一文詳細解讀IDaaS與IAM
什么是IDaaS?
IDaaS是IAM的一個基于云的消費模型。同現代技術生態(tài)系統中其他的東西一樣,IAM也可以作為一種服務。排除一些例外,IDaaS通常是通過云模式來進行交付的,同時它也可以根據組織的需求以及相關供應商的能力,作為多租戶提供方案或專用交付模型來進行交付。
Gartner預測,2022年底之前,40%的中大型企業(yè)都將應用IDaaS產品以代替?zhèn)鹘y的IAM。該結果是由多方因素共同促成的,例如云計算的持續(xù)應用、遠程辦公的常態(tài)化,以及組織開始意識到他們可以在無需對IAM進行托管的情況下,單純地使用它。這樣組織就可以把節(jié)省的時間投入到向客戶交付價值的核心能力上。
IDaaS的益處
IDaaS產品的優(yōu)點包括無需托管即可使用IAM,以及節(jié)省了與IAM相關的管理開銷(轉而由供應商承擔)。除此之外,IDaaS還包括一些功能豐富的產品,這些產品可以使IAM在許多情況下變得更加有效、更加安全。大多數IDaaS供應商既可以提供本地服務,也可以提供集成的功能,如單點登錄(SSO)和多因素身份驗證(MFA)。
IDaaS供應商以其為云原生而感到自豪,因為這意味著與強大的云生態(tài)系統進行集成變得更加容易。也就是說可以與組織龐大的SaaS應用進行集成,并通過使用OIDC和SAML等協議,來實現統一的身份驗證方案和企業(yè)范圍的IAM治理。即使是像聯邦政府這樣復雜和龐大的組織也發(fā)布了完整的劇本和指南,以幫助聯邦機構的政府承包商將他們的IAM服務與云運營模式相結合,而IDaaS正是該劇本的核心。
上表來自于前面提到的聯邦劇本,它很好地總結了本地IAM解決方案與IDaaS之間的一些關鍵區(qū)別。如同一個更為廣泛的云,基于云的IDaaS也可以提供云計算的許多關鍵功能。通過應用基于云的IDaaS,組織不再被其擴展IAM基礎設施的能力所限制,因為該能力可以作為一種消耗品來由外部提供,且具有一定的彈性。
組織可以根據實際的消耗量來進行結算,并且他們無需實際擁有和托管IAM基礎設施,因為這些均由服務供應商負責。同時,組織也無需再費心IAM基礎設施的容錯。IDaaS供應商會提供具備容錯能力的全球可用的基礎設施,從而以更低的價格,來滿足組織的災后恢復以及業(yè)務連續(xù)(DR/BC)等需求。
IDaaS 的缺點以及注意事項
然而并非所有的IDaaS都是有益的,組織在評估它們時需要考慮一些關鍵的因素。如果說身份驗證是新的邊界,那么采用IDaaS可以給IDaaS供應商帶來一定程度上的邊界控制。這類似于云計算中的共享責任模型概念。不同的是,它從基礎設施進一步擴展到了堆棧、以及身份、權限和訪問控制等關鍵問題上。
上表中列舉的一些IDaaS的優(yōu)點如今可能會成為它的缺點或爭議點,這取決于組織的需求和敏感度。使用與IAM相關的應用和系統,限制了供應商的供應權限以及修改供應方式的能力。這是由于IDaaS供應商為許多客戶都提供了他們的界面/應用程序,但是只能有這么多的定制化才能保證不會失去產品的標準化。并且在對服務的評估方面,組織還可能會遇到額外的開支,這是因為管理員不成熟的選擇可能會超過最初的預算。
除此之外,一些重要的安全問題還來自于IDaaS的資源共享和廣泛的網絡訪問方面。根據組織的工作性質,與其他用戶共享租賃服務的想法是很危險的。共享租賃服務意味著其他用戶邏輯環(huán)境中的安全風險事件可以在我們自己組織所在的環(huán)境中橫向訪問,從而訪問整個IT生態(tài)環(huán)境。
IDaaS的全球可用性是一個極具吸引力的優(yōu)點,特別是考慮到組織自己提供此種級別容錯能力所需的高額費用。也就是說,組織還需牢記一些監(jiān)管要求。例如一些組織可能會受限于其系統/數據的地理位置因素(GDPR或國家安全等)。如果業(yè)務已經在進行中了,那么則需要考慮美國國防(DoD)方面的問題。組織可以與IDaaS供應商合作,以確保其數據處于特定的區(qū)域。但地理位置的限制也的確是一個需要考慮和解決的問題。
其中一些擔憂并非沒有道理。就在幾個月前,最大的IDaaS供應商之一Okta就遭遇了一次安全漏洞攻擊,直接影響了兩家用戶企業(yè)。此次事件中的安全漏洞似乎來自于Okta的一個子處理器,同時這也引起了針對網絡安全供應鏈風險管理(C-SCRM)的討論。由于許多IDaaS供應商要處理數百上千條有關客戶IAM的關鍵信息,所以一旦IDaaS供應商遭受不法分子的攻擊,那么就可能會進一步對其用戶企業(yè)乃至整個行業(yè)造成毀滅性的打擊。
仔細評估IDaaS
經過以上討論,我們就可以理解為什么許多組織都在使用IDaaS產品了。隨著云的普及,組織通常需要動態(tài)且強大的IAM功能來支持其多樣化的生態(tài)系統。對于許多組織來說,由IDaaS供應商提供IAM功能比組織親自對IAM進行托管,要劃算得多。它們龐大的用戶團體也造就了其巨大的工作規(guī)模。
使用IDaaS服務往往可以幫助組織專注于自己的核心競爭力,比起IAM,組織更應該將重心放在客戶和利益相關者身上。與所有的技術和服務一樣,在挑選IDaaS方面,組織也需要考慮一些關鍵的因素。
點評
IDaaS身份即服務是IAM服務在云計算時代的擴展升級,它更像是IAM與SaaS的結合。IDaaS充分發(fā)揮了云的強大優(yōu)勢,不僅在于企業(yè)成本與精力的節(jié)約,而且更大程度上實現了認證策略的集中與統一。但任何事物都具有兩面性,資源的共享一方面來了高效與便利,同時也引入了更大的安全風險。因此,企業(yè)在對IDaaS評估與挑選時,需要充分考慮與自身相關的關鍵因素、衡量利弊,在最小風險的情況下,將IDaaS的優(yōu)勢發(fā)揮至最大。
