隨著人們意識到控制和安全方面的差距，對云平臺中身份和訪問管理的擔(dān)憂可能會減緩組織遷移的速度。

IT決策者可能會對云遷移感到猶豫，或者擔(dān)憂與身份和訪問管理（IAM）和云計算安全相關(guān)的問題。根據(jù)ForgerRock和谷歌云委托Forrester公司進(jìn)行的調(diào)查研究并在日前發(fā)布的一份報告，許多組織計劃在未來兩年內(nèi)采取行動，希望能更好地解決此類問題。

Forrester公司副總裁兼首席分析師Andras Cser表示，與IT相關(guān)的身份管理通常分為兩種：一種是商業(yè)用戶訪問云平臺中的應(yīng)用程序，這相對來說沒有問題。另一種是特權(quán)用戶，例如可以登錄云計算控制臺進(jìn)行更改的管理員。

Cser指出，這就是潛在的擔(dān)憂所在。他說，“云計算技術(shù)的發(fā)展和應(yīng)用遠(yuǎn)遠(yuǎn)超過了身份認(rèn)證技術(shù)，我們?nèi)狈C制來可靠地控制這些管理員類型的用戶在管理云平臺控制臺時的身份訪問權(quán)限。”

Cser表示，這意味著組織可能在如何授予此類特權(quán)用戶訪問權(quán)限方面遇到了困難。他說：“這也意味著這些用戶的訪問有很多次都包含過多的權(quán)限或過多特權(quán)的情況。有時無法可靠地對這些用戶進(jìn)行身份驗證。”

他說，理解訪問權(quán)限（例如采用一個身份如何訪問云平臺中的對象和資源，例如實例、存儲和網(wǎng)絡(luò)）也很困難。Cser表示，其問題包括安全性和對誰可以訪問哪些內(nèi)容這些問題交織在一起。他說，“即使了解誰可以在云中執(zhí)行操作也是極其困難的。因為需要確定管理員用戶有權(quán)訪問疊加層中的問題。這就是問題所在。”

他說，這可能會導(dǎo)致一組策略拒絕對用戶的訪問，而另一策略將訪問權(quán)限授予彼此獨立的所有層，這可能會造成混亂。

信息技術(shù)研究機構(gòu)Omdia公司在報告中指出，組織在開發(fā)來自內(nèi)部部署設(shè)施的混合多云策略時需要考慮一些因素：

?向本地IAM提供商詢問其支持新環(huán)境的能力。事實證明，添加他們的身份即服務(wù)的破壞性要比通過提供商替換整個身份服務(wù)基礎(chǔ)設(shè)施的破壞性要小。

?如果IAM提供商表示有其他選擇，則對供應(yīng)商的調(diào)查報告可以提供主要參與者的概況以及優(yōu)勢和劣勢。

根據(jù)Omdia公司發(fā)布的《云服務(wù)和領(lǐng)導(dǎo)力戰(zhàn)略的2021年企業(yè)調(diào)查》報告，預(yù)計混合云和多云市場將會繼續(xù)增長。Omdia公司IT和企業(yè)首席首席分析師Roy Illsley表示，對于混合云和多云來說，身份和訪問可能成為更重要的問題。他說：“當(dāng)混合云和多云世界成為現(xiàn)實時，那么身份和訪問將會成為一個主要挑戰(zhàn)。”

Cser指出，解決身份和訪問管理問題可以使組織的業(yè)務(wù)更輕松地遷移到云中，并在云中維護工作負(fù)載，同時還可以保護數(shù)據(jù)。他說：“所有這些都?xì)w結(jié)為數(shù)據(jù)保護，而配置錯誤則是網(wǎng)絡(luò)攻擊的載體。”

Cser表示，云計算的性質(zhì)是造成這一困境的主要因素，同時缺乏監(jiān)督措施。他說：“例如，開發(fā)人員計劃開發(fā)項目，但不想構(gòu)建某些東西，然后不得不撤銷不必要的特權(quán)。而開發(fā)人員通常只想完成工作，希望開發(fā)自己的應(yīng)用程序。他們不想為安全性和撤銷訪問權(quán)限感到擔(dān)心。”

Cser表示，例如在創(chuàng)建資源或?qū)ο蟮倪^程中，開發(fā)人員可能允許資源保持相對開放狀態(tài)，盡管在開發(fā)后應(yīng)該采取后續(xù)措施以刪除其訪問權(quán)限或進(jìn)行加密。他說：“最后一步通常并沒有實施。他們不會主動清理并撤銷特權(quán)。一旦某個服務(wù)啟動，即使它是臨時的服務(wù)，也沒有人去撤消。”

Cser說，人們可能會擔(dān)心生產(chǎn)變更可能會危害功能。他說，“沒有人愿意冒險。這些擔(dān)憂會影響到更多的組織。對于每個使用云計算服務(wù)的用戶來說，這是一個主要的問題。數(shù)據(jù)保護是最大的問題，但配置錯誤或權(quán)限過高也是一個大問題，因為云平臺并不像數(shù)據(jù)中心那樣具有物理邊界。”

Cser表示，利用云計算、腳本和代碼可以確定實例的位置、可用內(nèi)存量以及不受控制的其他元素。可以將DivvyCloud、Palo Alto Networks和Dome9的產(chǎn)品用于云安全狀況管理，以解決這些問題。

他說，雖然AWS、Microsoft Azure和谷歌云等云平臺可能內(nèi)置了狀態(tài)管理功能，但它們通常只覆蓋其專有系統(tǒng)。Cser說：“用戶不能使用Azure的云安全狀態(tài)管理來保護AWS云平臺或其他平臺的云服務(wù)。用戶希望避免為每個平臺使用不同狀態(tài)管理工具帶來的麻煩，最好將這些管理功能集中到一個工具中。”

編輯：jq