En 400-6655-581
5
返回列表
> 資源中心 > 文章>產(chǎn)品>IAM(身份與訪問控制)> 技術(shù)干貨 | IAM產(chǎn)品選型三步曲

技術(shù)干貨 | IAM產(chǎn)品選型三步曲

文章

2020-01-22瀏覽次數(shù):301

《孫子兵法》“勝兵先勝而后求戰(zhàn),敗兵先戰(zhàn)而后求勝”。意思是“能取勝的軍隊,總是先創(chuàng)造取勝的條件,然后才同敵人決戰(zhàn),失敗的軍隊總是冒然開戰(zhàn),然后祈求僥幸取勝”。

 

目前,物聯(lián)網(wǎng)技術(shù)、人工智能技術(shù)、云計算等技術(shù)崛起,為網(wǎng)絡(luò)空間發(fā)展建設(shè)帶來更多機遇,網(wǎng)絡(luò)安全也遇到了前所未有的威脅與挑戰(zhàn)。尤其對于企業(yè)而言,越來越多的業(yè)務(wù)應(yīng)用開始依托云端構(gòu)建,使得云端平臺儲存的數(shù)據(jù)資源變得日益龐大,價值也不斷攀升。一旦儲存的數(shù)據(jù)泄露或遭到攻擊,將對一家甚至多家企業(yè)造成難以估量的損失。

 

 

 

 

身份安全導(dǎo)致數(shù)據(jù)泄露

 

而數(shù)據(jù)泄露的源頭可能是內(nèi)部員工有意或無心的操作,也可能是來自外部攻擊。在此種環(huán)境下,零信任概念應(yīng)運而生。在零信任網(wǎng)絡(luò)結(jié)構(gòu)下,任何人、事、物想要進入訪問網(wǎng)絡(luò),都需要經(jīng)過全面嚴(yán)密的身份驗證,構(gòu)建網(wǎng)絡(luò)安全的第一道屏障。

 

不過,傳統(tǒng)的身份驗證體系已經(jīng)難以滿足日新月異的網(wǎng)絡(luò)發(fā)展,更難以確保訪問者身份的安全性,因此,構(gòu)建新型身份安全理念、架構(gòu),優(yōu)化身份安全驗證體系勢在必行。

 

隨著國家新一版的《網(wǎng)絡(luò)安全法》的頒布,和《網(wǎng)絡(luò)安全等級保護2.0》的執(zhí)行,很多企業(yè)對身份安全管理變成了一個強需求,但是大部分企業(yè)對于身份安全IAM產(chǎn)品了解不夠全面就盲目上線,自己無法掌握,對軟件公司過分依賴,以及對身份安全項目評價比較樂觀,管理配合不到位等導(dǎo)致項目失敗。因此客戶在選擇IAM產(chǎn)品時就需要具備火眼金睛,來選出適合自己,相對比較成熟的IAM產(chǎn)品。

 

 

 

 

 

 

本文主要就是從IAM選型角度來分析。

 

 

 
選型第一步
 

 

考察方式:參加過IAM廠家的活動或者看過兩次講解,對IAM產(chǎn)品了解不夠全面,僅僅認(rèn)為是簡單的單點登錄,或者認(rèn)為僅僅是多了一種多因素認(rèn)證。

 

此時決定:兇多吉少,項目失敗率較高,或者做的程度很淺,達不到真實管理需求,前期沒有充分準(zhǔn)備,項目付出成本較高。

 

正確方式:通過初步了解,認(rèn)識到身份安全的重要性,了解上IAM系統(tǒng)的價值所在,結(jié)合企業(yè)自身的情況,初步判斷自身的需求。通過此步一般能了解到如下信息:

 

1、國內(nèi)外由于身份管理不到位導(dǎo)致的企業(yè)敏感數(shù)據(jù)日益增多;

2、國內(nèi)外均出具相應(yīng)的法律法規(guī)來保障身份安全,如歐盟的GDPR和國內(nèi)的等保;

3、企業(yè)缺乏統(tǒng)一身份認(rèn)證以及更高級別的安全認(rèn)證;

