隨著人們意識(shí)到控制和安全方面的差距，對(duì)云平臺(tái)中身份和訪(fǎng)問(wèn)管理的擔(dān)憂(yōu)可能會(huì)減緩組織遷移的速度。

IT決策者可能會(huì)對(duì)云遷移感到猶豫，或者擔(dān)憂(yōu)與身份和訪(fǎng)問(wèn)管理（IAM）和云計(jì)算安全相關(guān)的問(wèn)題。根據(jù)ForgerRock和谷歌云委托Forrester公司進(jìn)行的調(diào)查研究并在日前發(fā)布的一份報(bào)告，許多組織計(jì)劃在未來(lái)兩年內(nèi)采取行動(dòng)，希望能更好地解決此類(lèi)問(wèn)題。

Forrester公司副總裁兼首席分析師Andras Cser表示，與IT相關(guān)的身份管理通常分為兩種：一種是商業(yè)用戶(hù)訪(fǎng)問(wèn)云平臺(tái)中的應(yīng)用程序，這相對(duì)來(lái)說(shuō)沒(méi)有問(wèn)題。另一種是特權(quán)用戶(hù)，例如可以登錄云計(jì)算控制臺(tái)進(jìn)行更改的管理員。

Cser指出，這就是潛在的擔(dān)憂(yōu)所在。他說(shuō)，“云計(jì)算技術(shù)的發(fā)展和應(yīng)用遠(yuǎn)遠(yuǎn)超過(guò)了身份認(rèn)證技術(shù)，我們?nèi)狈C(jī)制來(lái)可靠地控制這些管理員類(lèi)型的用戶(hù)在管理云平臺(tái)控制臺(tái)時(shí)的身份訪(fǎng)問(wèn)權(quán)限?！?/p>

Cser表示，這意味著組織可能在如何授予此類(lèi)特權(quán)用戶(hù)訪(fǎng)問(wèn)權(quán)限方面遇到了困難。他說(shuō)：“這也意味著這些用戶(hù)的訪(fǎng)問(wèn)有很多次都包含過(guò)多的權(quán)限或過(guò)多特權(quán)的情況。有時(shí)無(wú)法可靠地對(duì)這些用戶(hù)進(jìn)行身份驗(yàn)證?！?/p>

他說(shuō)，理解訪(fǎng)問(wèn)權(quán)限（例如采用一個(gè)身份如何訪(fǎng)問(wèn)云平臺(tái)中的對(duì)象和資源，例如實(shí)例、存儲(chǔ)和網(wǎng)絡(luò)）也很困難。Cser表示，其問(wèn)題包括安全性和對(duì)誰(shuí)可以訪(fǎng)問(wèn)哪些內(nèi)容這些問(wèn)題交織在一起。他說(shuō)，“即使了解誰(shuí)可以在云中執(zhí)行操作也是極其困難的。因?yàn)樾枰_定管理員用戶(hù)有權(quán)訪(fǎng)問(wèn)疊加層中的問(wèn)題。這就是問(wèn)題所在?！?/p>

他說(shuō)，這可能會(huì)導(dǎo)致一組策略拒絕對(duì)用戶(hù)的訪(fǎng)問(wèn)，而另一策略將訪(fǎng)問(wèn)權(quán)限授予彼此獨(dú)立的所有層，這可能會(huì)造成混亂。

信息技術(shù)研究機(jī)構(gòu)Omdia公司在報(bào)告中指出，組織在開(kāi)發(fā)來(lái)自?xún)?nèi)部部署設(shè)施的混合多云策略時(shí)需要考慮一些因素：

?向本地IAM提供商詢(xún)問(wèn)其支持新環(huán)境的能力。事實(shí)證明，添加他們的身份即服務(wù)的破壞性要比通過(guò)提供商替換整個(gè)身份服務(wù)基礎(chǔ)設(shè)施的破壞性要小。

?如果IAM提供商表示有其他選擇，則對(duì)供應(yīng)商的調(diào)查報(bào)告可以提供主要參與者的概況以及優(yōu)勢(shì)和劣勢(shì)。

