如今,基础设施即服务(IaaS)已经从一个新兴领域发展成为一个庞大的产业。几乎所有企业都不再建立自己的数据中心,大多数中小企业选择外包基础设施。为顺应这一趋势,亚马逊、谷歌、IBM等互联网巨头也纷纷推出了自己的IaaS平台,如亚马逊的AWS、谷歌的Google Compute Engine等。企业不需要搭建和管理网络或服务器,自然省去了服务器的采购、配置和维护。企业只需要按需订阅,也省了不少钱。除了企业之外,最终用户也可以从IaaS中受益。
但是采用IaaS平台存在一些问题,比如如何将第三方IaaS平台集成到企业的IT系统中。之所以出现这个问题,是因为很多IaaS平台更像是一个完全独立的网络,需要分开管理,增加了实现的成本、风险和复杂度。托管 IaaS 的核心机制是将云服务器连接到企业的中央身份管理用户源。以这种方式负责 IaaS 主要有3个原因:
1. 安全
IaaS 通常包含企业关键应用和相关数据,而要确保应用和数据安全,第一步就是设置用户对 IaaS 的访问权限。具体来说,管理员需要随时掌握每个用户的访问权限,确保用户凭证的安全,然后快速终止不必要的的用户访问。由于用户访问管理是企业中央目录服务的现有功能,企业只要将目录中的用户源连接到 IaaS 平台就能将用户目录同步到云服务器。
2. 效率
对于 IaaS 平台的访问控制,管理员通常会采取手动管理的方式。但是手动管理不仅速度慢且易出错,管理员也无法确定是否覆盖了所有服务器和用户。
在缺少系统性的总体解决方案时,的确只能选择工作量巨大的手动管理。而更好的方法则是借助中央用户目录,严格预配用户的访问权限,并充分利用访问权限辅助管理。管理员仅需一次添加或删除就能将数据同步到多个系统。
3. 审计
审计 IaaS 的访问情况也是企业出于安全性考虑必须采取的最佳实践,特别是有 PCI (支付卡行业)等合规要求的企业。而将 IaaS 连接到中央目录也有助于简化审计流程。
将 IaaS 连接到目录服务的挑战
尽管打通 IaaS 和身份目录是值得考虑的安全措施,但现实情况是大多数本地目录(如微软 AD或 OpenLDAP)很难连接到 IaaS。由于服务器和企业目录都需要联网,如果本地服务器和公共网络通信,可能就会产生安全风险。
第二个问题是如何确保目录联网后的安全。AD 和 LDAP 的构建都是基于网络边界安全模型,该模型认为网络边界是保护资源的主要架构。由于现代网络进入了云计算时代,网络边界成为了过去式,因此目录安全也是企业不得不考虑的因素。
简单的 IaaS 解决方案
针对上述两个问题,有一种简单的方法可以将 IaaS 平台连接到现有的 AD/LDAP 身份目录或新建目录—— 身份目录即服务(Directory-as-a-Service,DaaS)。DaaS 是为企业安全而生的云目录服务,可以将云服务器轻松连接到 AD/LDAP 身份目录。
如果企业使用微软 AD 等本地目录,DaaS 可以增强 AD,将 AD 中的身份同步到 IaaS 平台。如果企业还未建立目录,DaaS 也可以作为核心用户源,控制和管理云服务器,同时记录本地设备和应用数据。