每个身份和访问管理平台部署模型,无论是在本地还是在云端,都有自己的权衡和不同的资源要求。身份和访问管理(IAM)平台已成为企业网络安全项目的重要组成部分。它们通过基于角色的控制帮助组织管理数字身份和用户对公司系统、网络和关键平台的访问。对于希望利用IAM的组织来说,一个关键问题是,什么是IAM的最佳部署模型?每个IAM部署都是独一无二的,但仍然有3种主要模型:本地、云和混合。每种方法都有其自身的挑战,但有相应的最佳实践来解决这些挑战。本地IAM在本地模型中,大多数IAM解决方案都需要大量的基础设施和平台足迹。提供持续的可用性和支持,以及从一个供应商的产品切换到另一个供应商的产品,并不容易。IAM解决方案升级未必是安全人员的头等大事,现场解决方案往往需要大量专业人员操作。传统上,所有业务应用程序都位于公司防火墙内。如今,许多公司通过公共云使用各种软件即服务(SaaS)产品,将他们的数据公开给面向Web的应用程序,并允许用户使用各种设备远程访问它。因此,身份验证解决方案在安全性和性能方面承受着巨大的压力。在现场部署方案中,硬件扩容、容量规划与管理、数据库管理都是尤为重要的工作。如果公司在这方面人员充足,准备充分,那么现场部署是一个不错的选择。否则,仅仅为了身份验证要求而投入这么多并不是最佳做法。解决实时部署挑战的最佳方法是投入时间和精力来全面收集公司需求,并创建一种有纪律的自下而上的方法,将所有公司利益相关者、当前和未来的集成、用例和功能考虑在内。这应该包括数据中心容量规划,以及对业务的地理分布和性能方面的深入了解。组织还应考虑实施私有云基础架构即服务(IaaS)和平台即服务(PaaS)功能。这使公司能够享受混合方法的好处,同时保持对其资产的控制和完全所有权。在云端部署IAM基于云的IAM面临的挑战主要是缺乏资深的云系统安全专家。增加的信息安全风险是如果处理不当可能会遇到的意外后果。此外,采用SaaS访问控制系统需要现场协调以符合当前的安全认证和授权标准。公司还需要知道如何配置和集成本地系统和云IAM系统。如果公司有适当的政策和操作来确保生产数据不被非生产云租户访问,某些SaaS应用程序可能需要对公司的政策进行轻微调整。如果SaaS产品允许定制,您如何开发、测试和部署?它是否适合您当前的部署和自动化团队的流程和工具?使用云模型,您必须清楚自己在做什么以及为什么这样做。简单地采用云优先策略势必会迎来痛苦的经历和遗憾。应对IAM云挑战的最重要方法是构建与IAM需求、预算、人力资源要求、技术和人员限制以及IAM架构相一致的云战略。组织必须能够根据预期衡量结果,并愿意根据自己的指标接受方向上的变化。IAM云战略必须满足公司的IAM目标,并在企业文化的约束下生存。云部署是最安全和无缝的模式,但在确保有效集成方面存在一些困难。困难之一是确保公司正确设计和实施安全和合规控制,例如访问控制、日志记录和监控。本地部署中的所有控制目标都可以在云部署中实现,但通常需要一组不同的方法和工具。另一个困难是跨多个独立公司的身份管理。这有可能导致企业内出现多个身份,从而造成安全和管理复杂化。可靠的身份即服务(IDaaS)平台可以解决与云系统相关的身份挑战。将单独的平台服务引入企业环境可以接管容量规划、硬件和核心功能开发,从而使企业人员腾出时间来处理实施和最终用户体验问题。它还允许管理层专注于公司整体战略中最有价值的核心专业知识和知识产权领域,将复杂的IAM留给外部专家。混合IAM平台部署混合IT模型是寻求数字化转型的公司常见的第一步。混合模型在技术专家中很受欢迎,因为它比完整的私有云需要更少的资金和资源。混合部署可以帮助企业弥合本地和云部署之间的差距,保留企业安全部门在本地场景中的业务熟练度,同时提供云环境的可扩展性和其他能力。但是管理成本和技术复杂度会比较高,需要一个全面的架构才能无缝对接。成功的混合部署需要仔细的设计和对选择混合模型时想要实现的目标的深刻理解。了解每个领域有哪些工具和界面可用,以及它们为何以这种方式排列,是最好的开始方式。确保公司的操作程序和操作手册考虑到此部署模型增加的故障排除和维护复杂性是混合部署操作成功的关键。确定公共和私有云服务的使用水平增加了操作的复杂性。与云模型一样,混合环境也会增加安全风险——如果处理不当的话。Motoristsinsurancegroup使用混合模型,大量投资于遗留应用程序,但致力于实现现代化并迁移到“云优先、移动优先”战略。我们拥有基于云的应用程序和合作伙伴关系,需要能够为整个联邦的用户提供/取消提供。我们还有遗留应用程序,它们不仅不支持现代身份验证或配置,而且还需要云解决方案通常不提供的特殊连接器或特定编码样式。混合解决方案是我们必须选择的部署模型,不仅是出于运营目的,也是帮助我们过渡到所需最终状态的最佳选择。混合模式结合了其他两种方法的各个方面。虽然可以最大限度地提高灵活性,但成本和管理开销会增加。该公司对现场IAM进行了标准化,并将其集成到其遗留应用程序和门户中。但展望未来,该公司需要一个灵活的平台,一个能够跟上业务需求的平台。驾驶者采取了三管齐下的方法,采用SailPoint的供应和治理产品,从Okta引入单点登录和多因素身份验证,并购买Cyber??Ark的特权访问管理平台。三驾马车构建了一个满足公司IAM需求的混合平台,利用每个组件的优势,集成本地和云解决方案,并提供所需的灵活性和广度。为了避免管理和成本成为公司的负担,Motorists依赖于标准和自动化,并符合他们不断发展的企业目标。这使公司可以更专注于支持业务和用户,并减少花在系统维护和平台更新上的时间。最终,IAM解决方案必须符合企业文化并推动业务发展。您了解公司的方向并与业务合作伙伴保持一致,以便他们能够提供所需的结果。【本文为专栏作家“李少鹏”原创文章,转载请通过暗牛(微信♂id:gooann-sectv)获得授权】点此查看作者更多好文
