信息化觀察網(wǎng)

本文來(lái)自數(shù)世咨詢，作者/星云。

如果組織能理解到云計(jì)算的巨大潛力，那無(wú)疑能讓數(shù)字化轉(zhuǎn)型事半功倍。過(guò)去兩年，各種事件已經(jīng)表明扎實(shí)的網(wǎng)絡(luò)安全至關(guān)重要，尤其在企業(yè)往云端遷移的時(shí)候。不過(guò)，云計(jì)算的關(guān)鍵在于企業(yè)確保采用了合適的身份管理。日益增長(zhǎng)的云技術(shù)的使用，使得威脅份子能夠違規(guī)獲取的人類(lèi)以及非人類(lèi)身份大量增加。那些不把這個(gè)情況當(dāng)回事的企業(yè)最終會(huì)發(fā)現(xiàn)自己成為信息泄露的犧牲品。

看看Okta，這個(gè)被許多企業(yè)使用的身份管理平臺(tái)。就在今年早些時(shí)候，犯罪組織Lapsus$宣稱(chēng)他們獲取了Okta的一個(gè)超級(jí)賬戶。盡管說(shuō)泄露事件的全貌尚未可知，但獲取了這種高級(jí)別的憑證就可能意味著犯罪組織有了“通向王國(guó)的鑰匙”，同樣也有能力獲取使用Okta平臺(tái)的用戶的數(shù)據(jù)。當(dāng)一個(gè)IAM廠商淪為身份攻擊的受害者的時(shí)候，自然就知道那些攻擊者在玩真的。

也就是說(shuō)，IAM并不是一個(gè)新話題，并且毫無(wú)疑問(wèn)在可預(yù)見(jiàn)的未來(lái)變得更為重要。Cider Sercurity的一份報(bào)告將IAM列為CI/CD環(huán)境中第二大問(wèn)題。這些問(wèn)題不僅和企業(yè)內(nèi)部授予身份的許可相關(guān)，還和確保這些許可隨著時(shí)間推移消除相關(guān)。

管理云端身份的難點(diǎn)

管理云端身份如此困難的原因不少。一般而言，云供應(yīng)商對(duì)對(duì)象結(jié)構(gòu)的構(gòu)建并不符合企業(yè)自身的構(gòu)建。這就導(dǎo)致某個(gè)單獨(dú)的企業(yè)用戶試圖管理多個(gè)云端的“身份”才能做他應(yīng)該做的工作。這就會(huì)引發(fā)另一個(gè)問(wèn)題：企業(yè)在云端毫無(wú)可視能力，不知道誰(shuí)接入了什么。

隨著這類(lèi)問(wèn)題增多，它們還會(huì)跟著企業(yè)雇傭更多的員工產(chǎn)生更麻煩的體驗(yàn)。同樣，云端遷移本身還會(huì)出現(xiàn)類(lèi)似挑戰(zhàn)。企業(yè)耗時(shí)多年終于摸索出了一條他們自己硬件能運(yùn)作的方式，然后還得到云端按照云供應(yīng)商的架構(gòu)再調(diào)整現(xiàn)有的模式。

身份管理不當(dāng)?shù)慕Y(jié)果

從安全角度看，云端管理不當(dāng)會(huì)給企業(yè)產(chǎn)生大量的管控缺口：企業(yè)不知道誰(shuí)在他們的基礎(chǔ)設(shè)施里做什么。這會(huì)讓企業(yè)在某些東西使用被扭曲過(guò)的ID或者許可的身份的時(shí)候難以發(fā)現(xiàn)。

從一個(gè)非安全的角度來(lái)看，缺乏身份管理會(huì)導(dǎo)致企業(yè)進(jìn)程中出現(xiàn)摩擦，導(dǎo)致不理想的后果。這些不理想的后果包括企業(yè)員工用多種身份登錄云端資產(chǎn)，或者員工法系自己總是需要要求新的許可才能進(jìn)入。最終，這些都會(huì)減緩企業(yè)的進(jìn)程。

兩個(gè)常見(jiàn)的IAM錯(cuò)誤

客戶總是沒(méi)法成功建立考慮到身份管理的云端解決方案。最終，被接入的云端資源并不在乎身份的所有者是人、器械、或者甚至是一條狗。只要對(duì)方有正確的憑證，就被許可和授權(quán)。在他們知曉之前，一個(gè)業(yè)務(wù)關(guān)鍵的服務(wù)可能以24/7/365的方式運(yùn)行著，然后這個(gè)服務(wù)的一部分會(huì)和其他關(guān)鍵服務(wù)交互——通過(guò)一個(gè)人類(lèi)員工的身份，那如果這個(gè)員工離職了呢？確保服務(wù)的連續(xù)對(duì)企業(yè)、企業(yè)中的身份和云端準(zhǔn)入管理都很重要。

另一個(gè)潛在問(wèn)題在于用戶共享憑證。用不了多久，相關(guān)憑證可能就無(wú)法被任何人追蹤，知曉到底是誰(shuí)接入了云端資源。難以追責(zé)會(huì)導(dǎo)致一些大問(wèn)題，包括安全問(wèn)題。

企業(yè)如何可以緩解安全問(wèn)題

首先，也是最重要的，將身份管理視為第一優(yōu)先級(jí)的問(wèn)題，而不是回頭等業(yè)務(wù)在云端運(yùn)行之后再考慮。創(chuàng)建自己詳細(xì)定義的身份管理策略，確保相關(guān)規(guī)定實(shí)現(xiàn)最小權(quán)限——每個(gè)身份只能接入他們需要的資源。

不要讓云服務(wù)商的工具決定你如何運(yùn)行自己的業(yè)務(wù)。一個(gè)確保自己企業(yè)才是拿著方向盤(pán)的方式，是找到那些精通云技術(shù)的人。從外部找到那些云技術(shù)專(zhuān)家，不僅可以讓最有資格的人做他們最強(qiáng)的事，同時(shí)還能緩解一下你甚至還沒(méi)看到的IAM問(wèn)題。

另外，獲得云基礎(chǔ)設(shè)施的組織范圍的可視性同樣重要。這會(huì)提供許多針對(duì)云端基礎(chǔ)設(shè)施的價(jià)值，不僅僅是IAM，還同樣包括了合規(guī)和資金管理等。

數(shù)世點(diǎn)評(píng)

雖然說(shuō)身份安全已經(jīng)逐漸走向一個(gè)成熟化的市場(chǎng)，但不能保證身份安全不會(huì)再出現(xiàn)新的突破——尤其是在云計(jì)算環(huán)境下。身份安全在云環(huán)境中，需要考慮的不僅僅是人類(lèi)身份的管理，還需要考慮到系統(tǒng)、服務(wù)等多種身份的管理。但是，即使從管理、制度的角度，我們似乎對(duì)人類(lèi)身份在云端的管理依然不怎么完善——盡管已經(jīng)有了功能繁多的技術(shù)。云端的身份管理任重而道遠(yuǎn)，我們只是剛剛起步。