En 400-6655-581
5
返回列表
> 資源中心 > 文章>產(chǎn)品>IAM(身份與訪問(wèn)控制)> 技術(shù)干貨 | IAM產(chǎn)品選型三步曲

技術(shù)干貨 | IAM產(chǎn)品選型三步曲

文章

2020-01-22瀏覽次數(shù):287

《孫子兵法》“勝兵先勝而后求戰(zhàn),敗兵先戰(zhàn)而后求勝”。意思是“能取勝的軍隊(duì),總是先創(chuàng)造取勝的條件,然后才同敵人決戰(zhàn),失敗的軍隊(duì)總是冒然開(kāi)戰(zhàn),然后祈求僥幸取勝”。

 

目前,物聯(lián)網(wǎng)技術(shù)、人工智能技術(shù)、云計(jì)算等技術(shù)崛起,為網(wǎng)絡(luò)空間發(fā)展建設(shè)帶來(lái)更多機(jī)遇,網(wǎng)絡(luò)安全也遇到了前所未有的威脅與挑戰(zhàn)。尤其對(duì)于企業(yè)而言,越來(lái)越多的業(yè)務(wù)應(yīng)用開(kāi)始依托云端構(gòu)建,使得云端平臺(tái)儲(chǔ)存的數(shù)據(jù)資源變得日益龐大,價(jià)值也不斷攀升。一旦儲(chǔ)存的數(shù)據(jù)泄露或遭到攻擊,將對(duì)一家甚至多家企業(yè)造成難以估量的損失。

 

 

 

 

身份安全導(dǎo)致數(shù)據(jù)泄露

 

而數(shù)據(jù)泄露的源頭可能是內(nèi)部員工有意或無(wú)心的操作,也可能是來(lái)自外部攻擊。在此種環(huán)境下,零信任概念應(yīng)運(yùn)而生。在零信任網(wǎng)絡(luò)結(jié)構(gòu)下,任何人、事、物想要進(jìn)入訪問(wèn)網(wǎng)絡(luò),都需要經(jīng)過(guò)全面嚴(yán)密的身份驗(yàn)證,構(gòu)建網(wǎng)絡(luò)安全的第一道屏障。

 

不過(guò),傳統(tǒng)的身份驗(yàn)證體系已經(jīng)難以滿足日新月異的網(wǎng)絡(luò)發(fā)展,更難以確保訪問(wèn)者身份的安全性,因此,構(gòu)建新型身份安全理念、架構(gòu),優(yōu)化身份安全驗(yàn)證體系勢(shì)在必行。

 

隨著國(guó)家新一版的《網(wǎng)絡(luò)安全法》的頒布,和《網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0》的執(zhí)行,很多企業(yè)對(duì)身份安全管理變成了一個(gè)強(qiáng)需求,但是大部分企業(yè)對(duì)于身份安全I(xiàn)AM產(chǎn)品了解不夠全面就盲目上線,自己無(wú)法掌握,對(duì)軟件公司過(guò)分依賴,以及對(duì)身份安全項(xiàng)目評(píng)價(jià)比較樂(lè)觀,管理配合不到位等導(dǎo)致項(xiàng)目失敗。因此客戶在選擇IAM產(chǎn)品時(shí)就需要具備火眼金睛,來(lái)選出適合自己,相對(duì)比較成熟的IAM產(chǎn)品。

 

 

 

 

 

 

本文主要就是從IAM選型角度來(lái)分析。

 

 

 
選型第一步
 

 

考察方式:參加過(guò)IAM廠家的活動(dòng)或者看過(guò)兩次講解,對(duì)IAM產(chǎn)品了解不夠全面,僅僅認(rèn)為是簡(jiǎn)單的單點(diǎn)登錄,或者認(rèn)為僅僅是多了一種多因素認(rèn)證。

 

此時(shí)決定:兇多吉少,項(xiàng)目失敗率較高,或者做的程度很淺,達(dá)不到真實(shí)管理需求,前期沒(méi)有充分準(zhǔn)備,項(xiàng)目付出成本較高。

 

正確方式:通過(guò)初步了解,認(rèn)識(shí)到身份安全的重要性,了解上IAM系統(tǒng)的價(jià)值所在,結(jié)合企業(yè)自身的情況,初步判斷自身的需求。通過(guò)此步一般能了解到如下信息:

 

1、國(guó)內(nèi)外由于身份管理不到位導(dǎo)致的企業(yè)敏感數(shù)據(jù)日益增多;

2、國(guó)內(nèi)外均出具相應(yīng)的法律法規(guī)來(lái)保障身份安全,如歐盟的GDPR和國(guó)內(nèi)的等保;

3、企業(yè)缺乏統(tǒng)一身份認(rèn)證以及更高級(jí)別的安全認(rèn)證;

4、建立統(tǒng)一的身份管理,實(shí)現(xiàn)賬號(hào)的全生命周期管理服務(wù)企業(yè)內(nèi)部標(biāo)準(zhǔn)規(guī)范;

