身份和訪問管理（IAM）長期以來一直是安全領(lǐng)導(dǎo)者職業(yè)生涯的關(guān)鍵“試煉場”，許多人在身份技術(shù)部署方面做出了事關(guān)成敗的決定。確保安全訪問和身份管理是網(wǎng)絡(luò)安全態(tài)勢的兩大基礎(chǔ)。同時，人員、應(yīng)用程序和系統(tǒng)登錄的方式以及它們彼此集成的方式也是業(yè)務(wù)利益相關(guān)者的可見觸點(diǎn)。安全專家無疑像在走鋼絲，以努力尋求可用性和安全性方面的平衡。

薄弱的IAM控制和身份驗(yàn)證機(jī)制使企業(yè)面臨攻擊、帳戶受損和安全可見性受限等風(fēng)險(xiǎn)，嚴(yán)重的話甚至還會擾亂業(yè)務(wù)流程。

IAM工具變化形勢

對于四處尋求IAM技術(shù)的組織來說，好消息/壞消息是，該領(lǐng)域已經(jīng)變得更加微妙和強(qiáng)大，尤其是在過去五年間。這些工具使得在混合和多云環(huán)境中管理身份、處理特權(quán)帳戶、獲得對登錄模式的更大可見性，以及基于風(fēng)險(xiǎn)因素進(jìn)行身份驗(yàn)證變得更加容易。

德勤風(fēng)險(xiǎn)和財(cái)務(wù)咨詢的董事總經(jīng)理Naresh Persaud表示：

“我們在IAM解決方案中看到了非常明顯的市場細(xì)分。無論解決方案可以通過AI簡化用戶體驗(yàn)、與云服務(wù)提供商集成以改進(jìn)工作負(fù)載管理，還是通過高級分析提供對IAM操作的更好洞察，如今的可用功能比以往任何時候都多，可供組織用于構(gòu)建強(qiáng)大的計(jì)劃?！?/p>

與此同時，隨著新功能呈現(xiàn)爆炸式增長，IAM市場也創(chuàng)造了數(shù)量驚人的子市場，其功能有時是獨(dú)立產(chǎn)品，有時是更廣泛平臺的一部分。隨著供應(yīng)商在該領(lǐng)域迅速融合，后者（更廣泛平臺的一部）變得越來越有可能，從而創(chuàng)造了子市場和功能的高度交叉。

托管服務(wù)提供商N(yùn)uspire的首席安全官（CSO）JR Cunningham解釋道：

“許多產(chǎn)品公司完全專注于身份治理和管理(IGA)，而其他公司則專注于特權(quán)訪問管理(PAM)，這兩者都是有效身份認(rèn)證計(jì)劃的關(guān)鍵要素。身份認(rèn)證可能是產(chǎn)品分布最廣泛的領(lǐng)域，業(yè)內(nèi)有許多參與者都提供多因素身份驗(yàn)證(MFA)技術(shù)。對于一個組織來說，定義他們當(dāng)前的能力和要求以確保他們能夠選擇滿足其需求的產(chǎn)品至關(guān)重要?！?/p>

建立身份認(rèn)證計(jì)劃

Cunningham解釋稱，構(gòu)建身份認(rèn)證計(jì)劃和選擇平臺需要一系列決策，如果組織能夠按照正確的順序進(jìn)行決策，通常會取得最大的成功。例如，缺乏強(qiáng)大的基本身份認(rèn)證功能（例如多因素身份認(rèn)證[MFA]和單點(diǎn)登錄[SSO]功能）的組織將難以支撐特權(quán)訪問管理（PAM）。同樣地，缺乏這兩個組件以及定義良好的員工身份管理流程的組織，也將無法從身份治理和管理平臺（IGA）中獲得全部價(jià)值。成功的組織會“按順序”行事：身份驗(yàn)證、特權(quán)訪問管理（PAM）/特權(quán)身份管理（PIM）、身份治理和管理平臺（IGA）。

在組織評估身份認(rèn)證技術(shù)時，Persaud還建議考慮跨組織的應(yīng)用程序組合、業(yè)務(wù)線和用戶群擴(kuò)展部署的問題。他解釋稱，部署IAM平臺時面臨的最大挑戰(zhàn)之一就是大規(guī)模部署。雖然IAM工具在集成并連接到更多應(yīng)用程序時絕對可以提供更多價(jià)值，但除非組織采用可預(yù)測、可重復(fù)的方法來擴(kuò)展運(yùn)營，否則很難實(shí)現(xiàn)這種價(jià)值。特別是，當(dāng)他們使用面向服務(wù)的運(yùn)營模式來擴(kuò)展IAM平臺時，它將幫助應(yīng)用程序所有者、利益相關(guān)者和業(yè)務(wù)線領(lǐng)導(dǎo)者在努力擴(kuò)展IAM使用和實(shí)現(xiàn)其價(jià)值時都得到支持。

