身份和访问管理(IAM)是成熟的安全领域,但这并不意味着它是静态的。虽然IAM通常与安全关联,事实上,它是整体安全计划的重要组成部分,很多人开始了解它代表的业务流程。事实可能是:它模糊了安全和运营之间的界线。
这个领域的最新趋势表明IAM逐渐成为企业主流。在未来这一趋势仍将继续发展,下面5个方面表明IAM的重要性:
1、首席营销官和首席运营官要求获取IAM数据
谷歌、Facebook、Twitter和其他企业最重视什么?答案是他们用户群的信息。他们知道我们是谁、我们何时活跃以及所有我们的浏览习惯。他们使用这些信息来创建有针对性的广告,并从中获利。
并非所有公司对通过基于用户行为的广告获利感兴趣,但大多数公司都可从更好地了解用户中受益。尽管IAM解决方案无法提供所有这些优势,但它可提供最基本的数据点:用户是谁——他们的身份。
最近我们开始看到首席营销官和首席运营官要求获取有关用户的信息。在用户目录中有基本人口统计信息,这是很好的开始,但他们想要更多信息。他们想要会话和网站访问信息。为了了解用户是谁(姓名、电子邮件、电话号码)以及追踪他们登录行为,需要获取用户目录和网站访问管理解决方案的数据。他们还想要通过用户行为分析系统分析这些信息来了解用户具体使用模式。
例如,对于汽车零部件零售商来说,数据可以显示,大丹佛地区大约有50家汽车维修点经常在浏览其网站的制动液后放弃其购物车。这一趋势可能是因为竞争对手提供更低的价格或者更多选择。如果没有这种水平的分析,不知道用户是谁以及他们的位置,不可能得出这种类型的结论。
安全机会:这似乎是尚未达到临界值的新需求。这给CISO提供了机会,因为CMO和COO可能有资金用于IAM计划,并可影响董事会或其他高管考虑将IAM作为优先事项。这种情况还可能让CISO有机会让公司高管了解IAM的其他优势,即提高安全性和运营效率。
2、内部威胁可被识别和阻止
大数据正开始被IAM团队利用。通过对服务器、网络设备、中间件、IDS/IPS、漏洞管理解决方案及应用的访问日志和事件进行整理,企业可关联这些活动并发现趋势。而这可能需要大数据解决方案和安全专用工具。
这对于外部威胁非常有效,当有人入侵网络或者部署恶意软件时,大数据被证明很有效。现在CISO拥有可视性,并可在几分钟之内响应。现在攻击者意识到内部用户(特别是内部特权用户)更有价值,那么,我们如何利用这些数据来发现和应对内部威胁?
安全机会:这个方面的安全可通过四个基本活动来实现,技术上来看,我们已经有可用的工具,现在是时候利用这些工具。
1). 确定你最有价值的资产(例如数据、应用程序)
2). 发现并整合特权用户存储库以了解这些用户是谁
3). 在中央安全情报和事件管理(SIEM)解决方案中收集关键基础设施活动
4). 确定每个用户类型的预期活动,并创建运行用例以应对不符合预期的活动
3、基于云的IAM解决方案已经达到成熟临界值
在过去几年,我们看到多种解决方案被发布,初创公司进入这个行业,大型公司试图将其解决方案引入到云计算,并且,其中很多企业未能实现宣称的功能。不仅是因为该技术还没有准备好,而且因为公司并不感兴趣。我们很少看到业务需求和技术解决方案并行发展的情况。
实际上,企业仍需要根据80/20的原则来部署一套标准功能。幸运的是,在市场领导者的推动下,这些标准功能的数量和灵活性都已经提高。产品供应商看到这一趋势,产品投资资金都明显转移到云计算。
需要注意的是,有些基于云的IAM供应商有重点领域。很少供应商会涵盖所有IAM方面,因此他们会有一些局限性。企业有必要了解IAM的四个子域:身份数据、身份管理、访问管理以及访问执行。有些供应商专注于联盟和身份验证,有些则更擅长目录复制,还有些专门负责配置和取消配置。
现在,基于云的IAM解决方案中动态和直观的基于web的工具已经取代管理界面,内部部署解决方案中都是这些复杂、胖客户端或命令行工具。基于云的解决方案具有点击式配置和向导,它们允许客户管理员用户执行所有方面的管理工作。
