5大原因!解釋為什麼身份和訪問管理(IAM)成為企業主流

　　身份和訪問管理(IAM)是成熟的安全領域，但這並不意味著它是靜態的。雖然IAM通常與安全關聯，事實上，它是整體安全計劃的重要組成部分，很多人開始了解它代表的業務流程。事實可能是：它模糊了安全和運營之間的界線。

　　這個領域的最新趨勢表明IAM逐漸成為企業主流。在未來這一趨勢仍將繼續發展，下面5個方面表明IAM的重要性：

　　1、首席營銷官和營運長要求獲取IAM數據

　　谷歌、Facebook、Twitter和其他企業最重視什麼?答案是他們用戶群的信息。他們知道我們是誰、我們何時活躍以及所有我們的瀏覽習慣。他們使用這些信息來創建有針對性的廣告，並從中獲利。

　　並非所有公司對通過基於用戶行為的廣告獲利感興趣，但大多數公司都可從更好地了解用戶中受益。儘管IAM解決方案無法提供所有這些優勢，但它可提供最基本的數據點:用戶是誰——他們的身份。

　　最近我們開始看到首席營銷官和營運長要求獲取有關用戶的信息。在用戶目錄中有基本人口統計信息，這是很好的開始，但他們想要更多信息。他們想要會話和網站訪問信息。為了了解用戶是誰(姓名、電子郵件、電話號碼)以及追蹤他們登錄行為，需要獲取用戶目錄和網站訪問管理解決方案的數據。他們還想要通過用戶行為分析系統分析這些信息來了解用戶具體使用模式。

　　例如，對於汽車零部件零售商來說，數據可以顯示，大丹佛地區大約有50家汽車維修點經常在瀏覽其網站的制動液後放棄其購物車。這一趨勢可能是因為競爭對手提供更低的價格或者更多選擇。如果沒有這種水平的分析，不知道用戶是誰以及他們的位置，不可能得出這種類型的結論。

　　安全機會：這似乎是尚未達到臨界值的新需求。這給CISO提供了機會，因為CMO和COO可能有資金用於IAM計劃，並可影響董事會或其他高管考慮將IAM作為優先事項。這種情況還可能讓CISO有機會讓公司高管了解IAM的其他優勢，即提高安全性和運營效率。

　　2、內部威脅可被識別和阻止

　　大數據正開始被IAM團隊利用。通過對伺服器、網絡設備、中間件、IDS/IPS、漏洞管理解決方案及應用的訪問日誌和事件進行整理，企業可關聯這些活動並發現趨勢。而這可能需要大數據解決方案和安全專用工具。

　　這對於外部威脅非常有效，當有人入侵網絡或者部署惡意軟體時，大數據被證明很有效。現在CISO擁有可視性，並可在幾分鐘之內響應。現在攻擊者意識到內部用戶(特別是內部特權用戶)更有價值，那麼，我們如何利用這些數據來發現和應對內部威脅?

　　安全機會：這個方面的安全可通過四個基本活動來實現，技術上來看，我們已經有可用的工具，現在是時候利用這些工具。

　　1）. 確定你最有價值的資產(例如數據、應用程式)

　　2）. 發現並整合特權用戶存儲庫以了解這些用戶是誰

　　3）. 在中央安全情報和事件管理(SIEM)解決方案中收集關鍵基礎設施活動

　　4）. 確定每個用戶類型的預期活動，並創建運行用例以應對不符合預期的活動

　　3、基於雲的IAM解決方案已經達到成熟臨界值

　　在過去幾年，我們看到多種解決方案被發布，初創公司進入這個行業，大型公司試圖將其解決方案引入到雲計算，並且，其中很多企業未能實現宣稱的功能。不僅是因為該技術還沒有準備好，而且因為公司並不感興趣。我們很少看到業務需求和技術解決方案並行發展的情況。

　　實際上，企業仍需要根據80/20的原則來部署一套標準功能。幸運的是，在市場領導者的推動下，這些標準功能的數量和靈活性都已經提高。產品供應商看到這一趨勢，產品投資資金都明顯轉移到雲計算。

　　需要注意的是，有些基於雲的IAM供應商有重點領域。很少供應商會涵蓋所有IAM方面，因此他們會有一些局限性。企業有必要了解IAM的四個子域：身份數據、身份管理、訪問管理以及訪問執行。有些供應商專注於聯盟和身份驗證，有些則更擅長目錄複製，還有些專門負責配置和取消配置。

　　現在，基於雲的IAM解決方案中動態和直觀的基於web的工具已經取代管理界面，內部部署解決方案中都是這些複雜、胖客戶端或命令行工具。基於雲的解決方案具有點擊式配置和嚮導，它們允許客戶管理員用戶執行所有方面的管理工作。

