三種IAM部署模式:哪種最適合你的公司?
每個身份及訪問管理平臺部署模式,無論是現場部署還是雲端部署,都有各自的取捨和不同資源要求。
身份及訪問管理(IAM)平臺已成為企業網路安全專案的重要組成部分。它們幫助公司企業管理數字身份和使用者對公司裡系統、網路和關鍵平臺的訪問——通過基於角色的控制。
希望利用IAM的公司企業面對的一個關鍵問題是,IAM最佳部署模式是什麼?每個IAM部署都是獨特的,但仍有3個主要模式:現場部署、雲端部署、混合環境部署。
每種方式都有其自身的挑戰,但也有相應的最佳實踐可以解決這些挑戰。
現場部署IAM
現場部署模式下,大多數IAM解決方案都要求佔用大量基礎設施和平臺。提供持續的可用性及支援,以及從一家提供商的產品切換到另一家,都沒那麼容易。
IAM解決方案升級也未必會是安全人員的首要考慮,而且現場解決方案往往需要大量專業人員來運營。
在過去,所有商業應用都慣於安置在企業防火牆內。如今,很多公司藉由公共雲使用多種軟體即服務(SaaS)產品,將自身資料暴露給面向Web的應用,並允許使用者使用各種裝置遠端訪問。
於是,身份驗證解決方案面臨著安全與效能上的巨大壓力。現場部署解決方案中,硬體擴充、容量規劃與管理,以及資料庫管理,都是特別重要的工作。
如果公司在這方面人手充足、準備充分,那現場部署就是個不錯的選擇。如若不然,僅僅為了身份驗證需求就投入這麼多,並不是最佳實踐。
解決現場部署難題的最佳方法,是投入時間精力全面收集公司需求,並由下至上地建立一套周密嚴謹的方法,該方法考慮到公司所有利益相關者、當前及未來的整合、用例及功能。
其中應包含資料中心容量規劃,以及對業務的地理分佈及效能方面的深入理解。
公司企業還應考慮實現私有云基礎設施即服務(IaaS)和平臺即服務(PaaS)功能。這能令公司在保證控制及資產完全自有的基礎上,還享有混合方法的種種好處。
雲端部署IAM
基於雲的IAM所面臨的挑戰,主要是資深雲系統安全專家的缺乏。如果沒做對,資訊保安風險增加就是可能遇到的非預期結果。
而且,採用SaaS訪問控制系統需要現場協調符合當前安全身份驗證及授權標準。公司還需清楚如何配置與整合現場系統和雲IAM系統。
如果公司有保證生產資料不被非生產環境雲租戶訪問的策略和操作,某些SaaS應用可能會要求公司的策略稍作調整。如果SaaS產品允許自定義,你怎麼開發、測試和部署?它適應你的當前部署和自動化團隊的過程及工具嗎?
採用雲模式,必須要清楚自己在做什麼,以及為什麼這麼做。單純採納雲優先策略,必將迎來痛苦的體驗和悔不當初的感受。應對IAM雲挑戰最重要的方法,是構建與IAM需求、預算、人力資源要求、技術及人力限制,以及IAM架構協調一致的雲策略。
公司企業必須要能根據期望衡量結果,並願意基於自己的指標接受方向上的變化。IAM雲策略必須公司的IAM目標,並能在企業文化的約束下存活。
雲部署是最安全最無縫的模式,但保證有效整合卻存在一些困難。困難之一就是得確保公司正確設計並實現了安全及合規控制,比如訪問控制、日誌記錄和監視。現場部署中的所有控制目標都可以在雲部署中達成,但往往需要一套不同的方法和工具。
另一個困難是跨多個獨立公司的身份管理。這有可能導致一家企業中存在多種身份,造成安全和管理上的複雜化。
可靠的身份即服務(IDaaS)平臺可以解決雲系統相關的身份挑戰。將單獨的平臺服務引入公司環境,就可以接過容量規劃、硬體、核心功能開發等事務,將公司人員解脫出來,去處理實現和終端使用者體驗等問題。
還能讓管理層專注於公司整體戰略中最有價值的專業技能和智慧財產權的核心領域,將複雜的IAM交給外部專家。
混合IAM平臺部署
混合IT模式是想要數字化轉型的公司企業常會採取的第一步。相比完全私有云,混合模式對資金和資源的要求都沒那麼高,所以在技術人員中很是流行。
混合部署能幫助公司彌合現場部署和雲部署之間的差距,既保留現場部署情況下企業安全部門的業務熟練度,又提供雲環境的可擴充套件性和其他功能。
不過,管理成本和技術複雜度會相對高一些,還會要求有全面的架構以無縫工作。想要獲得混合部署的成功,就需要有全面細緻的設計和對選擇混合模式想要達到的目標的深入理解。
知道每個區域有哪些工具和介面,以及為什麼要這麼佈置,是最好的開始方式。確保公司的運營過程和操作手冊考慮到該部署模式下增加的故障處理及維護複雜度,是混合部署運營成功的關鍵。
確定公有云服務和私有云服務的使用水平會增加運營複雜度。與雲模式相同,混合環境也可能增加安全風險——如果沒做對的話。
Motorists保險集團就採用的是混合模式,在遺留應用上投入很多,但致力於現代化並遷移到“雲優先、移動優先”策略。
混合模式統合了其他兩種方式的各個方面。雖然能最大化靈活性,但成本與管理的開銷都會增加。
該公司已經標準化了現場IAM,並整合進其遺留應用與門戶中。但展望未來,該公司需要一個敏捷的平臺,可以跟上業務發展需求的平臺。Motorists採取了三管齊下的方法,採用了SailPoint的供應與治理產品,從Okta引進單點登入和多因子身份驗證,併購入CyberArk的特權訪問管理平臺。
這三駕馬車構築了符合該公司IAM需求的混合平臺,發揮每個元件的長處,融合現場解決方案及雲解決方案,提供所需的靈活性和廣泛性。
為防止管理和成本成為公司的負擔,Motorists依靠標準和自動化,並貼合其持續發展的企業目標。這令該公司更專注於支援業務和使用者,並減少系統維護和平臺重新整理的時間。
最終,IAM解決方案必須符合企業文化並驅動業務發展。你的瞭解公司的方向,與業務合作伙伴保持一致,這樣才能拿出他們需要的結果。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
ofollow,noindex" target="_blank">戳這裡,看該作者更多好文