一文詳細解讀IDaaS與IAM
什么是IDaaS?
IDaaS是IAM的一個基于云的消費模型。同現代技術生態系統中其他的東西一樣,IAM也可以作為一種服務。排除一些例外,IDaaS通常是通過云模式來進行交付的,同時它也可以根據組織的需求以及相關供應商的能力,作為多租戶提供方案或專用交付模型來進行交付。
Gartner預測,2022年底之前,40%的中大型企業都將應用IDaaS產品以代替傳統的IAM。該結果是由多方因素共同促成的,例如云計算的持續應用、遠程辦公的常態化,以及組織開始意識到他們可以在無需對IAM進行托管的情況下,單純地使用它。這樣組織就可以把節省的時間投入到向客戶交付價值的核心能力上。
IDaaS的益處
IDaaS產品的優點包括無需托管即可使用IAM,以及節省了與IAM相關的管理開銷(轉而由供應商承擔)。除此之外,IDaaS還包括一些功能豐富的產品,這些產品可以使IAM在許多情況下變得更加有效、更加安全。大多數IDaaS供應商既可以提供本地服務,也可以提供集成的功能,如單點登錄(SSO)和多因素身份驗證(MFA)。
IDaaS供應商以其為云原生而感到自豪,因為這意味著與強大的云生態系統進行集成變得更加容易。也就是說可以與組織龐大的SaaS應用進行集成,并通過使用OIDC和SAML等協議,來實現統一的身份驗證方案和企業范圍的IAM治理。即使是像聯邦政府這樣復雜和龐大的組織也發布了完整的劇本和指南,以幫助聯邦機構的政府承包商將他們的IAM服務與云運營模式相結合,而IDaaS正是該劇本的核心。
上表來自于前面提到的聯邦劇本,它很好地總結了本地IAM解決方案與IDaaS之間的一些關鍵區別。如同一個更為廣泛的云,基于云的IDaaS也可以提供云計算的許多關鍵功能。通過應用基于云的IDaaS,組織不再被其擴展IAM基礎設施的能力所限制,因為該能力可以作為一種消耗品來由外部提供,且具有一定的彈性。
組織可以根據實際的消耗量來進行結算,并且他們無需實際擁有和托管IAM基礎設施,因為這些均由服務供應商負責。同時,組織也無需再費心IAM基礎設施的容錯。IDaaS供應商會提供具備容錯能力的全球可用的基礎設施,從而以更低的價格,來滿足組織的災后恢復以及業務連續(DR/BC)等需求。
IDaaS 的缺點以及注意事項
然而并非所有的IDaaS都是有益的,組織在評估它們時需要考慮一些關鍵的因素。如果說身份驗證是新的邊界,那么采用IDaaS可以給IDaaS供應商帶來一定程度上的邊界控制。這類似于云計算中的共享責任模型概念。不同的是,它從基礎設施進一步擴展到了堆棧、以及身份、權限和訪問控制等關鍵問題上。
上表中列舉的一些IDaaS的優點如今可能會成為它的缺點或爭議點,這取決于組織的需求和敏感度。使用與IAM相關的應用和系統,限制了供應商的供應權限以及修改供應方式的能力。這是由于IDaaS供應商為許多客戶都提供了他們的界面/應用程序,但是只能有這么多的定制化才能保證不會失去產品的標準化。并且在對服務的評估方面,組織還可能會遇到額外的開支,這是因為管理員不成熟的選擇可能會超過最初的預算。
除此之外,一些重要的安全問題還來自于IDaaS的資源共享和廣泛的網絡訪問方面。根據組織的工作性質,與其他用戶共享租賃服務的想法是很危險的。共享租賃服務意味著其他用戶邏輯環境中的安全風險事件可以在我們自己組織所在的環境中橫向訪問,從而訪問整個IT生態環境。
IDaaS的全球可用性是一個極具吸引力的優點,特別是考慮到組織自己提供此種級別容錯能力所需的高額費用。也就是說,組織還需牢記一些監管要求。例如一些組織可能會受限于其系統/數據的地理位置因素(GDPR或國家安全等)。如果業務已經在進行中了,那么則需要考慮美國國防(DoD)方面的問題。組織可以與IDaaS供應商合作,以確保其數據處于特定的區域。但地理位置的限制也的確是一個需要考慮和解決的問題。
其中一些擔憂并非沒有道理。就在幾個月前,最大的IDaaS供應商之一Okta就遭遇了一次安全漏洞攻擊,直接影響了兩家用戶企業。此次事件中的安全漏洞似乎來自于Okta的一個子處理器,同時這也引起了針對網絡安全供應鏈風險管理(C-SCRM)的討論。由于許多IDaaS供應商要處理數百上千條有關客戶IAM的關鍵信息,所以一旦IDaaS供應商遭受不法分子的攻擊,那么就可能會進一步對其用戶企業乃至整個行業造成毀滅性的打擊。
仔細評估IDaaS
經過以上討論,我們就可以理解為什么許多組織都在使用IDaaS產品了。隨著云的普及,組織通常需要動態且強大的IAM功能來支持其多樣化的生態系統。對于許多組織來說,由IDaaS供應商提供IAM功能比組織親自對IAM進行托管,要劃算得多。它們龐大的用戶團體也造就了其巨大的工作規模。
使用IDaaS服務往往可以幫助組織專注于自己的核心競爭力,比起IAM,組織更應該將重心放在客戶和利益相關者身上。與所有的技術和服務一樣,在挑選IDaaS方面,組織也需要考慮一些關鍵的因素。
點評
IDaaS身份即服務是IAM服務在云計算時代的擴展升級,它更像是IAM與SaaS的結合。IDaaS充分發揮了云的強大優勢,不僅在于企業成本與精力的節約,而且更大程度上實現了認證策略的集中與統一。但任何事物都具有兩面性,資源的共享一方面來了高效與便利,同時也引入了更大的安全風險。因此,企業在對IDaaS評估與挑選時,需要充分考慮與自身相關的關鍵因素、衡量利弊,在最小風險的情況下,將IDaaS的優勢發揮至最大。
