什么是IDaaS?
IDaaS是IAM的一个基于云的消费模型。同现代技术生态系统中其他的东西一样,IAM也可以作为一种服务。排除一些例外,IDaaS通常是通过云模式来进行交付的,同时它也可以根据组织的需求以及相关供应商的能力,作为多租户提供方案或专用交付模型来进行交付。
Gartner预测,2022年底之前,40%的中大型企业都将应用IDaaS产品以代替传统的IAM。该结果是由多方因素共同促成的,例如云计算的持续应用、远程办公的常态化,以及组织开始意识到他们可以在无需对IAM进行托管的情况下,单纯地使用它。这样组织就可以把节省的时间投入到向客户交付价值的核心能力上。
IDaaS的益处
IDaaS产品的优点包括无需托管即可使用IAM,以及节省了与IAM相关的管理开销(转而由供应商承担)。除此之外,IDaaS还包括一些功能丰富的产品,这些产品可以使IAM在许多情况下变得更加有效、更加安全。大多数IDaaS供应商既可以提供本地服务,也可以提供集成的功能,如单点登录(SSO)和多因素身份验证(MFA)。
IDaaS供应商以其为云原生而感到自豪,因为这意味着与强大的云生态系统进行集成变得更加容易。也就是说可以与组织庞大的SaaS应用进行集成,并通过使用OIDC和SAML等协议,来实现统一的身份验证方案和企业范围的IAM治理。即使是像联邦政府这样复杂和庞大的组织也发布了完整的剧本和指南,以帮助联邦机构的政府承包商将他们的IAM服务与云运营模式相结合,而IDaaS正是该剧本的核心。
上表来自于前面提到的联邦剧本,它很好地总结了本地IAM解决方案与IDaaS之间的一些关键区别。如同一个更为广泛的云,基于云的IDaaS也可以提供云计算的许多关键功能。通过应用基于云的IDaaS,组织不再被其扩展IAM基础设施的能力所限制,因为该能力可以作为一种消耗品来由外部提供,且具有一定的弹性。
组织可以根据实际的消耗量来进行结算,并且他们无需实际拥有和托管IAM基础设施,因为这些均由服务供应商负责。同时,组织也无需再费心IAM基础设施的容错。IDaaS供应商会提供具备容错能力的全球可用的基础设施,从而以更低的价格,来满足组织的灾后恢复以及业务连续(DR/BC)等需求。
IDaaS 的缺点以及注意事项
然而并非所有的IDaaS都是有益的,组织在评估它们时需要考虑一些关键的因素。如果说身份验证是新的边界,那么采用IDaaS可以给IDaaS供应商带来一定程度上的边界控制。这类似于云计算中的共享责任模型概念。不同的是,它从基础设施进一步扩展到了堆栈、以及身份、权限和访问控制等关键问题上。
上表中列举的一些IDaaS的优点如今可能会成为它的缺点或争议点,这取决于组织的需求和敏感度。使用与IAM相关的应用和系统,限制了供应商的供应权限以及修改供应方式的能力。这是由于IDaaS供应商为许多客户都提供了他们的界面/应用程序,但是只能有这么多的定制化才能保证不会失去产品的标准化。并且在对服务的评估方面,组织还可能会遇到额外的开支,这是因为管理员不成熟的选择可能会超过最初的预算。
除此之外,一些重要的安全问题还来自于IDaaS的资源共享和广泛的网络访问方面。根据组织的工作性质,与其他用户共享租赁服务的想法是很危险的。共享租赁服务意味着其他用户逻辑环境中的安全风险事件可以在我们自己组织所在的环境中横向访问,从而访问整个IT生态环境。
IDaaS的全球可用性是一个极具吸引力的优点,特别是考虑到组织自己提供此种级别容错能力所需的高额费用。也就是说,组织还需牢记一些监管要求。例如一些组织可能会受限于其系统/数据的地理位置因素(GDPR或国家安全等)。如果业务已经在进行中了,那么则需要考虑美国国防(DoD)方面的问题。组织可以与IDaaS供应商合作,以确保其数据处于特定的区域。但地理位置的限制也的确是一个需要考虑和解决的问题。
其中一些担忧并非没有道理。就在几个月前,最大的IDaaS供应商之一Okta就遭遇了一次安全漏洞攻击,直接影响了两家用户企业。此次事件中的安全漏洞似乎来自于Okta的一个子处理器,同时这也引起了针对网络安全供应链风险管理(C-SCRM)的讨论。由于许多IDaaS供应商要处理数百上千条有关客户IAM的关键信息,所以一旦IDaaS供应商遭受不法分子的攻击,那么就可能会进一步对其用户企业乃至整个行业造成毁灭性的打击。
仔细评估IDaaS
经过以上讨论,我们就可以理解为什么许多组织都在使用IDaaS产品了。随着云的普及,组织通常需要动态且强大的IAM功能来支持其多样化的生态系统。对于许多组织来说,由IDaaS供应商提供IAM功能比组织亲自对IAM进行托管,要划算得多。它们庞大的用户团体也造就了其巨大的工作规模。
使用IDaaS服务往往可以帮助组织专注于自己的核心竞争力,比起IAM,组织更应该将重心放在客户和利益相关者身上。与所有的技术和服务一样,在挑选IDaaS方面,组织也需要考虑一些关键的因素。
点评
IDaaS身份即服务是IAM服务在云计算时代的扩展升级,它更像是IAM与SaaS的结合。IDaaS充分发挥了云的强大优势,不仅在于企业成本与精力的节约,而且更大程度上实现了认证策略的集中与统一。但任何事物都具有两面性,资源的共享一方面来了高效与便利,同时也引入了更大的安全风险。因此,企业在对IDaaS评估与挑选时,需要充分考虑与自身相关的关键因素、衡量利弊,在最小风险的情况下,将IDaaS的优势发挥至最大。