5、建立員工自助服務(wù)平臺(tái),減少運(yùn)維工作量;

6、實(shí)現(xiàn)員工行為審計(jì),服務(wù)內(nèi)部審計(jì)要求;

7、實(shí)現(xiàn)單點(diǎn)登錄,方便員工操作及提升安全;

8、實(shí)現(xiàn)一點(diǎn)清權(quán)等操作,降低安全風(fēng)險(xiǎn)。

 

基于以上的了解,還不夠全面,僅僅知道了需要這樣的產(chǎn)品,但是究竟是選擇什么樣的合作伙伴來(lái)實(shí)施這個(gè)項(xiàng)目,還需要進(jìn)一步選型。

 

 

 
選型第二步
 

 

考察方式:除了看廠家的產(chǎn)品演示,還參觀過(guò)廠家的案例客戶,多方面橫評(píng)。對(duì)IAM產(chǎn)品有一定了解,對(duì)各廠家客戶情況了解。

 

此時(shí)決定:勝負(fù)各半,只看別人的效果,很難和自身企業(yè)結(jié)合起來(lái)。甚至軟件公司與案例客戶結(jié)合起來(lái),夸大產(chǎn)品功能和效果。

 

正確方式:通過(guò)觀察各個(gè)廠家的演示及案例參考,對(duì)各個(gè)廠家有了進(jìn)一步的了解,應(yīng)通過(guò)此步了解如下信息:

 

1、廠商系統(tǒng)架構(gòu)是否服務(wù)公司未來(lái)架構(gòu)要求,例如:微服務(wù)架構(gòu)等;

2、隨著互聯(lián)網(wǎng)發(fā)展,必定有API暴露于外網(wǎng),知否具備API認(rèn)證及API網(wǎng)關(guān);

3、內(nèi)部存在著CS系統(tǒng),是否支持CS系統(tǒng)認(rèn)證;

4、內(nèi)部有些系統(tǒng)只支持某種瀏覽器,系統(tǒng)是否支持夸瀏覽器的系統(tǒng)訪問(wèn);

5、系統(tǒng)的安全性如何,是否通過(guò)了一些國(guó)家級(jí)的安全滲透攻擊;

6、產(chǎn)品廠商客戶數(shù)量如何,成功案例數(shù)是否較多;

7、產(chǎn)品廠商實(shí)施能力如何,是否具備良好的售后服務(wù)能力;

 

通過(guò)以上信息的了解,其實(shí)已經(jīng)對(duì)IAM產(chǎn)品有了很清晰的認(rèn)識(shí),也對(duì)各個(gè)廠商有了清楚的認(rèn)知,但還遠(yuǎn)遠(yuǎn)不夠,因?yàn)镮AM產(chǎn)品是內(nèi)部所有系統(tǒng)源頭,不能出現(xiàn)任何問(wèn)題,此時(shí)做出決定只能說(shuō)是勝負(fù)各半,所以我們要進(jìn)行進(jìn)一步的了解。

 

 

 
選型第三步
 

 

考察方式:除了完成以上兩個(gè)階段,還要進(jìn)行POC,找出幾個(gè)經(jīng)典場(chǎng)景,例如:智能風(fēng)險(xiǎn)因子、跨瀏覽器登錄、微服務(wù)架構(gòu)部署、API安全認(rèn)證、CS系統(tǒng)集成等,讓軟件公司現(xiàn)場(chǎng)開(kāi)發(fā),自己從側(cè)面評(píng)估工作量和實(shí)現(xiàn)技術(shù)手段,以及顧問(wèn)的專業(yè)水平。

 

此時(shí)決定:已經(jīng)進(jìn)行了很專業(yè)、很全面的了解,成功把握較大,不會(huì)被表象迷惑,失敗率較低。

 

正確方式:通過(guò)廠家的介紹、POC,親自試用,通過(guò)系統(tǒng)的集成,服務(wù)框架的部署,并親自體驗(yàn)產(chǎn)品的功能和穩(wěn)定性,評(píng)估對(duì)接的工作量和難度。通過(guò)此步了解到的信息:

 

1、系統(tǒng)穩(wěn)定性;

2、功能易用性;

3、廠商的實(shí)現(xiàn)方式;

4、工作量的大?。?/span>

5、集成的難易程度;

6、之前溝通過(guò)程中承諾的功能是否屬實(shí);

7、廠商的顧問(wèn)的專業(yè)水平。

 

通過(guò)以上步驟的選型,并向高層說(shuō)明實(shí)施IAM產(chǎn)品重要性,并得到領(lǐng)導(dǎo)的支持。此時(shí)決定,在充分評(píng)估供應(yīng)商產(chǎn)品、功能以及售后服務(wù)能力低情況下,項(xiàng)目失敗的風(fēng)險(xiǎn)相對(duì)就比較低了。