云身份安全是个大问题，它将如何重塑人们对云计算的信任？

云身份安全是个大问题，它将如何重塑人们对云计算的信任？-51CTO.COM

​在短短15年内，全球整体云计算市场规模从0迅猛增长到2021年的7050亿美元。

而据IDC预测，到2025年全球整体云计算市场将更是一度超过万亿大关，达到1.3万亿美元。

​作为全球最大的经济体之一，中国云计算市场规模也将超过万亿元人民币。​

随着云计算的蓬勃发展，身份认证和权限管理成为企业安全防护的基础，企业规模越大，对资产和关键数据的查阅、修改、获取等权限的精细化管理需求就越大。

随着数字化转型浪潮的来袭，业务云化后，身份认证和权限管理领域也变得更加复杂和多样化，不同用户对于身份安全的管理不仅要求细粒度，更希望能够满足量身定制的专项需求，这为云计算厂商带来了巨大的挑战。

01云时代的身份危机

简单的世界，控制数字访问也相对直接：设置好警戒线、只让对的人进入。但这种方法难以为继。

而随着组织数字资产不断增长、变化直至无边界，“一刀切”式的门槛设置也不再现实。

预测并解决整个组织及供应链中可能发生的无限数量的访问场景，这几乎是不可能的，尤其是涉及组织无法控制的第三方系统、平台、应用和设备时。

身份不仅仅与目录相关，访问也不仅仅与网络相关。安全挑战变得更加宽泛，因此我们需要更广泛的解决方案，以确保每个客户、合作伙伴和员工，以及每个微服务、传感器、网络、设备和数据库的访问安全。

对企业的成功而言，有效数字身份实践比以往来得更为重要。

数字身份实践是取信客户的第一步，是保护敏感数据、驱动安全交易和改进业务流程的关键，能够推动通过社交媒体与消费者互动的新方式，提升企业内部协作，自动化并简化网络安全操作。

然而，企业面临的身份管理挑战越来越多。原因之一就是传统数字壁垒的坍塌，企业内部与外部的界限就此模糊。

这种转变加之用户期待改变、新兴技术涌现、云服务转型、业务需求增长和隐私监管发展，引发了数字身份危机。

数字壁垒坍塌、用户期待改变和新兴技术涌现，引发了数字身份危机。企业应重新审视并快速改进其数字身份策略。

只有全面审视数字身份管理，并以同样的理念处理企业和消费者身份，企业才能获得想要的结果。

有些公司将自己的身份技术栈挪到了云端，其他公司则引入身份即服务。

Gartner 表示，到2022年，全球40%的中型和大型企业将使用身份与访问管理即服务(IDaaS)功能，满足自身绝大多数身份与访问管理(IAM)需求，而当下这么做的企业仅占5%。

原因之一就是云供应商和第三方云运营商拥有的功能可能比公司内部的高级得多，令公司不需要再对软件和基础设施做更新与升级。

而且，很多公司面临网络安全技术人才短缺的情况，采用托管服务有助于免除吸引、培训和留住这些人才的需求。

​02云身份治理为云计算夯实发展“地基”

随着组织的业务向云计算转型，身份治理对于维护安全性和生产力至关重要。

这不仅对迁移本身至关重要，而且之后身份治理可帮助企业建立跨所有用户、应用程序和数据的访问的集中生命周期管理。

身份治理是关于管理和控制可访问敏感数据的身份，无论其身在何处、在此需要让组织回答三个重要的安全问题：谁有权访问什么？谁应该有权访问？以及如何使用访问权限？

当组织决定退出数据中心业务，并将其IT基础设施迁移到云端时，敏感数据也会被迁移。

当这些数据迁移到云端时，组织必须能够在所有方面能够查看、管理和保护数据，而不让IT人员负担过重。

通过身份治理，组织可以从用户及其应用程序建立控制，还可以发现、分类和管理对敏感数据的访问。

为探索云安全的发展现状，研究机构Forrester近日对154名北美地区IT团队负责人进行了一项调查。

调查发现，受访者普遍认为企业需要实施与业务云化发展相匹配的安全解决方案，特别是在身份认证和权限管理领域，需要更加智能的云身份治理（Cloud Identity Governance，CIG）方案和云基础设施授权管理方案（Cloud Infrastructure Entitlements Management，CIEM）。

