如今几乎每家使用基础架构即服务 (IaaS) 或平台即服务 (PaaS) 云的公司都使用多个提供商。大多数使用来自领先提供商的三个或更多公共云,例如华为云、阿里云、腾讯云、亚马逊 AWS 和微软 Azure。
推动这种多云扩散的趋势因素有很多,包括需要更高的敏捷性、灵活性和可扩展性、更好的网络性能、改进的风险管理、避免供应商锁定以及获得更具竞争力的定价。
这些云平台中的每一个都使用不同的内置身份系统来创建单独的孤岛。同时,管理对 SaaS 应用程序访问的身份即服务 (IdaaS) 解决方案引入了另一个单独的身份存储。尽管加速采用云计算,但许多组织仍然使用混合模型在本地运行其大部分业务关键型应用程序,从而产生更多的身份孤岛。
因此,多云和混合云的共存引入了一种跨越多个平台和身份系统的固有分布式架构。这种“新常态”是变革性的,与以往没有什么不同。
采用分布式安全模型
随着许多用户从防火墙外部访问应用程序和数据,身份已成为新的安全边界,加剧了与跨多云和混合云架构实施安全相关的挑战。
最初,许多组织尝试手动设置多云基础架构,但很快发现缺乏人员和专业知识意味着身份管理工作无法扩展,从而导致配置错误、处理时间变慢和成本增加。此外,大多数组织在迁移到新的云基础架构时必须对遗留系统进行大量投资。这将要求 IT 部门在可预见的未来支持混合云和本地应用程序,从而使多云挑战进一步复杂化。
以下五个步骤将指导组织创建和实施成功的多云身份战略。
第 1 步:拥抱 去中心化 解决多云身份问题的最佳方法是使用分布式架构。编排软件可用作云和本地身份系统之间的连接“结构”,并统一策略管理和执行。
第 2 步:现代化!不要迁移遗留基础设施 不要迁移杂乱的身份孤岛作为迁移项目的一部分。相反,使用新的身份即服务选项升级和现代化身份功能。这使得整合策略和简化角色和组、检查受损凭据、锁定休眠帐户以及强制用户安全地重新激活其帐户成为可能。
第 3 步:统一应用和身份生态系统的可见性 为了有效实施新的身份战略,了解现有应用和身份系统的位置非常重要。每个应用程序和身份系统之间的依赖关系是什么?目前存在哪些身份工作流程,谁可以访问哪些内容?拥有正确的工具可以加快和简化这一发现和映射过程。
第 4 步:使用标准而不是 API 进行集成 在更新身份系统时避免锁定到专有系统或写入过时的 API。相反,请使用 SAML、OIDC 和 SCIM 等标准。抽象层可以提供一对任意的灵活性,而不是执行多个 1:1 集成。这种方法还消除了重写应用程序以使它们与新的身份系统互操作的需要。
第 5 步:制定分阶段迁移计划 通过将复杂的迁移分解为更小、更易于管理的阶段,它变得更加容易。例如,对迁移进行分组并计划增量转移将最大限度地减少中断和风险。根据迁移复杂性对应用程序进行分组还有助于预测和规划迁移过程中的潜在阻力,例如:
-
复杂 = 基于 Cookie 的会话和 IAM SDK
-
中 = HTTP 标头和自定义属性
-
简单 = 基于 SAML 和 OIDC 标准的会话
查看您当前使用的可以继续使用的功能,并确定需要哪些新功能来支持多云环境。在所有遗留基础设施可以退役之前,将需要某种程度的共存支持。最后,计算淘汰遗留基础设施将节省的成本,这些基础设施可以专门用于资助其他创新。