将 IaaS 对接企业本地目录的简单方案（将军令）

将 IaaS 对接企业本地目录的简单方案（将军令）

如今，基础设施即服务(IaaS)已经从一个新兴领域发展成为一个庞大的产业。几乎所有企业都不再建立自己的数据中心，大多数中小企业选择外包基础设施。企业不需要搭建和管理网络或服务器，只需按需订阅，自然省去了服务器的采购、配置和维护费用。除了企业之外，最终用户也可以从IaaS中受益。

但是采用 IaaS 平台存在一些问题，比如如何将第三方 IaaS 平台集成到企业的IT系统中。之所以出现这个问题，是因为很多 IaaS 平台更像是一个完全独立的网络，需要分开管理，增加了实现的成本、风险和复杂度。托管 IaaS 的核心机制是将云服务器连接到企业的中央身份管理用户源。以这种方式负责 IaaS 主要有3个原因:

1. 安全

IaaS 通常包含企业关键应用和相关数据，而要确保应用和数据安全，第一步就是设置用户对 IaaS 的访问权限。具体来说，管理员需要随时掌握每个用户的访问权限，确保用户凭证的安全，然后快速终止不必要的的用户访问。由于用户访问管理是企业中央目录服务的现有功能，企业只要将目录中的用户源连接到 IaaS 平台就能将用户目录同步到云服务器。

2. 效率

对于 IaaS 平台的访问控制，管理员通常会采取手动管理的方式。但是手动管理不仅速度慢且易出错，管理员也无法确定是否覆盖了所有服务器和用户。

在缺少系统性的总体解决方案时，的确只能选择工作量巨大的手动管理。而更好的方法则是借助中央用户目录，严格预配用户的访问权限，并充分利用访问权限辅助管理。管理员仅需一次添加或删除就能将数据同步到多个系统。

3. 审计

审计 IaaS 的访问情况也是企业出于安全性考虑必须采取的最佳实践，特别是有 PCI （支付卡行业）等合规要求的企业。而将 IaaS 连接到中央目录也有助于简化审计流程。

将 IaaS 连接到目录服务的挑战

尽管打通 IaaS 和身份目录是值得考虑的安全措施，但现实情况是大多数本地目录（如微软 AD或 OpenLDAP）很难连接到 IaaS。由于服务器和企业目录都需要联网，如果本地服务器和公共网络通信，可能就会产生安全风险。

第二个问题是如何确保目录联网后的安全。AD 和 LDAP 的构建都是基于网络边界安全模型，该模型认为网络边界是保护资源的主要架构。由于现代网络进入了云计算时代，网络边界成为了过去式，因此目录安全也是企业不得不考虑的因素。

简单的 IaaS 解决方案

针对上述两个问题，有一种简单的方法可以将 IaaS 平台连接到现有的 AD/LDAP 身份目录或新建目录—— 身份目录即服务（Directory-as-a-Service，DaaS）。DaaS 是为企业安全而生的云目录服务，可以将云服务器轻松连接到 AD/LDAP 身份目录。

如果企业使用微软 AD 等本地目录，DaaS 可以增强 AD，将 AD 中的身份同步到 IaaS 平台。如果企业还未建立目录，DaaS 也可以作为核心用户源，控制和管理云服务器，同时记录本地设备和应用数据。

想了解更多有关 LDAP 目录服务的相关内容，可前往宁盾官网博客解锁更多干货！

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。