　　與可用用例同樣重要的是集成功能。內部部署IAM解決方案的優勢包括安裝連接器、廣泛的網絡協議、自定義代碼功能和幾乎無限帶寬。領先的基於雲的IAM供應商正在試圖解決這一問題--通過採用專用網絡連接超越LDAPS/JDBC協議，以及利用應用編程接口(API)進行整合。軟體即服務(SaaS)操作服務也得到擴展，讓尚未由基於web工具管理的功能可通過提交變更請求單到SaaS操作團隊來配置。

　　也許部署基於雲IAM解決方案的最重要原因是穩定性、靈活的容量和運營成本降低。這些不再是SaaS供應商之間的區分因素;它們通常比內部部署解決方案更加穩定，更加可擴展。然而，成本優勢對於每個公司都各有不同，很多因素會影響到這個計算。根據筆者的經驗，還沒有看到基於雲的IAM解決方案成本高於內部部署解決方案。

　　安全機會：部署基於雲的IAM解決方案不是輕而易舉的事情，特別是對內部許可證、基礎設施和運營方面已經有很大投資時。如果存在這些投資，下一次升級或擴展周期才是考慮轉移到基於雲的IAM的時候。這樣做可讓企業部署標準化解決方案、簡化操作以及降低運營成本，同時利用前沿技術。

　　4、監管合規和審計不再是主要因素

　　基於IAM目前的成熟度水平，大多數企業的自動化IAM計劃和手動流程已經逐漸滿足監管和合規要求。在過去15年中，合規性一直是重要因素，企業做了大量公工作才可實現合規性。而現在，對技術和流程變化的需求已經下降，但這並不意味著，這個工作已經完成或者每個人都很開心。

　　大多數公司在審計和監管合規方面的投資已經發展到回報遞減的地步，或者他們根本沒有資金可用。有些公司在意識到成本和複雜性後，正從複雜的RBAC模式以及自動化職責分離(SoD)政策撤回。還有些公司發現手動流程足以滿足審計目的，而且更便宜，特別是使用離岸團隊。

　　不過，還是有公司在購買IAM，他們購買解決方案並支付年度維護費用，但在當前業務環境中，部署、整合和運營成本太高。這也是IAM影響IT和大多數後臺業務流程每個領域的根本事實，這使得全面部署成本高昂且耗時。並且，儘管出現基於雲的IAM，但這個根本事實沒有改變。

　　對此的重要警告是《一般數據保護條例(GDPR)》，雖然目前很少有公司在採取行動，也不清楚IAM的含義是什麼，但顯然，我們都需要看看我們如何讓用戶根據該條例來管理其身份信息。預計在未來6個月到一年時間內，這種情況會出現明顯的不同。

　　安全機會：儘管SOX、HIPPA、GLBA和其他監管計劃沒有消失(可能會改變，而不是被淘汰)，但它們不再是IAM計劃資金的推動因素。這並不是說沒有人問或者新規定不會發布。事實上，內部審計團隊和應用程式所有者仍然需要承擔繁重的訪問重新認證流程。此外，其他需求也正在填補這個需求的減少，因此我們仍然看到IAM投資呈上升趨勢。CISO仍然可依靠內部審計和業務部門利益相關者來推動和幫助IAM項目籌資。

　　5、聯合的爆炸式發展

　　聯盟和聯合單點登錄(SSO)現在是在應用領域提供SSO的標準機制。這些年以來，聯合是最迅速採用的標準之一。而最近它發展到新的水平：它成為企業和應用程式的默認身份驗證機制。這是因為SSO工具的普及和成熟、大型軟體包中對SAML的本地支持以及SaaS應用的部署。

　　同樣重要的是要記住，聯盟合作關係已經成為非常簡單的配置。在大多數SSO工具中，可通過類似嚮導的頁面在幾分鐘內添加。通過少量的投資和測試，就可輕鬆地添加和更改這些連接。甚至有些公司允許企業用戶在沒有安全團隊參與的情況下管理其應用的聯合。

　　對於很多公司來說，聯盟合作夥伴關係的數量和關鍵性變得不方便。五年前，一家公司可能有兩個或者四個聯盟合作關係，但現在有數百個，在相同端點有相同合作夥伴的副本，由不同業務部門使用。管理數百個配置非常具有挑戰，因此，筆者一直建議公司在處理聯盟合作關係時，與其他關鍵任務系統採用相同的管理控制。

　　安全機會：當一項技術達到這種部署水平和成熟度時，則可有機會取代較舊技術，並將聯盟作為技術部署的SSO標準，以及管理SSO整合的變更控制流程。如果安全團隊可實現這些目標，則可利用外包資源來管理這些配置。這可讓核心安全團隊更加關注更緊迫和複雜的問題。

　　雖然安全領域的很多變化讓我們的生活變得更加困難，但IAM可幫助我們提高業務水平、改善用戶體驗和提高運營效率。