云端身份管理的起步建議
責編:gltian |2022-08-05 14:57:48如果組織能理解到云計算的巨大潛力,那無疑能讓數(shù)字化轉(zhuǎn)型事半功倍。過去兩年,各種事件已經(jīng)表明扎實的網(wǎng)絡(luò)安全至關(guān)重要,尤其在企業(yè)往云端遷移的時候。不過,云計算的關(guān)鍵在于企業(yè)確保采用了合適的身份管理。日益增長的云技術(shù)的使用,使得威脅份子能夠違規(guī)獲取的人類以及非人類身份大量增加。那些不把這個情況當回事的企業(yè)最終會發(fā)現(xiàn)自己成為信息泄露的犧牲品。
看看Okta,這個被許多企業(yè)使用的身份管理平臺。就在今年早些時候,犯罪組織Lapsus$宣稱他們獲取了Okta的一個超級賬戶。盡管說泄露事件的全貌尚未可知,但獲取了這種高級別的憑證就可能意味著犯罪組織有了“通向王國的鑰匙”,同樣也有能力獲取使用Okta平臺的用戶的數(shù)據(jù)。當一個IAM廠商淪為身份攻擊的受害者的時候,自然就知道那些攻擊者在玩真的。
也就是說,IAM并不是一個新話題,并且毫無疑問在可預(yù)見的未來變得更為重要。Cider Sercurity的一份報告將IAM列為CI/CD環(huán)境中第二大問題。這些問題不僅和企業(yè)內(nèi)部授予身份的許可相關(guān),還和確保這些許可隨著時間推移消除相關(guān)。
管理云端身份的難點
管理云端身份如此困難的原因不少。一般而言,云供應(yīng)商對對象結(jié)構(gòu)的構(gòu)建并不符合企業(yè)自身的構(gòu)建。這就導(dǎo)致某個單獨的企業(yè)用戶試圖管理多個云端的“身份”才能做他應(yīng)該做的工作。這就會引發(fā)另一個問題:企業(yè)在云端毫無可視能力,不知道誰接入了什么。
隨著這類問題增多,它們還會跟著企業(yè)雇傭更多的員工產(chǎn)生更麻煩的體驗。同樣,云端遷移本身還會出現(xiàn)類似挑戰(zhàn)。企業(yè)耗時多年終于摸索出了一條他們自己硬件能運作的方式,然后還得到云端按照云供應(yīng)商的架構(gòu)再調(diào)整現(xiàn)有的模式。
身份管理不當?shù)慕Y(jié)果
從安全角度看,云端管理不當會給企業(yè)產(chǎn)生大量的管控缺口:企業(yè)不知道誰在他們的基礎(chǔ)設(shè)施里做什么。這會讓企業(yè)在某些東西使用被扭曲過的ID或者許可的身份的時候難以發(fā)現(xiàn)。
從一個非安全的角度來看,缺乏身份管理會導(dǎo)致企業(yè)進程中出現(xiàn)摩擦,導(dǎo)致不理想的后果。這些不理想的后果包括企業(yè)員工用多種身份登錄云端資產(chǎn),或者員工法系自己總是需要要求新的許可才能進入。最終,這些都會減緩企業(yè)的進程。
兩個常見的IAM錯誤
客戶總是沒法成功建立考慮到身份管理的云端解決方案。最終,被接入的云端資源并不在乎身份的所有者是人、器械、或者甚至是一條狗。只要對方有正確的憑證,就被許可和授權(quán)。在他們知曉之前,一個業(yè)務(wù)關(guān)鍵的服務(wù)可能以24/7/365的方式運行著,然后這個服務(wù)的一部分會和其他關(guān)鍵服務(wù)交互——通過一個人類員工的身份,那如果這個員工離職了呢?確保服務(wù)的連續(xù)對企業(yè)、企業(yè)中的身份和云端準入管理都很重要。
另一個潛在問題在于用戶共享憑證。用不了多久,相關(guān)憑證可能就無法被任何人追蹤,知曉到底是誰接入了云端資源。難以追責會導(dǎo)致一些大問題,包括安全問題。
企業(yè)如何可以緩解安全問題
首先,也是最重要的,將身份管理視為第一優(yōu)先級的問題,而不是回頭等業(yè)務(wù)在云端運行之后再考慮。創(chuàng)建自己詳細定義的身份管理策略,確保相關(guān)規(guī)定實現(xiàn)最小權(quán)限——每個身份只能接入他們需要的資源。
不要讓云服務(wù)商的工具決定你如何運行自己的業(yè)務(wù)。一個確保自己企業(yè)才是拿著方向盤的方式,是找到那些精通云技術(shù)的人。從外部找到那些云技術(shù)專家,不僅可以讓最有資格的人做他們最強的事,同時還能緩解一下你甚至還沒看到的IAM問題。
另外,獲得云基礎(chǔ)設(shè)施的組織范圍的可視性同樣重要。這會提供許多針對云端基礎(chǔ)設(shè)施的價值,不僅僅是IAM,還同樣包括了合規(guī)和資金管理等。
雖然說身份安全已經(jīng)逐漸走向一個成熟化的市場,但不能保證身份安全不會再出現(xiàn)新的突破——尤其是在云計算環(huán)境下。身份安全在云環(huán)境中,需要考慮的不僅僅是人類身份的管理,還需要考慮到系統(tǒng)、服務(wù)等多種身份的管理。但是,即使從管理、制度的角度,我們似乎對人類身份在云端的管理依然不怎么完善——盡管已經(jīng)有了功能繁多的技術(shù)。云端的身份管理任重而道遠,我們只是剛剛起步。
來源:數(shù)世咨詢
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