當(dāng)前位置：云計(jì)算 → 行業(yè)動(dòng)態(tài) → 正文

抓住IDaaS這個(gè)增長(zhǎng)點(diǎn)：要克服這些問(wèn)題

責(zé)任編輯：editor007 作者：Rob Wright |來(lái)源：企業(yè)網(wǎng)D1Net 2016-10-03 21:48:46 本文摘自：TechTarget中國(guó)

身份認(rèn)證即服務(wù)一直以來(lái)被視為一個(gè)重要的市場(chǎng)增長(zhǎng)點(diǎn)，但是有一些困難阻礙著它的企業(yè)應(yīng)用。

在今年夏天的Cloud Identity Summit 2016大會(huì)上，Ping Identity公司的 CEO Andre Durand身份認(rèn)證即服務(wù)的巨大應(yīng)用潛力，這項(xiàng)服務(wù)能夠幫助解決相關(guān)的安全性問(wèn)題，以便讓企業(yè)能夠放心地更多使用云服務(wù)和移動(dòng)服務(wù)。IdaaS本身作為一個(gè)市場(chǎng)還是比較小的;Gartner公司在今年早些時(shí)候曾報(bào)道說(shuō)，在企業(yè)中實(shí)施IdaaS只占所有IAM實(shí)施中的一成左右。但是，Gartner預(yù)測(cè)IDaaS部署到2019年將提升至40%。

在接受SearchCloudSecurity采訪時(shí)，Durand介紹了IdaaS市場(chǎng)是如何發(fā)展以及為什么一些技術(shù)和業(yè)務(wù)問(wèn)題阻礙了它的大規(guī)模應(yīng)用。他還談到了人們對(duì)于企業(yè)數(shù)據(jù)泄密感到疲勞的問(wèn)題，諸如Facebook和Twitter這樣的社交媒體巨頭是如何影響IDaaS市場(chǎng)以及為什么現(xiàn)在企業(yè)用戶變得越來(lái)越關(guān)注身份認(rèn)證和訪問(wèn)管理。以下是與Durand采訪談話中的部分摘錄：

您近來(lái)已經(jīng)多次對(duì)身份認(rèn)證即服務(wù)發(fā)表了看法。那么它是否會(huì)在未來(lái)成為標(biāo)準(zhǔn)呢，如果是的話，我們應(yīng)當(dāng)如何使用和部署這項(xiàng)服務(wù)呢?

Andre Durand：有兩個(gè)方法來(lái)看待這個(gè)問(wèn)題。事實(shí)上，身份認(rèn)證即服務(wù)這個(gè)術(shù)語(yǔ)本身就有點(diǎn)名不副實(shí)。它在目前來(lái)說(shuō)其實(shí)就是身份認(rèn)證基礎(chǔ)設(shè)施即服務(wù)，而不是身份認(rèn)證即服務(wù)。登錄Facebook實(shí)際是就是身份認(rèn)證即服務(wù)，因?yàn)橛脩羰窃谑褂靡粋€(gè)Facebook身份進(jìn)行登錄。那就是身份認(rèn)證即服務(wù)。無(wú)論用戶想在哪里使用它，都是在使用這個(gè)身份。正如IDaaS今天在企業(yè)市場(chǎng)中所描繪的那樣，我們所做的一切事實(shí)上就是在提供軟件即服務(wù)。但是身份認(rèn)證又不是一個(gè)服務(wù)。企業(yè)仍然在把他們的身份認(rèn)證功能納入軟件即服務(wù)。因此，它取決于它位于用戶服務(wù)金字塔中的位置。是消費(fèi)者?是中小型企業(yè)?還是企業(yè)?消費(fèi)者已經(jīng)在使用身份認(rèn)證即服務(wù)。中小型企業(yè)更在意的是身份認(rèn)證軟件，或者是身份認(rèn)證軟件基礎(chǔ)設(shè)施即服務(wù)。根據(jù)身份認(rèn)證用例的不同，位于金字塔頂端的企業(yè)將是一個(gè)有最多遺留系統(tǒng)需要適應(yīng)和集成的組織，企業(yè)的損失最多。所以，鑒于如上所有原因，位于金字塔頂端企業(yè)的發(fā)展有可能是最為緩慢的。

這是否意味著我們會(huì)看到諸如Facebook、Twitter等企業(yè)說(shuō)，“你可以使用你的登錄”?他們是否將在身份認(rèn)證即服務(wù)領(lǐng)域展開競(jìng)爭(zhēng)?

