如果組織能理解到云計算的巨大潛力，那無疑能讓數字化轉型事半功倍。過去兩年，各種事件已經表明扎實的網絡安全至關重要，尤其在企業往云端遷移的時候。不過，云計算的關鍵在于企業確保采用了合適的身份管理。日益增長的云技術的使用，使得威脅份子能夠違規獲取的人類以及非人類身份大量增加。那些不把這個情況當回事的企業最終會發現自己成為信息泄露的犧牲品。

看看Okta，這個被許多企業使用的身份管理平臺。就在今年早些時候，犯罪組織Lapsus$宣稱他們獲取了Okta的一個超級賬戶。盡管說泄露事件的全貌尚未可知，但獲取了這種高級別的憑證就可能意味著犯罪組織有了“通向王國的鑰匙”，同樣也有能力獲取使用Okta平臺的用戶的數據。當一個IAM廠商淪為身份攻擊的受害者的時候，自然就知道那些攻擊者在玩真的。

也就是說，IAM并不是一個新話題，并且毫無疑問在可預見的未來變得更為重要。Cider Sercurity的一份報告將IAM列為CI/CD環境中第二大問題。這些問題不僅和企業內部授予身份的許可相關，還和確保這些許可隨著時間推移消除相關。

管理云端身份的難點

管理云端身份如此困難的原因不少。一般而言，云供應商對對象結構的構建并不符合企業自身的構建。這就導致某個單獨的企業用戶試圖管理多個云端的“身份”才能做他應該做的工作。這就會引發另一個問題：企業在云端毫無可視能力，不知道誰接入了什么。

隨著這類問題增多，它們還會跟著企業雇傭更多的員工產生更麻煩的體驗。同樣，云端遷移本身還會出現類似挑戰。企業耗時多年終于摸索出了一條他們自己硬件能運作的方式，然后還得到云端按照云供應商的架構再調整現有的模式。

身份管理不當的結果

從安全角度看，云端管理不當會給企業產生大量的管控缺口：企業不知道誰在他們的基礎設施里做什么。這會讓企業在某些東西使用被扭曲過的ID或者許可的身份的時候難以發現。

從一個非安全的角度來看，缺乏身份管理會導致企業進程中出現摩擦，導致不理想的后果。這些不理想的后果包括企業員工用多種身份登錄云端資產，或者員工法系自己總是需要要求新的許可才能進入。最終，這些都會減緩企業的進程。

兩個常見的IAM錯誤

客戶總是沒法成功建立考慮到身份管理的云端解決方案。最終，被接入的云端資源并不在乎身份的所有者是人、器械、或者甚至是一條狗。只要對方有正確的憑證，就被許可和授權。在他們知曉之前，一個業務關鍵的服務可能以24/7/365的方式運行著，然后這個服務的一部分會和其他關鍵服務交互——通過一個人類員工的身份，那如果這個員工離職了呢？確保服務的連續對企業、企業中的身份和云端準入管理都很重要。

另一個潛在問題在于用戶共享憑證。用不了多久，相關憑證可能就無法被任何人追蹤，知曉到底是誰接入了云端資源。難以追責會導致一些大問題，包括安全問題。

企業如何可以緩解安全問題

首先，也是最重要的，將身份管理視為第一優先級的問題，而不是回頭等業務在云端運行之后再考慮。創建自己詳細定義的身份管理策略，確保相關規定實現最小權限——每個身份只能接入他們需要的資源。

不要讓云服務商的工具決定你如何運行自己的業務。一個確保自己企業才是拿著方向盤的方式，是找到那些精通云技術的人。從外部找到那些云技術專家，不僅可以讓最有資格的人做他們最強的事，同時還能緩解一下你甚至還沒看到的IAM問題。

另外，獲得云基礎設施的組織范圍的可視性同樣重要。這會提供許多針對云端基礎設施的價值，不僅僅是IAM，還同樣包括了合規和資金管理等。

點評

雖然說身份安全已經逐漸走向一個成熟化的市場，但不能保證身份安全不會再出現新的突破——尤其是在云計算環境下。身份安全在云環境中，需要考慮的不僅僅是人類身份的管理，還需要考慮到系統、服務等多種身份的管理。但是，即使從管理、制度的角度，我們似乎對人類身份在云端的管理依然不怎么完善——盡管已經有了功能繁多的技術。云端的身份管理任重而道遠，我們只是剛剛起步。