根據(jù)Omdia公司發(fā)布的《云服務(wù)和領(lǐng)導(dǎo)力戰(zhàn)略的2021年企業(yè)調(diào)查》報(bào)告，預(yù)計(jì)混合云和多云市場(chǎng)將會(huì)繼續(xù)增長(zhǎng)。Omdia公司IT和企業(yè)首席首席分析師Roy Illsley表示，對(duì)于混合云和多云來(lái)說(shuō)，身份和訪(fǎng)問(wèn)可能成為更重要的問(wèn)題。他說(shuō)：“當(dāng)混合云和多云世界成為現(xiàn)實(shí)時(shí)，那么身份和訪(fǎng)問(wèn)將會(huì)成為一個(gè)主要挑戰(zhàn)?！?/p>

Cser指出，解決身份和訪(fǎng)問(wèn)管理問(wèn)題可以使組織的業(yè)務(wù)更輕松地遷移到云中，并在云中維護(hù)工作負(fù)載，同時(shí)還可以保護(hù)數(shù)據(jù)。他說(shuō)：“所有這些都?xì)w結(jié)為數(shù)據(jù)保護(hù)，而配置錯(cuò)誤則是網(wǎng)絡(luò)攻擊的載體。”

Cser表示，云計(jì)算的性質(zhì)是造成這一困境的主要因素，同時(shí)缺乏監(jiān)督措施。他說(shuō)：“例如，開(kāi)發(fā)人員計(jì)劃開(kāi)發(fā)項(xiàng)目，但不想構(gòu)建某些東西，然后不得不撤銷(xiāo)不必要的特權(quán)。而開(kāi)發(fā)人員通常只想完成工作，希望開(kāi)發(fā)自己的應(yīng)用程序。他們不想為安全性和撤銷(xiāo)訪(fǎng)問(wèn)權(quán)限感到擔(dān)心。”

Cser表示，例如在創(chuàng)建資源或?qū)ο蟮倪^(guò)程中，開(kāi)發(fā)人員可能允許資源保持相對(duì)開(kāi)放狀態(tài)，盡管在開(kāi)發(fā)后應(yīng)該采取后續(xù)措施以刪除其訪(fǎng)問(wèn)權(quán)限或進(jìn)行加密。他說(shuō)：“最后一步通常并沒(méi)有實(shí)施。他們不會(huì)主動(dòng)清理并撤銷(xiāo)特權(quán)。一旦某個(gè)服務(wù)啟動(dòng)，即使它是臨時(shí)的服務(wù)，也沒(méi)有人去撤消?！?/p>

Cser說(shuō)，人們可能會(huì)擔(dān)心生產(chǎn)變更可能會(huì)危害功能。他說(shuō)，“沒(méi)有人愿意冒險(xiǎn)。這些擔(dān)憂(yōu)會(huì)影響到更多的組織。對(duì)于每個(gè)使用云計(jì)算服務(wù)的用戶(hù)來(lái)說(shuō)，這是一個(gè)主要的問(wèn)題。數(shù)據(jù)保護(hù)是最大的問(wèn)題，但配置錯(cuò)誤或權(quán)限過(guò)高也是一個(gè)大問(wèn)題，因?yàn)樵破脚_(tái)并不像數(shù)據(jù)中心那樣具有物理邊界。”

Cser表示，利用云計(jì)算、腳本和代碼可以確定實(shí)例的位置、可用內(nèi)存量以及不受控制的其他元素?？梢詫ivvyCloud、Palo Alto Networks和Dome9的產(chǎn)品用于云安全狀況管理，以解決這些問(wèn)題。

他說(shuō)，雖然AWS、Microsoft Azure和谷歌云等云平臺(tái)可能內(nèi)置了狀態(tài)管理功能，但它們通常只覆蓋其專(zhuān)有系統(tǒng)。Cser說(shuō)：“用戶(hù)不能使用Azure的云安全狀態(tài)管理來(lái)保護(hù)AWS云平臺(tái)或其他平臺(tái)的云服務(wù)。用戶(hù)希望避免為每個(gè)平臺(tái)使用不同狀態(tài)管理工具帶來(lái)的麻煩，最好將這些管理功能集中到一個(gè)工具中。”

編輯：jq