Es difícil tener lugar por suspensión las recientes interrupciones importantes del servicio en la nubarrón. Los incidentes de suspensión perfil que afectaron a proveedores como AWS, Azure y Cloudflare han perturbado gran parte de Internet, destruyendo sitios web y servicios de los que dependen muchos otros sistemas. El emoción dominó resultante ha detenido las aplicaciones y los flujos de trabajo de los que muchas organizaciones dependen todos los días.
Para los consumidores, estas interrupciones a menudo se perciben como un inconveniente, como no poder pedir comida, transmitir contenido o consentir a servicios en itinerario. Sin confiscación, para las empresas el impacto es mucho más dificultoso. Cuando el sistema de reservas de una aerolínea se desconecta, la pérdida de disponibilidad se traduce directamente en pérdida de ingresos, daños a la reputación e interrupciones operativas.
Estos incidentes resaltan que las interrupciones en la nubarrón afectan mucho más que la computación o las redes. Una de las áreas más críticas e impactantes es la identidad. Cuando se interrumpen la autenticación y la autorización, el resultado no es sólo un tiempo de inactividad; es un incidente operante y de seguridad central.
Infraestructura en la nubarrón, un punto de falta compartido
Los proveedores de nubarrón no son sistemas de identidad. Pero las arquitecturas de identidad modernas dependen profundamente de la infraestructura alojada en la nubarrón y de los servicios compartidos. Incluso cuando un servicio de autenticación sigue siendo práctico, las fallas en otras partes de la condena de dependencia pueden inutilizar los flujos de identidad.
La mayoría de las organizaciones dependen de la infraestructura de la nubarrón para componentes críticos relacionados con la identidad, como:
- Almacenes de datos que contienen atributos de identidad e información de directorio
- Datos de política y autorización
- Equilibradores de carga, planos de control y DNS
Estas dependencias compartidas introducen riesgos en el sistema. Una falta en cualquiera de ellos puede sitiar la autenticación o autorización por completo, incluso si técnicamente el proveedor de identidad todavía está ejecutándose. El resultado es un único punto de falta oculto que, desafortunadamente, muchas organizaciones solo descubren durante una interrupción.
La identidad, el guarda de todo
La autenticación y la autorización no son funciones aisladas que se utilizan sólo durante el inicio de sesión: son guardianes continuos de cada sistema, API y servicio. Los modelos de seguridad modernos, específicamente Zero Trust, se basan en el principio de “nunca confíes, siempre verifica”. Esa comprobación depende enteramente de la disponibilidad de sistemas de identidad.
Esto se aplica igualmente a los usuarios humanos y a las identidades de las máquinas. Las aplicaciones se autentican constantemente. Las API autorizan cada solicitud. Los servicios obtienen tokens para designar a otros servicios. Cuando los sistemas de identidad no están disponibles, nulo funciona.
Conveniente a esto, las interrupciones de identidad amenazan directamente la continuidad del negocio. Deben activar el nivel más suspensión de respuesta a incidentes, con monitoreo y alertas proactivos en todos los servicios dependientes. Tratar el tiempo de inactividad de la identidad como un problema secundario o puramente técnico subestima significativamente su impacto.
La complejidad oculta de los flujos de autenticación
La autenticación implica mucho más que comprobar un nombre de becario y una contraseña, o una esencia de acercamiento, a medida que las organizaciones avanzan cada vez más con destino a modelos sin contraseña. Un único evento de autenticación suele desencadenar una condena compleja de operaciones entre bastidores.
Los sistemas de identidad suelen ser:
- Resolver atributos de becario desde directorios o bases de datos.
- Juntar estado de sesión
- Emitir tokens de acercamiento que contengan alcances, reclamos y atributos
- Tome decisiones de autorización detalladas utilizando motores de políticas
Las comprobaciones de autorización pueden realizarse tanto durante la audición de tokens como en tiempo de ejecución cuando se accede a las API. En muchos casos, las API deben autenticarse y obtener tokens ayer de designar a otros servicios.
Cada uno de estos pasos depende de la infraestructura subyacente. Los almacenes de datos, los motores de políticas, los almacenes de tokens y los servicios externos pasan a formar parte del flujo de autenticación. Una falta en cualquiera de estos componentes puede sitiar completamente el acercamiento, afectando a los usuarios, las aplicaciones y los procesos comerciales.
Por qué la entrada disponibilidad tradicional no es suficiente
La entrada disponibilidad está ampliamente implementada y es absolutamente necesaria, pero a menudo es insuficiente para los sistemas de identidad. La mayoría de los diseños de entrada disponibilidad se centran en la conmutación por error regional: una implementación primaria en una región con una secundaria en otra. Si una región falta, el tráfico se desplaza con destino a la copia de seguridad.
Este enfoque fracasa cuando las fallas afectan a servicios compartidos o globales. Si los sistemas de identidad en varias regiones dependen del mismo plano de control de la nubarrón, proveedor de DNS o servicio de almohadilla de datos administrado, la conmutación por error regional proporciona poca protección. En estos escenarios, el sistema de respaldo falta por las mismas razones que el principal.
El resultado es una bloque de identidad que parece resiliente en el papel, pero colapsa delante interrupciones a gran escalera en la nubarrón o en toda la plataforma.
Diseño de resiliencia para sistemas de identidad
La verdadera resiliencia debe diseñarse deliberadamente. Para los sistemas de identidad, esto a menudo significa compendiar la dependencia de un único proveedor o dominio de falta. Los enfoques pueden incluir estrategias de múltiples nubes o alternativas locales controladas que permanecen accesibles incluso cuando los servicios de nubarrón se degradan.
Igualmente importante es la planificación para un funcionamiento degradado. Desestimar completamente el acercamiento durante una interrupción tiene el longevo impacto empresarial posible. Permitir un acercamiento menguado, basado en atributos almacenados en distinción, decisiones de autorización precalculadas o funcionalidad escasa, puede compendiar drásticamente el daño operante y de reputación.
No todos los datos relacionados con la identidad necesitan el mismo nivel de disponibilidad. Algunos atributos o fuentes de autorización pueden ser menos tolerantes a fallos que otros, y eso puede ser aceptable. Lo que importa es hacer estas concesiones deliberadamente, basándose en el aventura empresarial más que en la conveniencia arquitectónica.
Los sistemas de identidad deben diseñarse para abortar con garbo. Cuando los cortes de infraestructura son inevitables, el control de acercamiento debería degradarse de guisa predecible, no colapsar por completo.
¿Avispado para comenzar con una sólida posibilidad de distribución de identidades? Pruebe Curity Identity Server improcedente.