Durand：當(dāng)然。那就是我認(rèn)為我之前進(jìn)入的初始業(yè)務(wù)。在十四年前，我認(rèn)為我正在開發(fā)一個(gè)用戶身份認(rèn)證服務(wù)。這就是最初PindID名稱的由來(lái)。同時(shí)，我認(rèn)識(shí)到如果我的身份認(rèn)證無(wú)法與其他任何應(yīng)用交互，那么我就無(wú)法開發(fā)出一個(gè)身份認(rèn)證服務(wù)。在用戶能夠開發(fā)出一個(gè)可用于任何應(yīng)用的身份認(rèn)證服務(wù)之前，我們必須開發(fā)軟件來(lái)連接身份認(rèn)證服務(wù)。這就如同是：在沒有路由器之前我們是沒有互聯(lián)網(wǎng)的。我們必須首先為數(shù)據(jù)流量確定好傳輸路徑，然后架設(shè)一個(gè)Web服務(wù)器。在此，我們必須安裝實(shí)現(xiàn)聯(lián)網(wǎng)的身份認(rèn)證基礎(chǔ)設(shè)施，然后我們就可以運(yùn)行身份認(rèn)證服務(wù)了。整個(gè)過(guò)程需要15至20年的時(shí)間。

這是否意味著在我們這個(gè)市場(chǎng)中將出現(xiàn)更多的同類供應(yīng)商?您是否認(rèn)為會(huì)有越來(lái)越多的身份認(rèn)證基礎(chǔ)設(shè)施即服務(wù)供應(yīng)商和更多的企業(yè)將涉足消費(fèi)者IDaaS領(lǐng)域?

Durand：是的。我認(rèn)為企業(yè)身份認(rèn)證與消費(fèi)者個(gè)人身份認(rèn)證的差異性將越來(lái)越明顯。我認(rèn)為個(gè)人身份認(rèn)證已經(jīng)是一個(gè)身份認(rèn)證即服務(wù)了。至少兩者是非常接近的。我認(rèn)為企業(yè)中的IDaaS將如我所說(shuō)的那樣先軟件后身份認(rèn)證，因?yàn)閷?duì)于企業(yè)來(lái)說(shuō)，責(zé)任轉(zhuǎn)移是非常不同的。消費(fèi)者只是注冊(cè)一個(gè)服務(wù)。對(duì)于一家實(shí)際上拿著別人的身份并在他們的環(huán)境中使用這個(gè)身份的企業(yè)來(lái)說(shuō)，如果服務(wù)供應(yīng)商行為不端，那么必須有一個(gè)責(zé)任關(guān)系。如果身份認(rèn)證供應(yīng)商在為Andre提供了身份認(rèn)證即服務(wù)的過(guò)程中出了差錯(cuò)，那實(shí)際的用戶就不是我了。企業(yè)必須對(duì)他們的所作所為承擔(dān)責(zé)任。必須簽署一份關(guān)于責(zé)任的協(xié)議。這是一個(gè)復(fù)雜的問(wèn)題，就好像陷入泥潭一般，這就是企業(yè)身份認(rèn)證即服務(wù)的應(yīng)用速度不盡如人意的原因所在。

因此，舉例來(lái)說(shuō)，暴雪娛樂公司在最近與Facebook建立了一個(gè)合作關(guān)系，游戲玩家可以使用他們的Facebook登錄身份來(lái)注冊(cè)或登錄暴雪游戲，如魔獸世界。但是，如果某人的Facebook帳戶被盜，而被盜的帳戶被用于登錄暴雪游戲并開始進(jìn)行未經(jīng)授權(quán)的交易，那么應(yīng)當(dāng)由誰(shuí)來(lái)承擔(dān)責(zé)任呢?

Durand：你的問(wèn)題剛好切中了重點(diǎn)。應(yīng)當(dāng)由誰(shuí)來(lái)承擔(dān)責(zé)任?因?yàn)閺睦碚撋蟻?lái)說(shuō)，身份認(rèn)證供應(yīng)商應(yīng)當(dāng)承擔(dān)這個(gè)責(zé)任。但是問(wèn)題是他們是否真的會(huì)承擔(dān)責(zé)任或者他們是否會(huì)對(duì)受害者進(jìn)行賠償?這是個(gè)問(wèn)題。對(duì)于一個(gè)游戲廠商而言，這是一碼事。對(duì)于使用真金白銀的企業(yè)來(lái)說(shuō)，則又是另一回事了。我們將不得不依次解決責(zé)任轉(zhuǎn)移的業(yè)務(wù)難題，以便于身份認(rèn)證即服務(wù)在企業(yè)應(yīng)用中變得合理。這不是一個(gè)簡(jiǎn)單的事。

近來(lái)，人們似乎越來(lái)越多地關(guān)注身份認(rèn)證和訪問(wèn)管理。您是否認(rèn)為這個(gè)群體的意識(shí)已有所變化，不僅是企業(yè)，連用戶和安全團(tuán)隊(duì)都覺得他們需要開始正確地使用身份認(rèn)證?