4、建立統(tǒng)一的身份管理,實現(xiàn)賬號的全生命周期管理服務(wù)企業(yè)內(nèi)部標(biāo)準(zhǔn)規(guī)范;

5、建立員工自助服務(wù)平臺,減少運維工作量;

6、實現(xiàn)員工行為審計,服務(wù)內(nèi)部審計要求;

7、實現(xiàn)單點登錄,方便員工操作及提升安全;

8、實現(xiàn)一點清權(quán)等操作,降低安全風(fēng)險。

 

基于以上的了解,還不夠全面,僅僅知道了需要這樣的產(chǎn)品,但是究竟是選擇什么樣的合作伙伴來實施這個項目,還需要進一步選型。

 

 

 
選型第二步
 

 

考察方式:除了看廠家的產(chǎn)品演示,還參觀過廠家的案例客戶,多方面橫評。對IAM產(chǎn)品有一定了解,對各廠家客戶情況了解。

 

此時決定:勝負(fù)各半,只看別人的效果,很難和自身企業(yè)結(jié)合起來。甚至軟件公司與案例客戶結(jié)合起來,夸大產(chǎn)品功能和效果。

 

正確方式:通過觀察各個廠家的演示及案例參考,對各個廠家有了進一步的了解,應(yīng)通過此步了解如下信息:

 

1、廠商系統(tǒng)架構(gòu)是否服務(wù)公司未來架構(gòu)要求,例如:微服務(wù)架構(gòu)等;

2、隨著互聯(lián)網(wǎng)發(fā)展,必定有API暴露于外網(wǎng),知否具備API認(rèn)證及API網(wǎng)關(guān);

3、內(nèi)部存在著CS系統(tǒng),是否支持CS系統(tǒng)認(rèn)證;

4、內(nèi)部有些系統(tǒng)只支持某種瀏覽器,系統(tǒng)是否支持夸瀏覽器的系統(tǒng)訪問;

5、系統(tǒng)的安全性如何,是否通過了一些國家級的安全滲透攻擊;

6、產(chǎn)品廠商客戶數(shù)量如何,成功案例數(shù)是否較多;

7、產(chǎn)品廠商實施能力如何,是否具備良好的售后服務(wù)能力;

 

通過以上信息的了解,其實已經(jīng)對IAM產(chǎn)品有了很清晰的認(rèn)識,也對各個廠商有了清楚的認(rèn)知,但還遠遠不夠,因為IAM產(chǎn)品是內(nèi)部所有系統(tǒng)源頭,不能出現(xiàn)任何問題,此時做出決定只能說是勝負(fù)各半,所以我們要進行進一步的了解。

 

 

 
選型第三步
 

 

考察方式:除了完成以上兩個階段,還要進行POC,找出幾個經(jīng)典場景,例如:智能風(fēng)險因子、跨瀏覽器登錄、微服務(wù)架構(gòu)部署、API安全認(rèn)證、CS系統(tǒng)集成等,讓軟件公司現(xiàn)場開發(fā),自己從側(cè)面評估工作量和實現(xiàn)技術(shù)手段,以及顧問的專業(yè)水平。

 

此時決定:已經(jīng)進行了很專業(yè)、很全面的了解,成功把握較大,不會被表象迷惑,失敗率較低。

 

正確方式:通過廠家的介紹、POC,親自試用,通過系統(tǒng)的集成,服務(wù)框架的部署,并親自體驗產(chǎn)品的功能和穩(wěn)定性,評估對接的工作量和難度。通過此步了解到的信息:

 

1、系統(tǒng)穩(wěn)定性;

2、功能易用性;

3、廠商的實現(xiàn)方式;

4、工作量的大??;

5、集成的難易程度;

6、之前溝通過程中承諾的功能是否屬實;

7、廠商的顧問的專業(yè)水平。

 

通過以上步驟的選型,并向高層說明實施IAM產(chǎn)品重要性,并得到領(lǐng)導(dǎo)的支持。此時決定,在充分評估供應(yīng)商產(chǎn)品、功能以及售后服務(wù)能力低情況下,項目失敗的風(fēng)險相對就比較低了。