IAM工具

以下是IAM領(lǐng)域的一些頭部競爭者：

Avatier

憑借在IT服務(wù)管理（ITSM）和幫助臺領(lǐng)域的悠久歷史，Avatier主要依靠在自動化用戶配置和密碼管理方面的深厚根基來交付其IGA平臺。最近，該公司在現(xiàn)代化工作中投入了大量資金，將其Identity Anywhere平臺構(gòu)建為可以云托管或非托管的容器化解決方案。其更新版本增加了無密碼SSO支持和跨移動、云和協(xié)作平臺（包括Slack、Teams和ServiceNow）的通用用戶體驗(yàn)。它支持連接到90多個企業(yè)和5000個云應(yīng)用程序和平臺，以及用于定制集成的通用低代碼/無代碼連接器。

這是一個備受分析師青睞的平臺，自稱是Forrester Wave或Gartner魔力象限等矩陣中“面向市場領(lǐng)導(dǎo)者的更實(shí)惠的解決方案”。

BeyondTrust

作為PAM利基市場的中流砥柱，BeyondTrust通過并購和內(nèi)部創(chuàng)新，持續(xù)增強(qiáng)其管理特權(quán)賬戶、云授權(quán)和IT機(jī)密的能力，并增加了許多新功能。除了PAM之外，該公司的平臺還通過其Active Directory Bridge技術(shù)為遠(yuǎn)程訪問、跨Windows和Mac以及Unix和Linux的端點(diǎn)權(quán)限管理提供集中管理能力。

它現(xiàn)在也是云基礎(chǔ)設(shè)施授權(quán)管理（CIEM）領(lǐng)域——PAM的自然分支——的參與者，通過其更新的Cloud Privilege Broker技術(shù)來管理跨多云環(huán)境的權(quán)限。據(jù)Gartner分析師稱，這是一家與合規(guī)和審計(jì)領(lǐng)域有著密切聯(lián)系的供應(yīng)商，區(qū)別之一在于其報(bào)告和可視化能力；客戶可以通過該公司的BeyondInsight分析包進(jìn)行高級分析。

CyberArk

根據(jù)Forrester Research的數(shù)據(jù)顯示，通過將PAM與身份認(rèn)證即服務(wù)（IDaaS）交付相結(jié)合，CyberArk已成為收入最高的PAM供應(yīng)商。2020年，它通過收購Idaptive鞏固了自己在SaaS領(lǐng)域的地位，并推出了員工SSO和端點(diǎn)MFA、客戶身份管理功能、無密碼選項(xiàng)和用于帳戶管理的自助服務(wù)功能。Gartner分析師指出，CyberArk某些員工用例的定價(jià)可能遠(yuǎn)高于平均水平。它具有強(qiáng)大的分析能力，可以為更成熟的安全指標(biāo)程序提供數(shù)據(jù)。它還提供基于風(fēng)險(xiǎn)的身份驗(yàn)證（RBA），管理員可以針對高中低風(fēng)險(xiǎn)容忍度進(jìn)行微調(diào)。

CyberArk還通過其Cloud Entitlements Manager平臺提供成熟的云基礎(chǔ)設(shè)施授權(quán)管理（CIEM）功能，包括權(quán)限暴露風(fēng)險(xiǎn)評分，該平臺適用于大規(guī)模和多云環(huán)境。在身份認(rèn)證即服務(wù)（IDPaaS）方面，F(xiàn)orrester表示，對于那些想要“將基于風(fēng)險(xiǎn)的方法應(yīng)用于IDaaS”并將其與特權(quán)身份管理功能同步的組織來說，CyberArk是個很好的選擇。不過，該分析師還警告稱，其性能方面可能存在問題，理由是最近的服務(wù)降級事件和缺乏產(chǎn)品可擴(kuò)展性的可靠記錄。

ForgeRock

作為融合身份產(chǎn)品價(jià)值的典型代表，F(xiàn)orgeRock將員工、用戶和物聯(lián)網(wǎng)設(shè)備身份的訪問管理整合到一個產(chǎn)品集中，可以通過其身份認(rèn)證即服務(wù)（IDPaaS）交付模型進(jìn)行捆綁或解耦。該平臺包括強(qiáng)大的身份治理組件，適用于尋求身份生命周期管理等IGA功能的人。同時，它在有遠(yuǎn)見的開發(fā)人員和DevOps人群中也特別受歡迎，不僅因?yàn)樗脑苾?yōu)先原則，還因?yàn)樗鼜?qiáng)大的REST API框架、開發(fā)人員工具、社區(qū)和API訪問控制。

