真實的展示在用戶麵前。