三種身份訪問管理部署模式：哪種最適合您的組織？

如今，身份和訪問管理（IAM）平台已經成為企業網路安全計劃的重要組成部分。它們通過基於角色的控制，來幫助企業組織管理數字身份以及用戶對組織內系統、網路和關鍵信息的訪問行為。

任何希望利用IAM的企業組織都會遇到這樣一個關鍵的問題：IAM最佳部署模式是什麼？可以說，每種IAM部署模式都是獨一無二的，但仍然存在3種最主要的模式：現場部署、雲端部署以及混合環境部署。這三種模式都有其獨特優勢，但同時也都存在弊端。

以下是企業組織在利用這些模式時可能會面臨的一些挑戰，以及管理它們的最佳實踐：

3種IAM部署模式分析

1. 現場（on-premises）部署IAM

現場部署模式下，大多數IAM解決方案都需要佔用大量的基礎架構和平台。田納西州健康保險公司BlueCross BlueShield（正在使用由Ping Identity提供的IAM產品）的信息安全經理Tim Skinner表示，提供持續的可用性及支持，以及從一家提供商的產品切換到另一家可能都會十分困難。

Skinner進一步補充道，現場部署IAM的另一項挑戰是，IAM解決方案升級未必會被安全人員列為優先順序事項，此外，現場部署產品還需要大量專業人員來運營和監控IAM堆棧，如此一來，無疑是為本就人員短缺的企業造成了額外壓力。

身份和訪問管理提供商Auth0的首席信息安全官Joan Pepin表示，過去，所有商業應用程序都會安置在企業防火牆的「內部」，網路邊界十分明顯。而現在，許多公司正在通過公共雲使用多種軟體即服務（SaaS）產品，將其自身數據暴露給面向Web的應用程序，並允許用戶使用各種設備（如智能手機等）遠程訪問軟體。

Pepin說，

這種現象為身份驗證解決方案的安全性和性能造成了巨大的壓力。在現場部署解決方案中，硬體規模、容量規劃與管理，以及資料庫管理都將是尤為重要的內容。

Pepin表示，如果說企業組織在人力、財力、物力等方面都已經配置齊全，且已經針對各種可能存在的問題做好了充分準備，那麼現場部署可能會是一個不錯的選擇。但如果不是這樣的話，僅僅為了身份驗證需求就投入這麼多，可能並不是最好的選擇。

解決現場部署挑戰的最佳方法，是投入時間和精力來全面收集公司需求，並從頭開始創建一套周密嚴謹的方法，該方法需要考慮到公司所有利益相關者、當前及未來的集成、用例及功能方面的內容。其中應包含數據中心容量規劃，以及對業務的地理分布及性能方面的透徹理解。

Skinner表示，企業組織可能還會考慮實施私有雲基礎設施即服務（IaaS）和平台即服務（PaaS）產品。這能確保公司在保持控制及資產完全自有的基礎上，還享有混合方法的種種好處。

2. 雲端部署IAM

Skinner表示，基於雲的IAM所面臨的挑戰是缺乏經驗豐富的雲系統安全專家。由於缺乏專業人員而產生的錯誤實踐所導致的信息安全風險增加，可能會為這種模式帶來不必要的後果。

此外，利用SaaS訪問控制系統需要現場協調符合當前安全身份驗證和授權標準。公司還需清楚如何配置和集成現場系統與雲IAM系統。

如果貴公司有保證生產數據不被非生產環境雲租戶訪問的策略和實踐，那麼某些SaaS應用可能會要求公司的策略稍作修改。如果說一個SaaS產品允許自定義，你應該如何進行開發、測試和部署呢？它會與您當前的部署和自動化團隊的流程及工具保持一致嗎？

Skinner表示，使用雲模式，您必須要清楚自己正在做什麼，以及為什麼這麼做。他說，

單純採納雲優先策略，必將迎來痛苦的體驗和遺憾。解決IAM雲挑戰最重要的方法是構建一個連貫的雲戰略，可以與您的IAM需求、預算、人力資源要求、技術及人力限制，以及IAM架構保持一致。

