如果組織能理解到云計算的巨大潛力，那無疑能讓數字化轉型事半功倍。過去兩年，各種事件已經表明扎實的網絡安全至關重要，尤其在企業(yè)往云端遷移的時候。不過，云計算的關鍵在于企業(yè)確保采用了合適的身份管理。日益增長的云技術的使用，使得威脅份子能夠違規(guī)獲取的人類以及非人類身份大量增加。那些不把這個情況當回事的企業(yè)最終會發(fā)現自己成為信息泄露的犧牲品。

看看Okta，這個被許多企業(yè)使用的身份管理平臺。就在今年早些時候，犯罪組織Lapsus$宣稱他們獲取了Okta的一個超級賬戶。盡管說泄露事件的全貌尚未可知，但獲取了這種高級別的憑證就可能意味著犯罪組織有了“通向王國的鑰匙”，同樣也有能力獲取使用Okta平臺的用戶的數據。當一個IAM廠商淪為身份攻擊的受害者的時候，自然就知道那些攻擊者在玩真的。

也就是說，IAM并不是一個新話題，并且毫無疑問在可預見的未來變得更為重要。Cider Sercurity的一份報告將IAM列為CI/CD環(huán)境中第二大問題。這些問題不僅和企業(yè)內部授予身份的許可相關，還和確保這些許可隨著時間推移消除相關。

管理云端身份的難點

管理云端身份如此困難的原因不少。一般而言，云供應商對對象結構的構建并不符合企業(yè)自身的構建。這就導致某個單獨的企業(yè)用戶試圖管理多個云端的“身份”才能做他應該做的工作。這就會引發(fā)另一個問題：企業(yè)在云端毫無可視能力，不知道誰接入了什么。

隨著這類問題增多，它們還會跟著企業(yè)雇傭更多的員工產生更麻煩的體驗。同樣，云端遷移本身還會出現類似挑戰(zhàn)。企業(yè)耗時多年終于摸索出了一條他們自己硬件能運作的方式，然后還得到云端按照云供應商的架構再調整現有的模式。

身份管理不當的結果

從安全角度看，云端管理不當會給企業(yè)產生大量的管控缺口：企業(yè)不知道誰在他們的基礎設施里做什么。這會讓企業(yè)在某些東西使用被扭曲過的ID或者許可的身份的時候難以發(fā)現。

從一個非安全的角度來看，缺乏身份管理會導致企業(yè)進程中出現摩擦，導致不理想的后果。這些不理想的后果包括企業(yè)員工用多種身份登錄云端資產，或者員工法系自己總是需要要求新的許可才能進入。最終，這些都會減緩企業(yè)的進程。

兩個常見的IAM錯誤

客戶總是沒法成功建立考慮到身份管理的云端解決方案。最終，被接入的云端資源并不在乎身份的所有者是人、器械、或者甚至是一條狗。只要對方有正確的憑證，就被許可和授權。在他們知曉之前，一個業(yè)務關鍵的服務可能以24/7/365的方式運行著，然后這個服務的一部分會和其他關鍵服務交互——通過一個人類員工的身份，那如果這個員工離職了呢？確保服務的連續(xù)對企業(yè)、企業(yè)中的身份和云端準入管理都很重要。

另一個潛在問題在于用戶共享憑證。用不了多久，相關憑證可能就無法被任何人追蹤，知曉到底是誰接入了云端資源。難以追責會導致一些大問題，包括安全問題。

企業(yè)如何可以緩解安全問題

首先，也是最重要的，將身份管理視為第一優(yōu)先級的問題，而不是回頭等業(yè)務在云端運行之后再考慮。創(chuàng)建自己詳細定義的身份管理策略，確保相關規(guī)定實現最小權限——每個身份只能接入他們需要的資源。

不要讓云服務商的工具決定你如何運行自己的業(yè)務。一個確保自己企業(yè)才是拿著方向盤的方式，是找到那些精通云技術的人。從外部找到那些云技術專家，不僅可以讓最有資格的人做他們最強的事，同時還能緩解一下你甚至還沒看到的IAM問題。

另外，獲得云基礎設施的組織范圍的可視性同樣重要。這會提供許多針對云端基礎設施的價值，不僅僅是IAM，還同樣包括了合規(guī)和資金管理等。

點評

雖然說身份安全已經逐漸走向一個成熟化的市場，但不能保證身份安全不會再出現新的突破——尤其是在云計算環(huán)境下。身份安全在云環(huán)境中，需要考慮的不僅僅是人類身份的管理，還需要考慮到系統(tǒng)、服務等多種身份的管理。但是，即使從管理、制度的角度，我們似乎對人類身份在云端的管理依然不怎么完善——盡管已經有了功能繁多的技術。云端的身份管理任重而道遠，我們只是剛剛起步。