Durand：我認(rèn)為那是因?yàn)樗麄円庾R(shí)到了他們所處的環(huán)境正在發(fā)生變化，同時(shí)他們也將看到他們以前提供安全性的傳統(tǒng)方法也在發(fā)生變化。他們認(rèn)識(shí)到這些方法之間已經(jīng)變得更缺乏相關(guān)性了。這一狀況正在發(fā)生。同時(shí)正如我們?cè)谶^(guò)去四五年中所說(shuō)的那樣，這一變化的一個(gè)主因就是云計(jì)算和移動(dòng)計(jì)算。正是云計(jì)算和移動(dòng)計(jì)算在改變我們所要保護(hù)的事物的拓?fù)浣Y(jié)構(gòu)。

威脅是什么樣的?它是否起到了推動(dòng)作用?

Durand：毫無(wú)疑問(wèn)。跟我打過(guò)交道的每一家公司都被嚇壞了，他們的系統(tǒng)都不在一個(gè)可檢測(cè)、防護(hù)或保護(hù)、或查看漏洞的正確位置。我們總是在談?wù)摼W(wǎng)絡(luò)漏洞。但是，近八成的漏洞事實(shí)上都是身份認(rèn)證漏洞。所以，我們嘴上在說(shuō)網(wǎng)絡(luò)保護(hù)，但事實(shí)上我們所遭遇的都是身份認(rèn)證漏洞。這就是兩張皮的問(wèn)題。

企業(yè)是否關(guān)注特定類型的威脅行為，例如民族主義黑客或APT組織，或者他們是否更關(guān)注他們自己品牌可預(yù)防漏洞的影響?

Durand：我想我沒有辦法以個(gè)人的立場(chǎng)和心態(tài)來(lái)說(shuō)話，因?yàn)槲也皇瞧渲兄弧５牵辽購(gòu)奈以趯?duì)話中所聽到的和所觀察的來(lái)看，他們對(duì)于企業(yè)名譽(yù)受損還是相當(dāng)在意和恐懼的，而個(gè)人私密信息的泄露將嚴(yán)重有損企業(yè)聲譽(yù)。這是一個(gè)非常重要的問(wèn)題，因?yàn)槲覀儸F(xiàn)在談?wù)摰氖枪姷牧己靡庠负推放苾r(jià)值。再也沒有什么能比在短時(shí)間內(nèi)發(fā)生信息泄露給企業(yè)來(lái)之不易的品牌聲譽(yù)帶來(lái)更大傷害了。

您是否認(rèn)為目前發(fā)生了目標(biāo)泄露，其反應(yīng)是否因?yàn)樗陌l(fā)生方式不同而不同?具體來(lái)說(shuō)，它是否涉及第三方供應(yīng)商的目標(biāo)身份認(rèn)證?因?yàn)檫@個(gè)問(wèn)題似乎已被過(guò)分夸大了，我不知道普通民眾是否了解其中的細(xì)節(jié)。

Durand：我認(rèn)為這個(gè)觀點(diǎn)是正確的。他們不知道事件的發(fā)生原因、具體過(guò)程或者發(fā)生了什么。這確實(shí)很難說(shuō)。我們作為一個(gè)社會(huì)人是否已經(jīng)對(duì)信息泄露事件感到見怪不怪，然后對(duì)突發(fā)事件也不會(huì)認(rèn)為是大問(wèn)題了呢?你真的只是說(shuō)，“好吧，每個(gè)人都有可能發(fā)生信息泄露，只是或早或晚都會(huì)輪到他們。”一般來(lái)說(shuō)，人類是不會(huì)重新調(diào)整到正常狀態(tài)的。實(shí)際上，有一個(gè)被稱為穩(wěn)態(tài)的眾所周知生物狀態(tài)，也就是說(shuō)人類在適應(yīng)當(dāng)前狀態(tài)時(shí)，他們只會(huì)注意到變化。如果當(dāng)前狀態(tài)就是每天發(fā)生一次信息泄露，那么能夠引起人們注意的一定是信息泄露事件停止，而不是每天一次的信息泄露。這就好像，今天發(fā)生的信息泄漏所帶來(lái)的影響絕對(duì)沒有在一年半到兩年前發(fā)生的同樣事件的影響大。現(xiàn)在甚至有了這樣的說(shuō)法，“與其說(shuō)發(fā)生信息泄露事件重要，還不如說(shuō)你知道發(fā)生信息泄露事件更重要。”他們甚至不說(shuō)“那只是時(shí)間問(wèn)題，”他們其實(shí)在說(shuō)，“你已經(jīng)發(fā)生信息泄露了，只不過(guò)你還不知道罷了。”有些人知道他們的信息已經(jīng)被泄露，而有些人不知道，除這兩種人外沒有第三類。我認(rèn)為所有這一切都只是識(shí)別變化的威脅。

關(guān)鍵字：身份認(rèn)證 IDaaS