与可用用例同样重要的是集成功能。内部部署IAM解决方案的优势包括安装连接器、广泛的网络协议、自定义代码功能和几乎无限带宽。领先的基于云的IAM供应商正在试图解决这一问题--通过采用专用网络连接超越LDAPS/JDBC协议,以及利用应用编程接口(API)进行整合。软件即服务(SaaS)操作服务也得到扩展,让尚未由基于web工具管理的功能可通过提交变更请求单到SaaS操作团队来配置。
也许部署基于云IAM解决方案的最重要原因是稳定性、灵活的容量和运营成本降低。这些不再是SaaS供应商之间的区分因素;它们通常比内部部署解决方案更加稳定,更加可扩展。然而,成本优势对于每个公司都各有不同,很多因素会影响到这个计算。根据笔者的经验,还没有看到基于云的IAM解决方案成本高于内部部署解决方案。
安全机会:部署基于云的IAM解决方案不是轻而易举的事情,特别是对内部许可证、基础设施和运营方面已经有很大投资时。如果存在这些投资,下一次升级或扩展周期才是考虑转移到基于云的IAM的时候。这样做可让企业部署标准化解决方案、简化操作以及降低运营成本,同时利用前沿技术。
4、监管合规和审计不再是主要因素
基于IAM目前的成熟度水平,大多数企业的自动化IAM计划和手动流程已经逐渐满足监管和合规要求。在过去15年中,合规性一直是重要因素,企业做了大量公工作才可实现合规性。而现在,对技术和流程变化的需求已经下降,但这并不意味着,这个工作已经完成或者每个人都很开心。
大多数公司在审计和监管合规方面的投资已经发展到回报递减的地步,或者他们根本没有资金可用。有些公司在意识到成本和复杂性后,正从复杂的RBAC模式以及自动化职责分离(SoD)政策撤回。还有些公司发现手动流程足以满足审计目的,而且更便宜,特别是使用离岸团队。
不过,还是有公司在购买IAM,他们购买解决方案并支付年度维护费用,但在当前业务环境中,部署、整合和运营成本太高。这也是IAM影响IT和大多数后台业务流程每个领域的根本事实,这使得全面部署成本高昂且耗时。并且,尽管出现基于云的IAM,但这个根本事实没有改变。
对此的重要警告是《一般数据保护条例(GDPR)》,虽然目前很少有公司在采取行动,也不清楚IAM的含义是什么,但显然,我们都需要看看我们如何让用户根据该条例来管理其身份信息。预计在未来6个月到一年时间内,这种情况会出现明显的不同。
安全机会:尽管SOX、HIPPA、GLBA和其他监管计划没有消失(可能会改变,而不是被淘汰),但它们不再是IAM计划资金的推动因素。这并不是说没有人问或者新规定不会发布。事实上,内部审计团队和应用程序所有者仍然需要承担繁重的访问重新认证流程。此外,其他需求也正在填补这个需求的减少,因此我们仍然看到IAM投资呈上升趋势。CISO仍然可依靠内部审计和业务部门利益相关者来推动和帮助IAM项目筹资。
5、联合的爆炸式发展
联盟和联合单点登录(SSO)现在是在应用领域提供SSO的标准机制。这些年以来,联合是最迅速采用的标准之一。而最近它发展到新的水平:它成为企业和应用程序的默认身份验证机制。这是因为SSO工具的普及和成熟、大型软件包中对SAML的本地支持以及SaaS应用的部署。
同样重要的是要记住,联盟合作关系已经成为非常简单的配置。在大多数SSO工具中,可通过类似向导的页面在几分钟内添加。通过少量的投资和测试,就可轻松地添加和更改这些连接。甚至有些公司允许企业用户在没有安全团队参与的情况下管理其应用的联合。
对于很多公司来说,联盟合作伙伴关系的数量和关键性变得不方便。五年前,一家公司可能有两个或者四个联盟合作关系,但现在有数百个,在相同端点有相同合作伙伴的副本,由不同业务部门使用。管理数百个配置非常具有挑战,因此,笔者一直建议公司在处理联盟合作关系时,与其他关键任务系统采用相同的管理控制。
安全机会:当一项技术达到这种部署水平和成熟度时,则可有机会取代较旧技术,并将联盟作为技术部署的SSO标准,以及管理SSO整合的变更控制流程。如果安全团队可实现这些目标,则可利用外包资源来管理这些配置。这可让核心安全团队更加关注更紧迫和复杂的问题。
虽然安全领域的很多变化让我们的生活变得更加困难,但IAM可帮助我们提高业务水平、改善用户体验和提高运营效率。