抓住IDaaS這個(gè)增長(zhǎng)點(diǎn):要克服這些問題

責(zé)任編輯:editor007

作者:Rob Wright

2016-10-03 21:48:46

摘自:TechTarget中國(guó)

摘要:身份認(rèn)證即服務(wù)一直以來被視為一個(gè)重要的市場(chǎng)增長(zhǎng)點(diǎn),但是有一些困難阻礙著它的企業(yè)應(yīng)用。身份認(rèn)證即服務(wù)一直以來被視為一個(gè)重要的市場(chǎng)增長(zhǎng)點(diǎn),但是有一些困難阻礙著它的企業(yè)應(yīng)用。

身份認(rèn)證即服務(wù)一直以來被視為一個(gè)重要的市場(chǎng)增長(zhǎng)點(diǎn),但是有一些困難阻礙著它的企業(yè)應(yīng)用。

在今年夏天的Cloud Identity Summit 2016大會(huì)上,Ping Identity公司的 CEO Andre Durand身份認(rèn)證即服務(wù)的巨大應(yīng)用潛力,這項(xiàng)服務(wù)能夠幫助解決相關(guān)的安全性問題,以便讓企業(yè)能夠放心地更多使用云服務(wù)和移動(dòng)服務(wù)。IdaaS本身作為一個(gè)市場(chǎng)還是比較小的;Gartner公司在今年早些時(shí)候曾報(bào)道說,在企業(yè)中實(shí)施IdaaS只占所有IAM實(shí)施中的一成左右。但是,Gartner預(yù)測(cè)IDaaS部署到2019年將提升至40%。

在接受SearchCloudSecurity采訪時(shí),Durand介紹了IdaaS市場(chǎng)是如何發(fā)展以及為什么一些技術(shù)和業(yè)務(wù)問題阻礙了它的大規(guī)模應(yīng)用。他還談到了人們對(duì)于企業(yè)數(shù)據(jù)泄密感到疲勞的問題,諸如Facebook和Twitter這樣的社交媒體巨頭是如何影響IDaaS市場(chǎng)以及為什么現(xiàn)在企業(yè)用戶變得越來越關(guān)注身份認(rèn)證和訪問管理。以下是與Durand采訪談話中的部分摘錄:

您近來已經(jīng)多次對(duì)身份認(rèn)證即服務(wù)發(fā)表了看法。那么它是否會(huì)在未來成為標(biāo)準(zhǔn)呢,如果是的話,我們應(yīng)當(dāng)如何使用和部署這項(xiàng)服務(wù)呢?

Andre Durand:有兩個(gè)方法來看待這個(gè)問題。事實(shí)上,身份認(rèn)證即服務(wù)這個(gè)術(shù)語(yǔ)本身就有點(diǎn)名不副實(shí)。它在目前來說其實(shí)就是身份認(rèn)證基礎(chǔ)設(shè)施即服務(wù),而不是身份認(rèn)證即服務(wù)。登錄Facebook實(shí)際是就是身份認(rèn)證即服務(wù),因?yàn)橛脩羰窃谑褂靡粋€(gè)Facebook身份進(jìn)行登錄。那就是身份認(rèn)證即服務(wù)。無(wú)論用戶想在哪里使用它,都是在使用這個(gè)身份。正如IDaaS今天在企業(yè)市場(chǎng)中所描繪的那樣,我們所做的一切事實(shí)上就是在提供軟件即服務(wù)。但是身份認(rèn)證又不是一個(gè)服務(wù)。企業(yè)仍然在把他們的身份認(rèn)證功能納入軟件即服務(wù)。因此,它取決于它位于用戶服務(wù)金字塔中的位置。是消費(fèi)者?是中小型企業(yè)?還是企業(yè)?消費(fèi)者已經(jīng)在使用身份認(rèn)證即服務(wù)。中小型企業(yè)更在意的是身份認(rèn)證軟件,或者是身份認(rèn)證軟件基礎(chǔ)設(shè)施即服務(wù)。根據(jù)身份認(rèn)證用例的不同,位于金字塔頂端的企業(yè)將是一個(gè)有最多遺留系統(tǒng)需要適應(yīng)和集成的組織,企業(yè)的損失最多。所以,鑒于如上所有原因,位于金字塔頂端企業(yè)的發(fā)展有可能是最為緩慢的。

這是否意味著我們會(huì)看到諸如Facebook、Twitter等企業(yè)說,“你可以使用你的登錄”?他們是否將在身份認(rèn)證即服務(wù)領(lǐng)域展開競(jìng)爭(zhēng)?

