对于大多数企业而言,特权身份管理一直以来都不是易事。即使是部署了成熟做法和工具来管理特权账户的企业,同样也是如此,而云计算基础设施更是特权身份管理的障碍。根据身份专家表示,当涉及云计算中的特权账户管理时,现在大多数企业在透明度和问责制方面仍然存在很大差距,而糟糕的特权身份管理可能增加内部威胁。
Quest Software公司(现属于戴尔公司)IAM业务开发总监Jonathan Sander表示,“云服务并不是神奇的,我们有服务器、数据库等等,这些都涉及特权身份,那么你如何管理呢?”
Xceedium营销副总裁Patrick McBride表示,事实上,在云计算基础设施中,特权身份管理可能更加重要。在任何虚拟化环境中,增加更多层和合并账户会加剧问题,如果特权账户找到破坏的话。他表示:“对于云计算基础设施,控制台账户可能让攻击者迅速搞垮整个设施,而不只是窃取或破坏一台计算机或服务器。”
SailPoint对400名IT和业务经理进行的调查表明,很多企业对云计算内的特权账户缺少控制。大约有三分之一的企业表示他们无法提供一天内云计算中用户访问权限的完整记录,而三分之二的企业表示他们对于其对特权的控制能力不是很自信。
这份调查还显示,三分之一的业务关键性应用程序依赖于云计算基础设施。这进一步增加了内部这滥用和误用的可能性,云服务员工可能不仅能够访问客户公司数据,同时能够访问对基础设施的控制。
如果没有适当的管理,云特权账户不仅会带来安全风险,也可能威胁运行的可靠性。为什么很多企业难以追踪内部人员活动呢?这主要是因为共享账号的普遍使用,这对于公共云和私有云都是严重的问题。
Sander表示,“很多人倾向于认为是特权身份管理只是针对管理员账户,但你必须认识到,任何时候,你拥有任何形式的共享账号,都需要放入特权身份管理中。”
Sander和McBride都认为,企业必须保持高度警惕,想办法分配用户特权,同时跟踪其活动,以向风险管理员和审计员清楚地报告。McBride表示:“我们有很多员工以及供应商访问相同的平台。知道谁在何时做了什么非常重要。”
然而,出于自身一些原因,今天的许多云供应商仍然不愿提供这样的报告,也不愿意提供一定的透明度。但他认为,如果企业希望解决云计算特权身份管理差距问题,必须让云计算供应商做出让步。Sander表示:“你需要看着他们的眼睛说,‘你怎么进行特权身份管理?你能告诉我吗?’”