Çoklu bulut, ister tasarım ister tesadüfen olsun, birçok kuruluş için bir gerçektir. Uygulamalar ve veriler birden çok bulut ortamında dağıtıldığında, tutarlı kimlik erişim ilkeleri oluşturmak ve yönetmek bir zorluk haline gelir.
altıgen kimlik düzenleme şirketi Strata Identity’den farklı bulut kimlik sistemlerini birleştirmek ve tutarlı politikalara izin vermek için yeni bir açık kaynak projesidir. Strata, her bulut sağlayıcının kendi aracı ve politika formatına sahip olduğundan, Hexa’nın kimlik erişim politikalarını tanımlamak için ortak bir politika formatı olan IDQL’ye güvendiğini söylüyor.
Her bulut sağlayıcı, platformunda kimlik ve erişim oluşturmak ve yönetmek için tescilli kimlik sistemlerine ve kendi politika dillerine güvenir. Çoğu güvenlik mühendisi, genel bulutların birinde, belki ikisinde, ancak nadiren bundan daha fazla bilgi sahibi olma eğilimindedir. Ancak çoklu bulut çağında, güvenlik mühendislerinin birden çok ortamda politikalar oluşturabilmeleri, okuyabilmeleri ve yönetebilmeleri ve değişen araçlara ve yeni yeteneklere ayak uydurabilmeleri gerekir. Strata Identity’nin standartlar başkanı Gerry Gebel, IDQL’nin politikaları bireysel sağlayıcının tescilli formatına çevirebilen evrensel bildirim politikası dili olduğunu söylüyor. Hexa, IDQL politika dili üzerine inşa edilmiş referans yazılımdır ve bulut ortamlarında politikaları keşfetme, tercüme etme ve düzenleme görevlerini yerine getirir, diyor.
Gebel, “Hexa, IDQL’yi hayata geçiren ve onu gerçek dünyada işler hale getiren açık kaynaklı referans yazılımıdır” diyor.
Bulut Kimliklerini Yönetme Örneği
yakın zamanda Bulut bilişimin durumu hakkında Karanlık Okuma Raporu, ankete katılanların yalnızca %19’u kuruluşlarının yalnızca bir bulut sağlayıcıyla çalıştığını söylerken, %43’ü iki ila üç sağlayıcıyla çalıştıklarını söyledi. Kuruluşların birden fazla bulut sağlayıcısıyla uğraşmasının birçok nedeni vardır. Kuruluşlar, bir sağlayıcının kesinti yaşaması gibi yedeklilik ve esneklik için veya verilerin nerede depolanabileceğine ilişkin düzenleyici gereksinimleri karşılamak için çoklu buluta ihtiyaç duyabilir. Bazı kuruluşlarda, bulut altyapısı başlangıçta BT’nin bilgisi olmadan kurulmuş olabilir, bu nedenle sağlayıcı ve politikalar diğerleriyle uyumlu olmayabilir.
Çoklu buluta yol açan nedenlerden bağımsız olarak, kimlik ve erişimin tutarlı olması ve yönetilmesi gerekir. gelen bir raporda Palo Alto Ağları, Birim42 araştırmacılar, 18.000 bulut hesabında ve 200’den fazla farklı kuruluşta 680.000’den fazla kimliği analiz etti ve bulut kullanıcılarının, rollerinin, hizmetlerinin ve kaynaklarının %99’una aşırı izin verildiğini tespit etti. Rapora göre, izinler sadece aşırı olmakla kalmadı, aynı zamanda 60 gün boyunca kullanılmadı.
Unit42, algılanan bulut güvenlik olaylarının %65’inin arkasında yanlış yapılandırılmış kimlikler olduğunu söyledi. Tehdit aktörleri bu kimlikleri kötüye kullanabilir ve bulut ortamında yanal olarak hareket edebilir veya hedefleyebilecekleri sistem havuzunu genişletebilir.
Strata Identity’nin kendi araştırması Katılımcıların yalnızca %25’inin çoklu bulut erişim ilkelerine ilişkin görünürlükleri olduğunu söylediğini buldu.
Evrensel Bir Politika Dili
Her bulut sağlayıcının kendi kimlik sistemi vardır ve her uygulamanın bu kimlik sistemiyle çalışması için sabit kodlanmış olması gerekir. Uygulama birden fazla bulut platformunda çalışacaksa, geleneksel olarak uygulamanın her biri için değiştirilmesi gerekir. Bununla birlikte, Hexa, Strata Identity’ye göre, birden fazla kimlik sistemini birleşik bir bütün olarak birlikte çalışacak ve uygulamalarda değişiklik yapmak zorunda kalmayacak şekilde getirmek için IDQL’yi kullanacak şekilde tasarlanmıştır. Politika keşfi için Hexa, bulut platformlarından, yetkilendirme sistemlerinden, veri kaynaklarından ve sıfır güven ağlarından kimlik ve erişim ilkelerini soyutlar.