Gartner分析師最近指責(zé)Forgerock的分析能力低于其他訪問管理族群的平均水平，這主要是因?yàn)槠駷橹?，它仍無法提供自己在2020年的路線圖中所承諾的用戶和實(shí)體行為分析（UEBA）能力。

Microsoft Azure Active Directory

據(jù)Forrester分析師稱，微軟正憑借其Microsoft Azure Active Directory產(chǎn)品迅速進(jìn)入IAM競爭者名單，該產(chǎn)品擁有強(qiáng)大的IDaaS安裝基礎(chǔ)——超過300,000名付費(fèi)客戶。Gartner將Azure AD在這方面的快速增長歸因于，它在2020年與Microsoft 365和Microsoft Enterprise Mobility and Security（EMS）的捆綁操作，數(shù)據(jù)顯示，此舉使該產(chǎn)品的安裝基數(shù)翻了一番。

它還通過內(nèi)部創(chuàng)新迅速加快了PAM和IGA功能的發(fā)展速度，以及通過收購CloudKnox Security獲得了CIEM功能。不過，Gartner分析師指出，Azure AD的功能仍然落后于訪問管理領(lǐng)域的其他領(lǐng)導(dǎo)者。

Okta

盡管Okta在最近的數(shù)據(jù)泄露事件中名譽(yù)受損，但不可否認(rèn)，它仍然是IAM領(lǐng)域的重要選擇之一。自2009年成立以來，Okta一直是一家“以云為中心”的企業(yè)——當(dāng)時云部署仍然是許多企業(yè)的邊緣用例。其SaaS平臺提供了一系列捆綁或獨(dú)立的功能，可在混合和復(fù)雜的多云環(huán)境中工作，包括SSO、MFA、API訪問管理、生命周期和用戶管理，以及身份自動化和工作流編排。

它擁有市場上最強(qiáng)大的API和連接器生態(tài)系統(tǒng)之一，去年針對Auth0的收購活動也使其在客戶IAM領(lǐng)域的地位得以鞏固。此外，它還通過去年發(fā)布的Okta Privileged Access平臺順利進(jìn)入PAM領(lǐng)域。

One Identity

在去年收購OneLogin之前，One Identity一直是一家PAM和IGA供應(yīng)商，擁有豐富的企業(yè)友好型功能集，且深深植根于本地IAM領(lǐng)域。同時，OneLogin還是對價(jià)格敏感且無需大量管理或治理功能的中小型組織的輕量級、純IDaaS選項(xiàng)之一。

根據(jù)Forrester的看法，將OneLogin納入其中使得One Identity有機(jī)會加入IDaaS競爭行列，并將自己與不具備原生PAM或IGA功能的供應(yīng)商區(qū)分開來。這與CyberArk對Idaptive的收購活動有異曲同工之妙。不過，此次結(jié)合仍處于早期階段，因此One Identity將如何整合OneLogin技術(shù)并交叉融合雙方的功能優(yōu)勢還有待觀察，也不清楚合并會不會影響OneLogin產(chǎn)品的定價(jià)。

Ping Identity

Ping Identity通過結(jié)合Ping One（IdaaS平臺）和PingFederate（聯(lián)合SSO）跨越了SaaS和本地IAM之間的鴻溝。除了標(biāo)準(zhǔn)的員工和用戶IAM功能（如SSO、MFA和云身份功能）之外，PingOne還通過過去兩年進(jìn)行的一系列收購將去中心化身份功能分層。Ping最近還開發(fā)了一個低代碼流程設(shè)計(jì)器并加強(qiáng)了RBA。

正如Gartner解釋的那樣，Ping不是一個完整的IAM一站式平臺，它對身份管理功能涉入不深，這也使其對小型組織或那些尋求嵌入式IGA或PAM功能的組織不太受用。

SailPoint

作為IGA市場的中堅(jiān)力量，SailPoint專為具有復(fù)雜環(huán)境的分布式企業(yè)而設(shè)計(jì)，這些企業(yè)需要復(fù)雜的自動化和集成功能，通過改進(jìn)配置、分析和基于風(fēng)險(xiǎn)的身份組合治理，幫助將身份認(rèn)證計(jì)劃成熟度提升到一個新的水平。

Forrester表示，SailPoint平臺在用戶生命周期管理、合規(guī)性管理、與應(yīng)用程序的強(qiáng)大集成以及對IAM系統(tǒng)的支持方面表現(xiàn)最佳。

原文鏈接：https://www.csoonline.com/article/3616829/8-top-identity-and-access-management-tools.html?upd=1654069253941