Durand:當(dāng)然。那就是我認(rèn)為我之前進(jìn)入的初始業(yè)務(wù)。在十四年前,我認(rèn)為我正在開發(fā)一個(gè)用戶身份認(rèn)證服務(wù)。這就是最初PindID名稱的由來。同時(shí),我認(rèn)識(shí)到如果我的身份認(rèn)證無(wú)法與其他任何應(yīng)用交互,那么我就無(wú)法開發(fā)出一個(gè)身份認(rèn)證服務(wù)。在用戶能夠開發(fā)出一個(gè)可用于任何應(yīng)用的身份認(rèn)證服務(wù)之前,我們必須開發(fā)軟件來連接身份認(rèn)證服務(wù)。這就如同是:在沒有路由器之前我們是沒有互聯(lián)網(wǎng)的。我們必須首先為數(shù)據(jù)流量確定好傳輸路徑,然后架設(shè)一個(gè)Web服務(wù)器。在此,我們必須安裝實(shí)現(xiàn)聯(lián)網(wǎng)的身份認(rèn)證基礎(chǔ)設(shè)施,然后我們就可以運(yùn)行身份認(rèn)證服務(wù)了。整個(gè)過程需要15至20年的時(shí)間。

這是否意味著在我們這個(gè)市場(chǎng)中將出現(xiàn)更多的同類供應(yīng)商?您是否認(rèn)為會(huì)有越來越多的身份認(rèn)證基礎(chǔ)設(shè)施即服務(wù)供應(yīng)商和更多的企業(yè)將涉足消費(fèi)者IDaaS領(lǐng)域?

Durand:是的。我認(rèn)為企業(yè)身份認(rèn)證與消費(fèi)者個(gè)人身份認(rèn)證的差異性將越來越明顯。 我認(rèn)為個(gè)人身份認(rèn)證已經(jīng)是一個(gè)身份認(rèn)證即服務(wù)了。至少兩者是非常接近的。我認(rèn)為企業(yè)中的IDaaS將如我所說的那樣先軟件后身份認(rèn)證,因?yàn)閷?duì)于企業(yè)來說,責(zé)任轉(zhuǎn)移是非常不同的。消費(fèi)者只是注冊(cè)一個(gè)服務(wù)。對(duì)于一家實(shí)際上拿著別人的身份并在他們的環(huán)境中使用這個(gè)身份的企業(yè)來說,如果服務(wù)供應(yīng)商行為不端,那么必須有一個(gè)責(zé)任關(guān)系。如果身份認(rèn)證供應(yīng)商在為Andre提供了身份認(rèn)證即服務(wù)的過程中出了差錯(cuò),那實(shí)際的用戶就不是我了。企業(yè)必須對(duì)他們的所作所為承擔(dān)責(zé)任。必須簽署一份關(guān)于責(zé)任的協(xié)議。這是一個(gè)復(fù)雜的問題,就好像陷入泥潭一般,這就是企業(yè)身份認(rèn)證即服務(wù)的應(yīng)用速度不盡如人意的原因所在。

因此,舉例來說,暴雪娛樂公司在最近與Facebook建立了一個(gè)合作關(guān)系,游戲玩家可以使用他們的Facebook登錄身份來注冊(cè)或登錄暴雪游戲,如魔獸世界。但是,如果某人的Facebook帳戶被盜,而被盜的帳戶被用于登錄暴雪游戲并開始進(jìn)行未經(jīng)授權(quán)的交易,那么應(yīng)當(dāng)由誰(shuí)來承擔(dān)責(zé)任呢?

Durand:你的問題剛好切中了重點(diǎn)。應(yīng)當(dāng)由誰(shuí)來承擔(dān)責(zé)任?因?yàn)閺睦碚撋蟻碚f,身份認(rèn)證供應(yīng)商應(yīng)當(dāng)承擔(dān)這個(gè)責(zé)任。但是問題是他們是否真的會(huì)承擔(dān)責(zé)任或者他們是否會(huì)對(duì)受害者進(jìn)行賠償?這是個(gè)問題。對(duì)于一個(gè)游戲廠商而言,這是一碼事。對(duì)于使用真金白銀的企業(yè)來說,則又是另一回事了。我們將不得不依次解決責(zé)任轉(zhuǎn)移的業(yè)務(wù)難題,以便于身份認(rèn)證即服務(wù)在企業(yè)應(yīng)用中變得合理。這不是一個(gè)簡(jiǎn)單的事。

近來,人們似乎越來越多地關(guān)注身份認(rèn)證和訪問管理。您是否認(rèn)為這個(gè)群體的意識(shí)已有所變化,不僅是企業(yè),連用戶和安全團(tuán)隊(duì)都覺得他們需要開始正確地使用身份認(rèn)證?

