三種IAM部署模式:哪種最適合你的公司?
每個身份及訪問管理平臺部署模式,無論是現場部署還是云端部署,都有各自的取舍和不同資源要求。
身份及訪問管理(IAM)平臺已成為企業網絡安全項目的重要組成部分。它們幫助公司企業管理數字身份和用戶對公司里系統、網絡和關鍵平臺的訪問——通過基于角色的控制。
希望利用IAM的公司企業面對的一個關鍵問題是,IAM最佳部署模式是什么?每個IAM部署都是獨特的,但仍有3個主要模式:現場部署、云端部署、混合環境部署。
每種方式都有其自身的挑戰,但也有相應的最佳實踐可以解決這些挑戰。
現場部署IAM
現場部署模式下,大多數IAM解決方案都要求占用大量基礎設施和平臺。提供持續的可用性及支持,以及從一家提供商的產品切換到另一家,都沒那么容易。
IAM解決方案升級也未必會是安全人員的首要考慮,而且現場解決方案往往需要大量專業人員來運營。
在過去,所有商業應用都慣于安置在企業防火墻內。如今,很多公司藉由公共云使用多種軟件即服務(SaaS)產品,將自身數據暴露給面向Web的應用,并允許用戶使用各種設備遠程訪問。
于是,身份驗證解決方案面臨著安全與性能上的巨大壓力。現場部署解決方案中,硬件擴充、容量規劃與管理,以及數據庫管理,都是特別重要的工作。
如果公司在這方面人手充足、準備充分,那現場部署就是個不錯的選擇。如若不然,僅僅為了身份驗證需求就投入這么多,并不是最佳實踐。
解決現場部署難題的最佳方法,是投入時間精力全面收集公司需求,并由下至上地創建一套周密嚴謹的方法,該方法考慮到公司所有利益相關者、當前及未來的集成、用例及功能。
其中應包含數據中心容量規劃,以及對業務的地理分布及性能方面的深入理解。
公司企業還應考慮實現私有云基礎設施即服務(IaaS)和平臺即服務(PaaS)功能。這能令公司在保證控制及資產完全自有的基礎上,還享有混合方法的種種好處。
云端部署IAM
基于云的IAM所面臨的挑戰,主要是資深云系統安全專家的缺乏。如果沒做對,信息安全風險增加就是可能遇到的非預期結果。
而且,采用SaaS訪問控制系統需要現場協調符合當前安全身份驗證及授權標準。公司還需清楚如何配置與集成現場系統和云IAM系統。
如果公司有保證生產數據不被非生產環境云租戶訪問的策略和操作,某些SaaS應用可能會要求公司的策略稍作調整。如果SaaS產品允許自定義,你怎么開發、測試和部署?它適應你的當前部署和自動化團隊的過程及工具嗎?
采用云模式,必須要清楚自己在做什么,以及為什么這么做。單純采納云優先策略,必將迎來痛苦的體驗和悔不當初的感受。應對IAM云挑戰最重要的方法,是構建與IAM需求、預算、人力資源要求、技術及人力限制,以及IAM架構協調一致的云策略。
公司企業必須要能根據期望衡量結果,并愿意基于自己的指標接受方向上的變化。IAM云策略必須公司的IAM目標,并能在企業文化的約束下存活。
云部署是最安全最無縫的模式,但保證有效集成卻存在一些困難。困難之一就是得確保公司正確設計并實現了安全及合規控制,比如訪問控制、日志記錄和監視。現場部署中的所有控制目標都可以在云部署中達成,但往往需要一套不同的方法和工具。
另一個困難是跨多個獨立公司的身份管理。這有可能導致一家企業中存在多種身份,造成安全和管理上的復雜化。
可靠的身份即服務(IDaaS)平臺可以解決云系統相關的身份挑戰。將單獨的平臺服務引入公司環境,就可以接過容量規劃、硬件、核心功能開發等事務,將公司人員解脫出來,去處理實現和終端用戶體驗等問題。
還能讓管理層專注于公司整體戰略中最有價值的專業技能和知識產權的核心領域,將復雜的IAM交給外部專家。
混合IAM平臺部署
混合IT模式是想要數字化轉型的公司企業常會采取的第一步。相比完全私有云,混合模式對資金和資源的要求都沒那么高,所以在技術人員中很是流行。
混合部署能幫助公司彌合現場部署和云部署之間的差距,既保留現場部署情況下企業安全部門的業務熟練度,又提供云環境的可擴展性和其他功能。
不過,管理成本和技術復雜度會相對高一些,還會要求有全面的架構以無縫工作。想要獲得混合部署的成功,就需要有全面細致的設計和對選擇混合模式想要達到的目標的深入理解。
知道每個區域有哪些工具和接口,以及為什么要這么布置,是最好的開始方式。確保公司的運營過程和操作手冊考慮到該部署模式下增加的故障處理及維護復雜度,是混合部署運營成功的關鍵。
確定公有云服務和私有云服務的使用水平會增加運營復雜度。與云模式相同,混合環境也可能增加安全風險——如果沒做對的話。
Motorists保險集團就采用的是混合模式,在遺留應用上投入很多,但致力于現代化并遷移到“云優先、移動優先”策略。
| 我們有基于云的應用,以及要求能夠為全聯邦用戶提供/取消供應的合作伙伴關系。我們還有遺留應用,這些遺留應用不僅不支持現代身份驗證或供應,還要求特殊的連接器或云解決方案通常不可用的特定編碼方式。混合解決方案是我們必須選擇的部署模式,不僅僅出于運營目的,也是幫助我們過渡到理想最終狀態的最佳選擇。 |
混合模式統合了其他兩種方式的各個方面。雖然能最大化靈活性,但成本與管理的開銷都會增加。
該公司已經標準化了現場IAM,并集成進其遺留應用與門戶中。但展望未來,該公司需要一個敏捷的平臺,可以跟上業務發展需求的平臺。Motorists采取了三管齊下的方法,采用了SailPoint的供應與治理產品,從Okta引進單點登錄和多因子身份驗證,并購入CyberArk的特權訪問管理平臺。
這三駕馬車構筑了符合該公司IAM需求的混合平臺,發揮每個組件的長處,融合現場解決方案及云解決方案,提供所需的靈活性和廣泛性。
為防止管理和成本成為公司的負擔,Motorists依靠標準和自動化,并貼合其持續發展的企業目標。這令該公司更專注于支持業務和用戶,并減少系統維護和平臺刷新的時間。
最終,IAM解決方案必須符合企業文化并驅動業務發展。你的了解公司的方向,與業務合作伙伴保持一致,這樣才能拿出他們需要的結果。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
