云端身份管理的起步建议

如果组织能理解到云计算的巨大潜力,那无疑能让数字化转型事半功倍。过去两年,各种事件已经表明扎实的网络安全至关重要,尤其在企业往云端迁移的时候。不过,云计算的关键在于企业确保采用了合适的身份管理。日益增长的云技术的使用,使得威胁份子能够违规获取的人类以及非人类身份大量增加。那些不把这个情况当回事的企业最终会发现自己成为信息泄露的牺牲品。

看看Okta,这个被许多企业使用的身份管理平台。就在今年早些时候,犯罪组织Lapsus$宣称他们获取了Okta的一个超级账户。尽管说泄露事件的全貌尚未可知,但获取了这种高级别的凭证就可能意味着犯罪组织有了“通向王国的钥匙”,同样也有能力获取使用Okta平台的用户的数据。当一个IAM厂商沦为身份攻击的受害者的时候,自然就知道那些攻击者在玩真的。

也就是说,IAM并不是一个新话题,并且毫无疑问在可预见的未来变得更为重要。Cider Sercurity的一份报告将IAM列为CI/CD环境中第二大问题。这些问题不仅和企业内部授予身份的许可相关,还和确保这些许可随着时间推移消除相关。

管理云端身份的难点

管理云端身份如此困难的原因不少。一般而言,云供应商对对象结构的构建并不符合企业自身的构建。这就导致某个单独的企业用户试图管理多个云端的“身份”才能做他应该做的工作。这就会引发另一个问题:企业在云端毫无可视能力,不知道谁接入了什么。

随着这类问题增多,它们还会跟着企业雇佣更多的员工产生更麻烦的体验。同样,云端迁移本身还会出现类似挑战。企业耗时多年终于摸索出了一条他们自己硬件能运作的方式,然后还得到云端按照云供应商的架构再调整现有的模式。

身份管理不当的结果

从安全角度看,云端管理不当会给企业产生大量的管控缺口:企业不知道谁在他们的基础设施里做什么。这会让企业在某些东西使用被扭曲过的ID或者许可的身份的时候难以发现。

从一个非安全的角度来看,缺乏身份管理会导致企业进程中出现摩擦,导致不理想的后果。这些不理想的后果包括企业员工用多种身份登录云端资产,或者员工法系自己总是需要要求新的许可才能进入。最终,这些都会减缓企业的进程。

两个常见的IAM错误

客户总是没法成功建立考虑到身份管理的云端解决方案。最终,被接入的云端资源并不在乎身份的所有者是人、器械、或者甚至是一条狗。只要对方有正确的凭证,就被许可和授权。在他们知晓之前,一个业务关键的服务可能以24/7/365的方式运行着,然后这个服务的一部分会和其他关键服务交互——通过一个人类员工的身份,那如果这个员工离职了呢?确保服务的连续对企业、企业中的身份和云端准入管理都很重要。

另一个潜在问题在于用户共享凭证。用不了多久,相关凭证可能就无法被任何人追踪,知晓到底是谁接入了云端资源。难以追责会导致一些大问题,包括安全问题。

企业如何可以缓解安全问题

首先,也是最重要的,将身份管理视为第一优先级的问题,而不是回头等业务在云端运行之后再考虑。创建自己详细定义的身份管理策略,确保相关规定实现最小权限——每个身份只能接入他们需要的资源。

不要让云服务商的工具决定你如何运行自己的业务。一个确保自己企业才是拿着方向盘的方式,是找到那些精通云技术的人。从外部找到那些云技术专家,不仅可以让最有资格的人做他们最强的事,同时还能缓解一下你甚至还没看到的IAM问题。

另外,获得云基础设施的组织范围的可视性同样重要。这会提供许多针对云端基础设施的价值,不仅仅是IAM,还同样包括了合规和资金管理等。

虽然说身份安全已经逐渐走向一个成熟化的市场,但不能保证身份安全不会再出现新的突破——尤其是在云计算环境下。身份安全在云环境中,需要考虑的不仅仅是人类身份的管理,还需要考虑到系统、服务等多种身份的管理。但是,即使从管理、制度的角度,我们似乎对人类身份在云端的管理依然不怎么完善——尽管已经有了功能繁多的技术。云端的身份管理任重而道远,我们只是刚刚起步。

来源:数世咨询

上一篇:云服务中的安全责任共担模型

下一篇:超2.8亿条公民身份信息在公有云上暴露,印度政府未予置评