應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊(cè)個(gè)人注冊(cè)登錄

身份和訪問管理問題是否阻礙了混合云和多云的采用?

2021-04-14 13:45 企業(yè)網(wǎng)D1Net

導(dǎo)讀:IT決策者可能會(huì)對(duì)云遷移感到猶豫,或者擔(dān)憂與身份和訪問管理(IAM)和云計(jì)算安全相關(guān)的問題。

隨著人們意識(shí)到控制和安全方面的差距,對(duì)云平臺(tái)中身份和訪問管理的擔(dān)憂可能會(huì)減緩組織遷移的速度。

IT決策者可能會(huì)對(duì)云遷移感到猶豫,或者擔(dān)憂與身份和訪問管理(IAM)和云計(jì)算安全相關(guān)的問題。根據(jù)ForgerRock和谷歌云委托Forrester公司進(jìn)行的調(diào)查研究并在日前發(fā)布的一份報(bào)告,許多組織計(jì)劃在未來兩年內(nèi)采取行動(dòng),希望能更好地解決此類問題。

Forrester公司副總裁兼首席分析師Andras Cser表示,與IT相關(guān)的身份管理通常分為兩種:一種是商業(yè)用戶訪問云平臺(tái)中的應(yīng)用程序,這相對(duì)來說沒有問題。另一種是特權(quán)用戶,例如可以登錄云計(jì)算控制臺(tái)進(jìn)行更改的管理員。

Cser指出,這就是潛在的擔(dān)憂所在。他說,“云計(jì)算技術(shù)的發(fā)展和應(yīng)用遠(yuǎn)遠(yuǎn)超過了身份認(rèn)證技術(shù),我們?nèi)狈C(jī)制來可靠地控制這些管理員類型的用戶在管理云平臺(tái)控制臺(tái)時(shí)的身份訪問權(quán)限?!?/p>

Cser表示,這意味著組織可能在如何授予此類特權(quán)用戶訪問權(quán)限方面遇到了困難。他說:“這也意味著這些用戶的訪問有很多次都包含過多的權(quán)限或過多特權(quán)的情況。有時(shí)無(wú)法可靠地對(duì)這些用戶進(jìn)行身份驗(yàn)證?!?/p>

他說,理解訪問權(quán)限(例如采用一個(gè)身份如何訪問云平臺(tái)中的對(duì)象和資源,例如實(shí)例、存儲(chǔ)和網(wǎng)絡(luò))也很困難。Cser表示,其問題包括安全性和對(duì)誰(shuí)可以訪問哪些內(nèi)容這些問題交織在一起。他說,“即使了解誰(shuí)可以在云中執(zhí)行操作也是極其困難的。因?yàn)樾枰_定管理員用戶有權(quán)訪問疊加層中的問題。這就是問題所在?!?/p>

他說,這可能會(huì)導(dǎo)致一組策略拒絕對(duì)用戶的訪問,而另一策略將訪問權(quán)限授予彼此獨(dú)立的所有層,這可能會(huì)造成混亂。

信息技術(shù)研究機(jī)構(gòu)Omdia公司在報(bào)告中指出,組織在開發(fā)來自內(nèi)部部署設(shè)施的混合多云策略時(shí)需要考慮一些因素:

?向本地IAM提供商詢問其支持新環(huán)境的能力。事實(shí)證明,添加他們的身份即服務(wù)的破壞性要比通過提供商替換整個(gè)身份服務(wù)基礎(chǔ)設(shè)施的破壞性要小。

?如果IAM提供商表示有其他選擇,則對(duì)供應(yīng)商的調(diào)查報(bào)告可以提供主要參與者的概況以及優(yōu)勢(shì)和劣勢(shì)。

根據(jù)Omdia公司發(fā)布的《云服務(wù)和領(lǐng)導(dǎo)力戰(zhàn)略的2021年企業(yè)調(diào)查》報(bào)告,預(yù)計(jì)混合云和多云市場(chǎng)將會(huì)繼續(xù)增長(zhǎng)。Omdia公司IT和企業(yè)首席首席分析師Roy Illsley表示,對(duì)于混合云和多云來說,身份和訪問可能成為更重要的問題。他說:“當(dāng)混合云和多云世界成為現(xiàn)實(shí)時(shí),那么身份和訪問將會(huì)成為一個(gè)主要挑戰(zhàn)?!?/p>

Cser指出,解決身份和訪問管理問題可以使組織的業(yè)務(wù)更輕松地遷移到云中,并在云中維護(hù)工作負(fù)載,同時(shí)還可以保護(hù)數(shù)據(jù)。他說:“所有這些都?xì)w結(jié)為數(shù)據(jù)保護(hù),而配置錯(cuò)誤則是網(wǎng)絡(luò)攻擊的載體?!?/p>

Cser表示,云計(jì)算的性質(zhì)是造成這一困境的主要因素,同時(shí)缺乏監(jiān)督措施。他說:“例如,開發(fā)人員計(jì)劃開發(fā)項(xiàng)目,但不想構(gòu)建某些東西,然后不得不撤銷不必要的特權(quán)。而開發(fā)人員通常只想完成工作,希望開發(fā)自己的應(yīng)用程序。他們不想為安全性和撤銷訪問權(quán)限感到擔(dān)心?!?/p>

Cser表示,例如在創(chuàng)建資源或?qū)ο蟮倪^程中,開發(fā)人員可能允許資源保持相對(duì)開放狀態(tài),盡管在開發(fā)后應(yīng)該采取后續(xù)措施以刪除其訪問權(quán)限或進(jìn)行加密。他說:“最后一步通常并沒有實(shí)施。他們不會(huì)主動(dòng)清理并撤銷特權(quán)。一旦某個(gè)服務(wù)啟動(dòng),即使它是臨時(shí)的服務(wù),也沒有人去撤消?!?/p>

Cser說,人們可能會(huì)擔(dān)心生產(chǎn)變更可能會(huì)危害功能。他說,“沒有人愿意冒險(xiǎn)。這些擔(dān)憂會(huì)影響到更多的組織。對(duì)于每個(gè)使用云計(jì)算服務(wù)的用戶來說,這是一個(gè)主要的問題。數(shù)據(jù)保護(hù)是最大的問題,但配置錯(cuò)誤或權(quán)限過高也是一個(gè)大問題,因?yàn)樵破脚_(tái)并不像數(shù)據(jù)中心那樣具有物理邊界?!?/p>

Cser表示,利用云計(jì)算、腳本和代碼可以確定實(shí)例的位置、可用內(nèi)存量以及不受控制的其他元素??梢詫ivvyCloud、Palo Alto Networks和Dome9的產(chǎn)品用于云安全狀況管理,以解決這些問題。

他說,雖然AWS、Microsoft Azure和谷歌云等云平臺(tái)可能內(nèi)置了狀態(tài)管理功能,但它們通常只覆蓋其專有系統(tǒng)。Cser說:“用戶不能使用Azure的云安全狀態(tài)管理來保護(hù)AWS云平臺(tái)或其他平臺(tái)的云服務(wù)。用戶希望避免為每個(gè)平臺(tái)使用不同狀態(tài)管理工具帶來的麻煩,最好將這些管理功能集中到一個(gè)工具中。”