白皮书

身份和访问管理的挑战与优势

Updated February 24, 2016
  • Share via AddThis

概述

对稳健的身份和访问管理 (IAM) 策略的需求已经成为企业 IT 的一个组成部分。强大的 IAM 解决方案可以使企业提高员工的生产力,并提升其整体安全态势。然而,云计算的发展和越来越多的分布式移动办公人员使 IAM 日趋复杂。

负责认证用户身份和管理企业资源访问的组织团队如同走钢丝的人,他们必须在确保企业拥有稳健的安全控制,和简化认证程序以提高用户生产力之间找到一个微妙的平衡点。归根结底,企业的存在就是为了向客户提供价值,而 IAM 是确保员工既能提供这份价值,又能为企业声誉、安全或底线提供保障的重要组成部分。

在考虑采用或改变 IAM 策略时,企业必须了解身份认证和管理企业应用访问的一些最重要趋势。IAM 的总体环境正变得越来越复杂,而且必须与时俱进,才能跟上安全威胁的发展速度,这给用户和管理员带来了独特的挑战。整体 IAM 解决方案中最重要的元素,包括集中式访问管理、自动化、报告和安全策略的上下文应用,可以帮助企业应对这些挑战,同时适应动态增长。

当今的身份和访问权限管理

企业依靠敏捷的系统来适应不断变化的挑战,审时度势以把握全新机遇。速度是第一位的,因此 IT 人员面临的压力在于当用户产生需要时,要快速、无缝地提供信息资源。然而,与这种按需访问的愿望相对应的是让 IT 经理们夜不能寐的现实安全问题。面对传统安全边界内外对关键应用的攻击,企业必须确保对访问进行严格监管,以保证数据安全。

IAM 策略在各个部门之间往往孤立无援,包括信息安全、应用开发和监管合规。由于每个部门经常定制最适合其业务目标的访问权限,因此企业的 IT 要求经常得不到落实。这种拼凑的 IAM 策略可能会导致访问权限授予和撤销处理不当、生产力损失,甚至安全漏洞。

虽然实施全面的 IAM 策略可能比简单的技术部署复杂得多,但如果操作得当,企业可以实现有形的商业价值,包括提高运营效率、简化监管合规和提高员工满意度。然而,要成功部署一个稳健的 IAM 解决方案,必须克服几大问题。

挑战和解决方案

今天的企业 IT 部门面临着越来越复杂的挑战,既要利用用户和请求的上下文信息,提供对信息资源的细粒度访问,同时又要成功限制对企业敏感数据的未经授权访问。

挑战:日益分散的员工队伍

企业招聘和留住最优秀人才的方法之一是消除地理位置的限制,提供灵活的工作环境。远程工作团队可以让企业在提高生产力的同时,还能控制开支,并将员工从传统的办公环境中解脱出来。然而,由于员工分散在全国各地甚至全世界,企业 IT 团队面临着更为严峻的挑战:在不牺牲安全性的前提下,保持员工连接企业资源的一致体验。移动计算的发展意味着 IT 团队对员工工作实践的可见性和控制力的下降。

解决方案

一个全面的、集中管理的 IAM 解决方案将对分布式工作团队所需的可见性和控制力还给企业 IT 团队。

挑战:分布式应用

随着基于云和软件即服务 (SaaS) 应用的增长,用户现在可以随时随地使用任何设备登录关键业务应用,如 Salesforce、Office 365、Concur 等。然而,随着分布式应用的增加,管理这些应用的用户身份的复杂性也在上升。如果没有一种无缝的方式来访问这些应用,用户就需要在密码管理上费心费力,而 IT 部门则面临着支持成本因用户不满而不断上升。

解决方案

无论关键应用是托管在传统数据中心、私有云、公有云,还是所有这些空间的混合组合,一个整体的 IAM 解决方案都能帮助管理员整合、控制和简化访问权限。

挑战:高效处理访问权限

如果没有一个集中的 IAM 系统,IT 人员就必须手动授予访问权限。用户在获取关键业务应用的访问权限上耗时越长,工作效率就越低。反过来说,如果不能撤销已经离开组织或调入不同部门的员工的访问权限,会造成严重的安全后果。为了关闭此类漏洞和风险的窗口,IT 人员必须尽快撤销此类员工对企业数据的访问权限。然而问题在于,在许多组织中,这意味着 IT 人员必须通过每个用户的帐户来了解他们可以访问哪些资源,然后手动撤销该访问权限。手动授予和撤销访问权限是重体力劳动,而且容易出现人为错误或疏忽。特别是对于大型组织来说,这不是一种高效或可持续的管理用户身份和访问的方式。