Gebel, Strata Identity’nin Hexa’yı ve politika keşif yönetimi yeteneklerini göstermek için örnek bir çok bölgeli bankacılık uygulaması kurduğunu söylüyor. Bu senaryoda ABD bölgesi, uygulamayı App Engine kullanarak Google Cloud Platform’da dağıtırken, diğer iki bölge Kubernetes’e güveniyor. Hexa, kaynakları ve ilişkili politikaları keşfetmek için Google Cloud örneğine bağlanır ve ardından politikaları IDQL’ye dönüştürür. Analist, politikalarda değişiklik yapabilir ve ardından yeni politikaları GCP formatına geri çevirmek ve değişiklikleri platforma aktarmak için Hexa’yı kullanabilir, diye açıklıyor.
Hexa, kullanılan uygulamaları ve kaynakları keşfetmek için ortamı analiz ederek ve mevcut tüm ilkelerin, kullanıcıların ve rollerin bir envanterini oluşturarak ilke keşfini gerçekleştirir. Güvenlik ekipleri, alındıktan ve IDQL’ye çevrildikten sonra yürürlükteki tüm politikalar hakkında kapsamlı bir görüşe sahip olur. Kuruluşlar, ISQL’i politika boşlukları, kopyalar veya diğer hata koşulları için analiz etmek için potansiyel olarak araçlar geliştirebilir. Gebel, bu yeteneğin açık kaynak Hexa’da olmadığını, ancak kuruluşların IDQL’ye dönüştürdükten sonra kendi başlarına yapabilecekleri bir şey olduğunu söylüyor.
Kimlik ve verileri kapsayan bir ESG analisti olan Jack Poller, IDQL’nin bulut kimlik erişim yönetimine bir karmaşıklık katmanı eklemiş gibi görünse de gerçek şu ki, kuruluşların yüzlerce ila binlerce bulut, SaaS ve şirket içi uygulamayı yönetmesi gerekiyor. güvenlik. Her uygulamanın ayrı bir kimlik ve erişim yetkisi kavramı vardır ve kuruluşlar şu anda üst düzey iş erişim ilkelerini her bir uygulamanın kendi ilke diline veya yönetim aracına manuel olarak çevirmekle meşguldür.
Poller, “IDQL, yetkilendirme politikaları için bir ortak dil sağlıyor” diyor. “Kuruluşlar, BT ortamında erişim politikalarını düzenlemek ve otomatikleştirmek, manuel politika yönetimi ile oluşan boşlukları kapatmak ve yetkilendirme politikalarının sürekli ve tutarlı bir şekilde uygulanmasını sağlamak için Hexa’yı kullanabilir veya kendi araçlarını geliştirebilir.”
Platformlar Arası Teknolojiler
IDQL ve Hexa, kullanıcıların kimlik bilgilerini yeniden girmeden bulut platformları ve Web uygulamaları arasında hareket etmelerini sağlayan çoklu oturum açma için platformlar arası standart olan Security Assertion Markup Language’ın (SAML) bazı ortak yazarları tarafından oluşturulmuştur. Bununla birlikte Gebel, IDQL’nin aşağıdakiler gibi modern standartların yerine geçmemesi gerektiğini belirtmektedir. Açık İlke Aracısı (OPA), ancak “onları tamamlayıcıdır.”
OPA, bulutta yerel geliştiricilerin “kullanılabilirlik veya performanstan ödün vermeden politikaları (güvenlik ve uyumluluk ekiplerinin sevdiği) yayınlayabilmeniz, analiz edebilmeniz ve gözden geçirebilmeniz için politikayı hizmetin kodundan ayırmasını” sağlayan birleşik bir bildirime dayalı politika dilidir,” diyor Poller. IDQL, OPA’ya çok benzer.
Strata Identity CEO’su ve SAML standardının ortak yazarlarından biri olan Eric Olden, “Kubernetes’in uygulamaların bir makineden diğerine şeffaf bir şekilde geçmesine izin vererek bilgi işlemi dönüştürmesi gibi, IDQL de erişim ilkelerinin özel kimlik sistemleri arasında serbestçe hareket etmesine olanak tanıyor” dedi. , yaptığı açıklamada. “IDQL ve Hexa, tek bir beyinle akıllı, dağıtılmış bir kimlik sistemi oluşturarak buluttaki ve şirket içindeki kimlik silolarını ortadan kaldırır.”