Durand:我認(rèn)為那是因?yàn)樗麄円庾R(shí)到了他們所處的環(huán)境正在發(fā)生變化,同時(shí)他們也將看到他們以前提供安全性的傳統(tǒng)方法也在發(fā)生變化。他們認(rèn)識(shí)到這些方法之間已經(jīng)變得更缺乏相關(guān)性了。這一狀況正在發(fā)生。同時(shí)正如我們?cè)谶^去四五年中所說的那樣,這一變化的一個(gè)主因就是云計(jì)算和移動(dòng)計(jì)算。正是云計(jì)算和移動(dòng)計(jì)算在改變我們所要保護(hù)的事物的拓?fù)浣Y(jié)構(gòu)。

威脅是什么樣的?它是否起到了推動(dòng)作用?

Durand:毫無(wú)疑問。跟我打過交道的每一家公司都被嚇壞了,他們的系統(tǒng)都不在一個(gè)可檢測(cè)、防護(hù)或保護(hù)、或查看漏洞的正確位置。我們總是在談?wù)摼W(wǎng)絡(luò)漏洞。但是,近八成的漏洞事實(shí)上都是身份認(rèn)證漏洞。所以,我們嘴上在說網(wǎng)絡(luò)保護(hù),但事實(shí)上我們所遭遇的都是身份認(rèn)證漏洞。這就是兩張皮的問題。

企業(yè)是否關(guān)注特定類型的威脅行為,例如民族主義黑客或APT組織,或者他們是否更關(guān)注他們自己品牌可預(yù)防漏洞的影響?

Durand:我想我沒有辦法以個(gè)人的立場(chǎng)和心態(tài)來說話,因?yàn)槲也皇瞧渲兄?。但是,至少?gòu)奈以趯?duì)話中所聽到的和所觀察的來看,他們對(duì)于企業(yè)名譽(yù)受損還是相當(dāng)在意和恐懼的,而個(gè)人私密信息的泄露將嚴(yán)重有損企業(yè)聲譽(yù)。這是一個(gè)非常重要的問題,因?yàn)槲覀儸F(xiàn)在談?wù)摰氖枪姷牧己靡庠负推放苾r(jià)值。再也沒有什么能比在短時(shí)間內(nèi)發(fā)生信息泄露給企業(yè)來之不易的品牌聲譽(yù)帶來更大傷害了。

您是否認(rèn)為目前發(fā)生了目標(biāo)泄露,其反應(yīng)是否因?yàn)樗陌l(fā)生方式不同而不同?具體來說,它是否涉及第三方供應(yīng)商的目標(biāo)身份認(rèn)證?因?yàn)檫@個(gè)問題似乎已被過分夸大了,我不知道普通民眾是否了解其中的細(xì)節(jié)。

Durand:我認(rèn)為這個(gè)觀點(diǎn)是正確的。他們不知道事件的發(fā)生原因、具體過程或者發(fā)生了什么。這確實(shí)很難說。我們作為一個(gè)社會(huì)人是否已經(jīng)對(duì)信息泄露事件感到見怪不怪,然后對(duì)突發(fā)事件也不會(huì)認(rèn)為是大問題了呢?你真的只是說,“好吧,每個(gè)人都有可能發(fā)生信息泄露,只是或早或晚都會(huì)輪到他們。”一般來說,人類是不會(huì)重新調(diào)整到正常狀態(tài)的。實(shí)際上,有一個(gè)被稱為穩(wěn)態(tài)的眾所周知生物狀態(tài),也就是說人類在適應(yīng)當(dāng)前狀態(tài)時(shí),他們只會(huì)注意到變化。如果當(dāng)前狀態(tài)就是每天發(fā)生一次信息泄露,那么能夠引起人們注意的一定是信息泄露事件停止,而不是每天一次的信息泄露。這就好像,今天發(fā)生的信息泄漏所帶來的影響絕對(duì)沒有在一年半到兩年前發(fā)生的同樣事件的影響大。現(xiàn)在甚至有了這樣的說法,“與其說發(fā)生信息泄露事件重要,還不如說你知道發(fā)生信息泄露事件更重要。”他們甚至不說“那只是時(shí)間問題,”他們其實(shí)在說,“你已經(jīng)發(fā)生信息泄露了,只不過你還不知道罷了。”有些人知道他們的信息已經(jīng)被泄露,而有些人不知道,除這兩種人外沒有第三類。我認(rèn)為所有這一切都只是識(shí)別變化的威脅。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)