查看原文
其他

三种IAM部署模式:哪种最适合你的公司?

nana 安全牛 2022-07-02

每个身份及访问管理平台部署模式,无论是现场部署还是云端部署,都有各自的取舍和不同资源要求。



身份及访问管理(IAM)平台已成为企业网络安全项目的重要组成部分。它们帮助公司企业管理数字身份和用户对公司里系统、网络和关键平台的访问——通过基于角色的控制。


希望利用IAM的公司企业面对的一个关键问题是,IAM最佳部署模式是什么?每个IAM部署都是独特的,但仍有3个主要模式:现场部署、云端部署、混合环境部署。


每种方式都有其自身的挑战,但也有相应的最佳实践可以解决这些挑战。


现场部署IAM


现场部署模式下,大多数IAM解决方案都要求占用大量基础设施和平台。提供持续的可用性及支持,以及从一家提供商的产品切换到另一家,都没那么容易。


IAM解决方案升级也未必会是安全人员的首要考虑,而且现场解决方案往往需要大量专业人员来运营。


在过去,所有商业应用都惯于安置在企业防火墙内。如今,很多公司藉由公共云使用多种软件即服务(SaaS)产品,将自身数据暴露给面向Web的应用,并允许用户使用各种设备远程访问。


于是,身份验证解决方案面临着安全与性能上的巨大压力。现场部署解决方案中,硬件扩充、容量规划与管理,以及数据库管理,都是特别重要的工作。


如果公司在这方面人手充足、准备充分,那现场部署就是个不错的选择。如若不然,仅仅为了身份验证需求就投入这么多,并不是最佳实践。


解决现场部署难题的最佳方法,是投入时间精力全面收集公司需求,并由下至上地创建一套周密严谨的方法,该方法考虑到公司所有利益相关者、当前及未来的集成、用例及功能。


其中应包含数据中心容量规划,以及对业务的地理分布及性能方面的深入理解。


公司企业还应考虑实现私有云基础设施即服务(IaaS)和平台即服务(PaaS)功能。这能令公司在保证控制及资产完全自有的基础上,还享有混合方法的种种好处。


云端部署IAM


基于云的IAM所面临的挑战,主要是资深云系统安全专家的缺乏。如果没做对,信息安全风险增加就是可能遇到的非预期结果。


而且,采用SaaS访问控制系统需要现场协调符合当前安全身份验证及授权标准。公司还需清楚如何配置与集成现场系统和云IAM系统。


如果公司有保证生产数据不被非生产环境云租户访问的策略和操作,某些SaaS应用可能会要求公司的策略稍作调整。如果SaaS产品允许自定义,你怎么开发、测试和部署?它适应你的当前部署和自动化团队的过程及工具吗?


采用云模式,必须要清楚自己在做什么,以及为什么这么做。单纯采纳云优先策略,必将迎来痛苦的体验和悔不当初的感受。应对IAM云挑战最重要的方法,是构建与IAM需求、预算、人力资源要求、技术及人力限制,以及IAM架构协调一致的云策略。


公司企业必须要能根据期望衡量结果,并愿意基于自己的指标接受方向上的变化。IAM云策略必须公司的IAM目标,并能在企业文化的约束下存活。


云部署是最安全最无缝的模式,但保证有效集成却存在一些困难。困难之一就是得确保公司正确设计并实现了安全及合规控制,比如访问控制、日志记录和监视。现场部署中的所有控制目标都可以在云部署中达成,但往往需要一套不同的方法和工具。


另一个困难是跨多个独立公司的身份管理。这有可能导致一家企业中存在多种身份,造成安全和管理上的复杂化。


可靠的身份即服务(IDaaS)平台可以解决云系统相关的身份挑战。将单独的平台服务引入公司环境,就可以接过容量规划、硬件、核心功能开发等事务,将公司人员解脱出来,去处理实现和终端用户体验等问题。


还能让管理层专注于公司整体战略中最有价值的专业技能和知识产权的核心领域,将复杂的IAM交给外部专家。


混合IAM平台部署


混合IT模式是想要数字化转型的公司企业常会采取的第一步。相比完全私有云,混合模式对资金和资源的要求都没那么高,所以在技术人员中很是流行。


混合部署能帮助公司弥合现场部署和云部署之间的差距,既保留现场部署情况下企业安全部门的业务熟练度,又提供云环境的可扩展性和其他功能。


不过,管理成本和技术复杂度会相对高一些,还会要求有全面的架构以无缝工作。想要获得混合部署的成功,就需要有全面细致的设计和对选择混合模式想要达到的目标的深入理解。


知道每个区域有哪些工具和接口,以及为什么要这么布置,是最好的开始方式。确保公司的运营过程和操作手册考虑到该部署模式下增加的故障处理及维护复杂度,是混合部署运营成功的关键。


确定公有云服务和私有云服务的使用水平会增加运营复杂度。与云模式相同,混合环境也可能增加安全风险——如果没做对的话。


Motorists保险集团就采用的是混合模式,在遗留应用上投入很多,但致力于现代化并迁移到“云优先、移动优先”策略。


我们有基于云的应用,以及要求能够为全联邦用户提供/取消供应的合作伙伴关系。我们还有遗留应用,这些遗留应用不仅不支持现代身份验证或供应,还要求特殊的连接器或云解决方案通常不可用的特定编码方式。混合解决方案是我们必须选择的部署模式,不仅仅出于运营目的,也是帮助我们过渡到理想最终状态的最佳选择。


混合模式统合了其他两种方式的各个方面。虽然能最大化灵活性,但成本与管理的开销都会增加。


该公司已经标准化了现场IAM,并集成进其遗留应用与门户中。但展望未来,该公司需要一个敏捷的平台,可以跟上业务发展需求的平台。Motorists采取了三管齐下的方法,采用了SailPoint的供应与治理产品,从Okta引进单点登录和多因子身份验证,并购入CyberArk的特权访问管理平台。


这三驾马车构筑了符合该公司IAM需求的混合平台,发挥每个组件的长处,融合现场解决方案及云解决方案,提供所需的灵活性和广泛性。


为防止管理和成本成为公司的负担,Motorists依靠标准和自动化,并贴合其持续发展的企业目标。这令该公司更专注于支持业务和用户,并减少系统维护和平台刷新的时间。


最终,IAM解决方案必须符合企业文化并驱动业务发展。你的了解公司的方向,与业务合作伙伴保持一致,这样才能拿出他们需要的结果。


相关阅读

身份互联网即将到来 IAM将发生巨变

从Facebook隐私泄露事件看IAM走向容器

身份访问与管理(IAM)的定义、应用与提供商



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存