有56%的受访者表示，在机器设备和其他非人类身份的影响下，云上身份安全认证管理变得越来越难。

同时，有74%的受访者表示，对其现有的云身份管理并不满意，为了保证企业在云上的进一步拓展和云环境的安全，需要建立新的身份认证和访问控制方案。

云平台对企业数字化业务的开展和应用重要性持续提升，几乎所有受访企业都在云平台上运行了不同的应用程序或工作负载，包含了面向外部客户的Web、应用程序到面向内部的软件开发平台和工具：

• 66%为面向客户的Web和移动应用程序；
• 62%为物联网应用；
• 62%为数据库应用程序/记录系统；
• 60%为中间件和基础设施；
• 60%为容器/无服务器开发平台。

在企业全面数字化转型的过程中，其业务创新和业务成果越来越依赖于能尽快开发和使用的创新技术和服务，云是满足这一需求的重要基础。

随着企业组织不断扩大对云计算的使用，其所面临的云安全威胁也更加严峻，同时随着云服务不断升级，虚拟身份的出现，云上权限管理难度也成指数级增长。

为了应对云环境的安全风险，平均每个企业都会选用6种不同的工具或方案来保护云环境安全，但是却缺少一个统一的、能够满足所有安全性和功能性需求的解决方案，只能将现有的多种新老工具、方案集成在一起组成临时安全套件。

尽管如此，仍然不能最大程度避免云环境安全事故的发生，有高达96%的受访者表示，他们的企业每年依旧会发生多种安全事故：

• 其中有54%是云环境下的内部安全事件；
• 54%是因安全事件上报问题而引发的合规、监管制裁；
• 49%是涉及公司业务合作伙伴和三方供应商的事件；
• 49%是由于涉及因云配置失误而丢失数据；
• 47%来自于针对公共云环境的外部攻击；
• 42%为内部审计发现；
• 38%为外部审计发现；
• 仅有4%的受访者表示没有受到任何影响。

在搭建云端身份治理架构设计时，首先需要考虑灵活性。

从本地数据中心过渡到云端很可能需要比预期更长的时间，并且需要经验丰富的IT团队付出更多的努力和时间。

在过渡到云端之前，要确保企业拥有可以管理混合IT基础设施的身份治理解决方案。这需要企业能够全面了解内部部署和云计算应用程序。

这种可见性将使企业始终保持适当的安全级别和生产力，保证其业务在整个过渡期间保持强大。成功的身份治理计划应该提供足够的灵活性，来管理针对企业业务需求来量身定制应用程序和敏感数据。

同时，企业还需要考虑身份治理本身的部署选项，包括软件即服务(SaaS)、公共云或托管服务提供商(MSP)，应评估企业现有的IT基础设施、当前业务流程的复杂程度以及支持其身份的专业知识和人员配置。

这些将帮助企业确定哪种身份治理传递选项对其组织最有意义。如果企业具有满足复杂需求的现有身份计划，则在公共云设置中部署身份治理就可实现解决方案所需的可扩展性。

在全球云计算迅猛发展的背景下，企业云身份管理能力的水平是制约云计算效能的重要影响因素之一。

如此众多的安全事件调查数据表明，企业组织现阶段的安全防护方案依旧有所欠缺，仅仅通过“新”工具堆叠在“旧”工具上的方法只能获得有限的安全防护能力，各类安全威胁依然存在可乘之机，而借助事前授权、事中监管、事后审计的企业运维安全体系，从源头开始进行身份认证和权限管理，可以有效解决企业云身份管理的难题。​