企業組織必須能夠根據預期衡量結果，並願意基於自己的指標接受方向上的變化。對此，Skinner解釋稱，

您的IAM雲策略必須支持貴公司的IAM目標，並能在企業文化的約束下存活。

Pepin表示，雲部署是最安全最無縫的模式，但確保有效集成可能會存在一些挑戰。他說，

雲模式面臨的困難之一就是得確保公司正確設計並實現了安全及合規控制，例如訪問控制、日誌記錄和監控等。您在現場部署中的所有控制目標都可以在雲部署中實現，但往往需要一套不同的方法和工具。

Pepin補充道，另一個困難是跨多個獨立公司的身份管理。這有可能導致一家企業中存在多種身份，造成安全和管理上的複雜化。他說，

可靠的身份即服務（IDaaS）平台可以解決與雲系統相關的身份挑戰。通過將獨立的平台服務整合到您的環境中，就可以輕鬆地完成容量規劃、硬體、核心功能開發等工作，將公司人員解脫出來去處理與終端用戶體驗有關的問題。此外，它還能使管理層專註於組織整體戰略中最有價值的專業技能和知識產權的核心領域，同時將IAM的複雜性留給外部專家。

3. 混合IAM平台部署

Pepin表示，混合IT模式是許多正在進行數字化轉型的企業組織會採取的第一步措施。她說，「相比完整的私有雲，混合模式對資金和資源的要求都沒那麼高，使其能夠在技術人員中流行開來。」

混合部署可以幫助組織彌合現場部署和雲部署之間的差距，為組織提供雲環境的可擴展性和其他功能之餘，也能保持現場部署情況下企業安全部門的業務熟練度。

不過，在這種情況下，管理成本和技術複雜性會相對更高一些，並且還需要一個全面的架構才能實現無縫工作。想要獲得混合部署的成功，就需要有全面細緻的設計和對選擇混合模式想要達到的目標的深入理解。

除此之外，了解哪些工具和介面屬於哪個區域，以及為什麼要這麼部署，是最好的開始方式。然後，還需要確保貴公司的運營過程和操作手冊考慮到該部署模式下增加的故障處理及維護複雜度，這對於混合部署的成功運營至關重要。

Skinner表示，

確定公有雲服務和私有雲服務的使用水平可能會增加運營複雜性，而且與雲模式一樣，一旦操作有誤，混合環境的安全風險也可能會增加。

以Motorists保險集團為例，該公司採用的就是混合模式，雖然其在遺留應用上投入了很多，但其同時也致力於現代化並遷移到「雲優先、移動優」策略。

Motorists保險集團信息安全助理副總裁Tony DeAngelo表示，

我們擁有基於雲的應用程序，以及要求能夠為全聯邦用戶提供/取消供應的合作夥伴關係。同樣地，我們還有遺留應用，這些遺留應用不僅不支持現代身份驗證或供應，還需要特殊的連接器或不支持雲解決方案的特定編碼方式。混合解決方案對我們來說是必要的部署模式，不僅是出於運營目的，也是幫助我們實現理想的最終狀態的最佳選擇。

混合模式整合了其他兩種方式的各個方面（利和弊）。雖然它最大限度地提高了靈活性，但同時也需要額外的部署成本與管理開銷。

目前，Motorists公司對現場IAM實現了標準化，並將其集成到公司的遺留應用程序與門戶中。DeAngelo表示，

當我們展望未來時，我們知道公司需要一個敏捷的平台，可以讓我們更好的適應業務發展需求。為此，Motorists採取了三管齊下的方法，採用了來自SailPoint公司的配置和治理產品，來自Okta的單點登錄系統（SSO）和多因素身份驗證（MFA），以及來自CyberArk的特權訪問管理平台。這三種方法創造了一個符合公司IAM需求的混合平台，發揮了現場解決方案及雲解決方案各個組件的優勢，提供了我們所需的靈活性和廣泛適用性。

為了防止管理和成本成為公司的負擔，Motorists依靠標準和自動化，並貼合其持續發展的企業目標。這使得該公司可以更專註於支持業務和授權用戶，並減少系統維護和平台刷新所需的時間。

最後，DeAngelo強調，

總之，IAM解決方案必須符合您的企業文化，並能夠驅動業務發展。所以，您必須了解自己公司的方向，並與業務合作夥伴保持一致，以便他們提供所需的結果。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！