随着人们意识到控制和安全方面的差距,对云平台中身份和访问管理的担忧可能会减缓组织迁移的速度。
IT决策者可能会对云迁移感到犹豫,或者担忧与身份和访问管理(IAM)和云计算安全相关的问题。根据ForgerRock和谷歌云委托Forrester公司进行的调查研究并在日前发布的一份报告,许多组织计划在未来两年内采取行动,希望能更好地解决此类问题。
Forrester公司副总裁兼首席分析师Andras Cser表示,与IT相关的身份管理通常分为两种:一种是商业用户访问云平台中的应用程序,这相对来说没有问题。另一种是特权用户,例如可以登录云计算控制台进行更改的管理员。
Cser指出,这就是潜在的担忧所在。他说,“云计算技术的发展和应用远远超过了身份认证技术,我们缺乏机制来可靠地控制这些管理员类型的用户在管理云平台控制台时的身份访问权限。”
Cser表示,这意味着组织可能在如何授予此类特权用户访问权限方面遇到了困难。他说:“这也意味着这些用户的访问有很多次都包含过多的权限或过多特权的情况。有时无法可靠地对这些用户进行身份验证。”
他说,理解访问权限(例如采用一个身份如何访问云平台中的对象和资源,例如实例、存储和网络)也很困难。Cser表示,其问题包括安全性和对谁可以访问哪些内容这些问题交织在一起。他说,“即使了解谁可以在云中执行操作也是极其困难的。因为需要确定管理员用户有权访问叠加层中的问题。这就是问题所在。”
他说,这可能会导致一组策略拒绝对用户的访问,而另一策略将访问权限授予彼此独立的所有层,这可能会造成混乱。
信息技术研究机构Omdia公司在报告中指出,组织在开发来自内部部署设施的混合多云策略时需要考虑一些因素:
•向本地IAM提供商询问其支持新环境的能力。事实证明,添加他们的身份即服务的破坏性要比通过提供商替换整个身份服务基础设施的破坏性要小。
•如果IAM提供商表示有其他选择,则对供应商的调查报告可以提供主要参与者的概况以及优势和劣势。
根据Omdia公司发布的《云服务和领导力战略的2021年企业调查》报告,预计混合云和多云市场将会继续增长。Omdia公司IT和企业首席首席分析师Roy Illsley表示,对于混合云和多云来说,身份和访问可能成为更重要的问题。他说:“当混合云和多云世界成为现实时,那么身份和访问将会成为一个主要挑战。”
Cser指出,解决身份和访问管理问题可以使组织的业务更轻松地迁移到云中,并在云中维护工作负载,同时还可以保护数据。他说:“所有这些都归结为数据保护,而配置错误则是网络攻击的载体。”
Cser表示,云计算的性质是造成这一困境的主要因素,同时缺乏监督措施。他说:“例如,开发人员计划开发项目,但不想构建某些东西,然后不得不撤销不必要的特权。而开发人员通常只想完成工作,希望开发自己的应用程序。他们不想为安全性和撤销访问权限感到担心。”
Cser表示,例如在创建资源或对象的过程中,开发人员可能允许资源保持相对开放状态,尽管在开发后应该采取后续措施以删除其访问权限或进行加密。他说:“最后一步通常并没有实施。他们不会主动清理并撤销特权。一旦某个服务启动,即使它是临时的服务,也没有人去撤消。”
Cser说,人们可能会担心生产变更可能会危害功能。他说,“没有人愿意冒险。这些担忧会影响到更多的组织。对于每个使用云计算服务的用户来说,这是一个主要的问题。数据保护是最大的问题,但配置错误或权限过高也是一个大问题,因为云平台并不像数据中心那样具有物理边界。”
Cser表示,利用云计算、脚本和代码可以确定实例的位置、可用内存量以及不受控制的其他元素。可以将DivvyCloud、Palo Alto Networks和Dome9的产品用于云安全状况管理,以解决这些问题。
他说,虽然AWS、Microsoft Azure和谷歌云等云平台可能内置了状态管理功能,但它们通常只覆盖其专有系统。Cser说:“用户不能使用Azure的云安全状态管理来保护AWS云平台或其他平台的云服务。用户希望避免为每个平台使用不同状态管理工具带来的麻烦,最好将这些管理功能集中到一个工具中。”