解决方案

一个稳健的 IAM 解决方案可以完全自动处理授予和撤销访问权限的过程,让 IT 部门可以充分掌控员工、合作伙伴、承包商、供应商和访客的访问权限。自动授予和撤销访问权限能够加快执行强有力的安全策略,同时有助于消除人为错误。

挑战:自携设备 (BYOD)

对于今天的企业来说,管理或不管理并不是一个二选一的题目。员工、承包商、合作伙伴和其他人员出于工作和个人原因带来个人设备并连接到企业网络。BYOD 的挑战不在于是否将外部设备接入企业网络,而在于 IT 部门是否能够迅速做出反应,以保护组织的业务资产,同时不影响员工的生产力,并提供选择的自由。几乎每家公司都有某种 BYOD 政策,允许用户从自己的设备上访问安全资源。然而,在移动设备上访问内部和 SaaS 应用可能比从联网的笔记本电脑或台式机工作站访问更麻烦。此外,IT 人员可能难以管理谁有访问公司数据的权限,以及他们使用哪些设备来访问数据。

解决方案

企业必须根据企业准则或监管合规制定一项策略,实现快速、简单、安全地授予和撤销对员工和企业拥有的移动设备上的企业应用的访问权限。此外,诸如物联网趋势等技术转变要求企业 IT 团队部署能够扩展的解决方案,以应对等待访问企业网络的设备所带来的冲击。

挑战:密码问题

基于云的应用的增长意味着员工必须记住越来越多的密码,这些应用可能会跨域并使用许多不同的身份验证和属性共享标准与协议。当员工花费越来越多的时间来管理由此产生的密码列表时,用户的挫败感就会上升,某些应用可能需要每 30 天就更换一次密码。此外,当员工在密码方面遇到问题时,他们通常会联系 IT 人员寻求帮助,这可能会迅速和反复地消耗重要资源。

解决方案

当联合用户身份并将安全单点登录 (SSO) 功能扩展至 SaaS、基于云、基于 Web 和虚拟应用时,密码问题对于企业而言便已成为过去。SSO 能够跨多个域以及各种身份验证和属性共享标准与协议集成密码管理。

挑战:监管合规

合规性和公司治理问题仍然是 IAM 支出的主力。例如,提供《萨班斯-奥克斯利法案》所要求的企业治理数据的大部分责任落在了 IT 部门身上。确保对流程的支持,如确定特定员工的访问权限、跟踪管理层对扩大访问的批准,以及记录谁访问了哪些数据以及何时访问,可以大大减轻监管合规的负担,并确保审计流程的顺利进行。

解决方案

一个强大的 IAM 解决方案可以支持遵守监管标准,如《萨班斯-奥克斯利法案》、HIPAA 和支付卡行业数据安全标准 (PCI DSS)。特别是,自动化审计报告的解决方案可以简化监管合规的流程,还可以帮助生成证明合规性所需的综合报告。

结论

安全、效率、简单、生产力、合规性。虽然部署一个稳健的 IAM 解决方案的好处显而易见,但实施的成本和复杂性可能会让最用心良苦的组织望而却步。然而,当企业考虑到潜在的安全漏洞的成本,或了解到手动授予和撤销对企业资源访问权限不可避免的低效率时,当务之急也就不言而喻了:现在是时候建立一个集中的 IAM 团队,以制定和执行整个组织的身份和访问管理策略。

传统的安全边界正在缩小。企业在寻找 IAM 解决方案时,必须考虑到员工的移动性越来越强、应用网络高度分散和复杂的现实情况。一个稳健的 IAM 解决方案可以减少管理上的痛点,简化访问权限的授予和撤销工作,提高用户的生产力,同时降低成本、减少 IT 需求,并为企业提供全面的数据,以协助遵守法规标准。

此外,企业可以通过部署具有强大的多重身份验证的解决方案来确保安全,同时通过 SSO 提供对基于云的应用的无缝访问来消除用户的挫败感。此外,随着身份和访问管理变得越来越复杂,基于细化的上下文信息创建策略的能力将变得越来越重要。能够根据用户身份、位置、设备和所请求的资源收集信息并做出决定的 IAM 解决方案,将使企业能够向真正的员工、合作伙伴、承包商或访客提供快速访问,并轻松撤销或拒绝未经授权的用户的权限。