随着数字业务依赖于IAM赋能的数字信任,安全和身份管理成为企业业务生态的重要基础。Gartner副总裁分析师MaryRuddy表示,安全和风险管理领导者有必要设计更灵活的IAM基础设施,IAM团队需要与其他职能部门协作,以满足企业不断变化的需求。日前,Gartner列出了IAM技术发展的六大趋势。企业可以参考它来改进已部署的IAM,以更好地满足不断变化的需求。1.更智能的门禁企业正在向更远程、随时随地连接的计算转型,这对门禁管理平台的部署提出了更高的要求。访问管理平台必须变得越来越复杂,以便在不妨碍合法用户的情况下将合法用户与恶意访问者或诈骗者区分开来。此外,企业需要支持用户和设备访问的多种选择,支持多代数字资产,并将这种支持功能集成到灵活的现代身份基础设施(身份结构)中。为降低风险,应实施多因素身份验证(MFA)、零常设特权和零信任架构等最佳实践。要求对所有特权访问进行MFA,并确保MFA供应商支持所有必需的用例,例如语音、生物识别、移动作为令牌和智能卡。此外,自适应访问控制应作为零信任架构的关键要素,这种上下文感知访问控制可以平衡信任和访问风险。2.更好的用户体验随着数字交互变得越来越多和越来越重要,提供出色的整体用户体验的标准也在不断提高。Gartner估计,到2024年,拥有出色用户体验的企业在客户体验和员工体验满意度指标方面的表现将比竞争对手高出25%。组织应该为所有外部用户(消费者、企业客户和合作伙伴)制定一致的战略。例如,确保IAM优先级与业务和IT优先级保持一致,提供全渠道体验,并统一客户角色。同时,对企业的数字供应链采取零信任的方式,例如为客户数据等数字生态资源提供端到端的安全和隐私保护。此外,在不牺牲安全性的情况下授权特权用户,为远程特权用户创建身份,并在他们打算执行管理任务或特权操作时验证他们的身份。然后使用由特权访问管理(PAM)工具控制的共享帐户。3.设备身份的统一管理企业计算设备的数量不断增加,广泛应用于复杂的多云环境中。这就需要企业调整IAM应用策略,包括完善保密性、密钥、证书等一系列应用标准。组织可以考虑创建一个混合团队,用于收集需求、执行领导、明确所有权、制定指南和设定合理的期望。安全专业人员需要梳理出企业中所有计算设备的身份并将它们分类:物理设备和虚拟设备。然后为企业的IAM实施团队寻找更有效的管理策略和技术实施方法,帮助他们整合不同类型的管理工具。此外,随着机器人流程自动化(RPA)的快速发展,管理软件机器人并控制其进度变得非常重要。首先定义RPA工具的行为示例和构建原则,然后将RPA软件机器人设置为需要认证的任务对象,最后将RPA工具集成到身份认证系统中。第四,实施API安全控制企业还必须确保安全地开发、采购和引入来自所有来源的新应用程序。为此,需要实现API访问控制(API认证和授权),这是API安全的重要组成部分,结合API发现和API威胁防护机制。企业应定义策略并组建跨职能团队,包括开发人员、DevOps团队、云、安全和IAM从业者,以帮助建立适当的API访问控制指南。此外,切换到零信任策略会给SaaS应用程序/工具的采购和摄取过程带来更多压力。为了确保整个应用程序生命周期的一致性,组织需要改善软件采购与IAM团队之间的关系。5、适应多云环境。将更多的数字资产转移到去中心化的多云环境中,在混合IT环境中运行,加入成熟的自动补偿控制,对企业来说非常重要。集成身份治理和管理(IGA)、PAM和云基础设施授权管理(CIEM)等解决方案,以更好地管理和监管所有环境中的身份和授权。PAM和IGA集成对于保护和管理用户对本地和云环境的访问至关重要,在这些环境中仍然存在常设特权帐户。CIEM产品确保对云基础设施端点的访问受控。CIEM工具使用分析和机器学习来检测帐户权利中的异常情况,例如休眠和过多的权利。在多云环境中管理身份时,创建“单一管理平台”尚不切实际。一个通用框架,应该为多云IAM实施集中一些功能,但为原生工具留出空间。6、更完善的IGA功能企业数字化转型和云应用需要更多的支持,包括支持混合IT环境下的身份、多云平台下的身份、计算设备身份等。这就更加需要改进IGA功能,使其与网格架构保持一致。这种演变需要跨多个计算环境使用基于标准的连接器框架来建立身份结构,以便企业知道谁可以访问什么,而不管资源和用户位于何处。组织应该更有效地管理和编排访问策略,并使用云身份分析来进行持续治理。身份分析技术可以预测用户可以访问哪些资源,查看他们如何使用访问权限,跟踪异常用户行为,并启动补救措施以消除行为异常,从而降低企业的整体风险。参考链接:https://www.gartner.com/en/articles/iam-leaders-plan-to-adopt-these-6-identity-and-access-management-trends
