隨著人們意識(shí)到控制和安全方面的差距，對(duì)云平臺(tái)中身份和訪問管理的擔(dān)憂可能會(huì)減緩組織遷移的速度。

IT決策者可能會(huì)對(duì)云遷移感到猶豫，或者擔(dān)憂與身份和訪問管理（IAM）和云計(jì)算安全相關(guān)的問題。根據(jù)ForgerRock和谷歌云委托Forrester公司進(jìn)行的調(diào)查研究并在日前發(fā)布的一份報(bào)告，許多組織計(jì)劃在未來兩年內(nèi)采取行動(dòng)，希望能更好地解決此類問題。

Forrester公司副總裁兼首席分析師Andras Cser表示，與IT相關(guān)的身份管理通常分為兩種：一種是商業(yè)用戶訪問云平臺(tái)中的應(yīng)用程序，這相對(duì)來說沒有問題。另一種是特權(quán)用戶，例如可以登錄云計(jì)算控制臺(tái)進(jìn)行更改的管理員。

Cser指出，這就是潛在的擔(dān)憂所在。他說，“云計(jì)算技術(shù)的發(fā)展和應(yīng)用遠(yuǎn)遠(yuǎn)超過了身份認(rèn)證技術(shù)，我們?nèi)狈C(jī)制來可靠地控制這些管理員類型的用戶在管理云平臺(tái)控制臺(tái)時(shí)的身份訪問權(quán)限?！?/p>

Cser表示，這意味著組織可能在如何授予此類特權(quán)用戶訪問權(quán)限方面遇到了困難。他說：“這也意味著這些用戶的訪問有很多次都包含過多的權(quán)限或過多特權(quán)的情況。有時(shí)無法可靠地對(duì)這些用戶進(jìn)行身份驗(yàn)證?！?/p>

他說，理解訪問權(quán)限（例如采用一個(gè)身份如何訪問云平臺(tái)中的對(duì)象和資源，例如實(shí)例、存儲(chǔ)和網(wǎng)絡(luò)）也很困難。Cser表示，其問題包括安全性和對(duì)誰可以訪問哪些內(nèi)容這些問題交織在一起。他說，“即使了解誰可以在云中執(zhí)行操作也是極其困難的。因?yàn)樾枰_定管理員用戶有權(quán)訪問疊加層中的問題。這就是問題所在。”

他說，這可能會(huì)導(dǎo)致一組策略拒絕對(duì)用戶的訪問，而另一策略將訪問權(quán)限授予彼此獨(dú)立的所有層，這可能會(huì)造成混亂。

信息技術(shù)研究機(jī)構(gòu)Omdia公司在報(bào)告中指出，組織在開發(fā)來自內(nèi)部部署設(shè)施的混合多云策略時(shí)需要考慮一些因素：

?向本地IAM提供商詢問其支持新環(huán)境的能力。事實(shí)證明，添加他們的身份即服務(wù)的破壞性要比通過提供商替換整個(gè)身份服務(wù)基礎(chǔ)設(shè)施的破壞性要小。

?如果IAM提供商表示有其他選擇，則對(duì)供應(yīng)商的調(diào)查報(bào)告可以提供主要參與者的概況以及優(yōu)勢(shì)和劣勢(shì)。

根據(jù)Omdia公司發(fā)布的《云服務(wù)和領(lǐng)導(dǎo)力戰(zhàn)略的2021年企業(yè)調(diào)查》報(bào)告，預(yù)計(jì)混合云和多云市場(chǎng)將會(huì)繼續(xù)增長(zhǎng)。Omdia公司IT和企業(yè)首席首席分析師Roy Illsley表示，對(duì)于混合云和多云來說，身份和訪問可能成為更重要的問題。他說：“當(dāng)混合云和多云世界成為現(xiàn)實(shí)時(shí)，那么身份和訪問將會(huì)成為一個(gè)主要挑戰(zhàn)?！?/p>

Cser指出，解決身份和訪問管理問題可以使組織的業(yè)務(wù)更輕松地遷移到云中，并在云中維護(hù)工作負(fù)載，同時(shí)還可以保護(hù)數(shù)據(jù)。他說：“所有這些都?xì)w結(jié)為數(shù)據(jù)保護(hù)，而配置錯(cuò)誤則是網(wǎng)絡(luò)攻擊的載體?！?/p>

Cser表示，云計(jì)算的性質(zhì)是造成這一困境的主要因素，同時(shí)缺乏監(jiān)督措施。他說：“例如，開發(fā)人員計(jì)劃開發(fā)項(xiàng)目，但不想構(gòu)建某些東西，然后不得不撤銷不必要的特權(quán)。而開發(fā)人員通常只想完成工作，希望開發(fā)自己的應(yīng)用程序。他們不想為安全性和撤銷訪問權(quán)限感到擔(dān)心。”

Cser表示，例如在創(chuàng)建資源或?qū)ο蟮倪^程中，開發(fā)人員可能允許資源保持相對(duì)開放狀態(tài)，盡管在開發(fā)后應(yīng)該采取后續(xù)措施以刪除其訪問權(quán)限或進(jìn)行加密。他說：“最后一步通常并沒有實(shí)施。他們不會(huì)主動(dòng)清理并撤銷特權(quán)。一旦某個(gè)服務(wù)啟動(dòng)，即使它是臨時(shí)的服務(wù)，也沒有人去撤消?！?/p>

Cser說，人們可能會(huì)擔(dān)心生產(chǎn)變更可能會(huì)危害功能。他說，“沒有人愿意冒險(xiǎn)。這些擔(dān)憂會(huì)影響到更多的組織。對(duì)于每個(gè)使用云計(jì)算服務(wù)的用戶來說，這是一個(gè)主要的問題。數(shù)據(jù)保護(hù)是最大的問題，但配置錯(cuò)誤或權(quán)限過高也是一個(gè)大問題，因?yàn)樵破脚_(tái)并不像數(shù)據(jù)中心那樣具有物理邊界?！?/p>

Cser表示，利用云計(jì)算、腳本和代碼可以確定實(shí)例的位置、可用內(nèi)存量以及不受控制的其他元素?？梢詫ivvyCloud、Palo Alto Networks和Dome9的產(chǎn)品用于云安全狀況管理，以解決這些問題。

他說，雖然AWS、Microsoft Azure和谷歌云等云平臺(tái)可能內(nèi)置了狀態(tài)管理功能，但它們通常只覆蓋其專有系統(tǒng)。Cser說：“用戶不能使用Azure的云安全狀態(tài)管理來保護(hù)AWS云平臺(tái)或其他平臺(tái)的云服務(wù)。用戶希望避免為每個(gè)平臺(tái)使用不同狀態(tài)管理工具帶來的麻煩，最好將這些管理功能集中到一個(gè)工具中?！?/p>

編輯：jq