作者:柯善学
《Gartner规划指南》系列报告旨在帮助组织中的技术专家,快速了解企业数字化转型的关键技术趋势,制定行动计划,评估架构选项。
《2020年规划指南》共包含十个分报告,整体概述见《2020年规划指南概述:构建数字化转型技能》。其中有两份安全报告,一个是已经介绍过的《2020年规划指南:安全和风险管理》;另一个就是本文将要介绍的《2020年规划指南:身份和访问管理》。
该系列报告原文非公开发布,请勿用于商业性用途。
Gartner关键论点:IT必须推进IAM(身份和访问管理)计划。IAM安全技术专家应关注无口令认证、价值驱动的IGA(身份治理和管理)、增强的消费者隐私要求、混合/多云环境的趋势。
笔者观点:身份和访问管理(IAM)应向零信任架构演进。另外,考虑到Gartner技术路线一贯的前瞻性或超前性,而国内安全基础尚有差距,建议在吸收Gartner先进理念时,仔细看清创新理念与现实基础之差距,注重前瞻性与回顾性兼顾,新探索和补基础兼顾,稳扎稳打、循序渐进。我们的基本观点参见《美军网络安全 | 第7篇:JIE(联合信息环境)启示和综述》的启示部分。
注1(研究背景):研究初衷为借鉴国外网络安全体系建设经验,找准国内网络安全基础的差距不足,形成可落地、工程化的安全规划和解决方案。研究不是我们的目的,我们的目的是指导落地。
注2(未来预告):我们将基于美军JIE(联合信息环境)和Gartner等的安全体系建设经验,紧密结合国内实际情况,找准差距不足,推出面向国内十四五规划的企业级安全规划和解决方案考虑。敬请关注。
《Gartner规划指南》十大领域(分报告)
关键词:IGA(身份治理和管理),ADaaS(活动目录即服务)
一、四大发展趋势导出四大规划趋势
四个特定的发展大趋势成为推动因素:
1)商业认证标准正在成熟:快速身份在线(FIDO)联盟经多年努力,发布其第二代认证规范(FIDO2)。FIDO2标准也被集成到网络浏览器中,包括Google Chrome、Microsoft Edge、Mozilla Firefox和Apple Safari。商业MFA,包括谷歌、微软、Yubico,提供了FIDO2无口令多因素服务。Gartner正看到这些产品其客户中得到有价值的采用。符合FIDO2标准的无口令身份验证产品,可以通过使用本地生物特征身份验证替换口令来改善用户体验并提高安全性。
2)组织正因IGA的失败而变得疲惫不堪:由于其广泛的应用和过程集成,IGA系统众所周知难以部署。但是,对于大多数组织来说,IGA是一个必不可少的IAM功能,因为它提供了合规性和数据保护方面的好处,并支持跨异构应用程序管理用户生命周期。价值降低的一个常见迹象是部署有限,只有少数组织的多数应用程序集成到IGA系统中。另一个常见的迹象是,许多首次IGA部署失败时会导致“拆除和替换”现象。组织抛弃旧的IGA系统,再部署新系统。在超高速数字业务以及高风险数据泄露和隐私要求的时代,由高级身份分析支持的敏捷IGA实现至关重要。
3)隐私规定非常真实:2019年7月,欧盟通用数据保护条例(GDPR)对未能保证个人数据安全的组织处以巨额罚款。监管机构对万豪国际(Marriott International)3.39亿份客人记录的曝光处以9900万英镑(1.24亿美元)以上的罚款,英国航空(British Airways)因涉及50万名客户的数据泄露被处以1.835亿英镑(2.28亿美元)的罚款。这明显超过以往的GDPR罚款。同样出台的还有:加州消费者隐私法案(CCPA),于2020年1月生效。加州是地球上第五大经济体,CCPA的实施对全球有重大影响。
4)多云正在深化:多年来,企业一直在利用单一的IaaS平台,如Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platform (GCP)。然而,最近,Gartner发现,多个IaaS提供商的使用激增。最常见的用例是对AWS进行多年投资的组织,该组织开始利用Azure IaaS(及其身份系统Azure Active Directory)。Gartner的客户经常从IAM的角度关注这两个IaaS平台之间的集成。
上述四大发展趋势,推动了本文中指出的2020年之后的IAM方面的四大规划趋势:
1)无口令认证将提高用户体验和安全性。
2)组织将要求IGA提供更多价值。
3)业务将扩大规模至防止隐私侵犯。
4)组织将采用混合和多云IAM的新战略。
主要趋势及其规划考虑如下图所示:
图1-2020年身份和访问管理的关键规划考虑
下面分别对四大趋势及其规划考虑作进一步描述。
二、身份和访问管理趋势
1、无口令身份验证将提高用户体验和安全性
众所周知,口令并不安全,难以管理也使用不便。81%的黑客相关入侵都利用了被盗口令或弱口令。随着越来越多的服务迁移到云端,攻击者会改变策略,在新环境中查找弱点。用户的口令疲劳是一种常见的情况,许多研究表明,用户大体上对其他可替代认证机制持开放态度,包括那些依赖手机和生物特征识别的机制。
无口令身份验证可以改善用户体验(UX)和安全性。无口令身份验证通常用本地生物特征身份验证替换口令,并与其他多因素方法一起使用。无口令身份验证强大的生物特征和基于硬件的身份验证方法的推动下,正在获得市场吸引力。
当前支持无口令身份验证的可用技术包括:
■ Windows Hello for Business(WHfB)服务。WHfB是一种微软技术,它可以在Windows 10设备上实现无口令身份验证。WHfB提供了一个本地身份验证框架,既支持设备驻留身份验证程序,又支持外部身份验证程序。开箱即用,微软支持人脸识别、指纹、虹膜识别(在移动设备上),FIDO2安全密钥和本地PIN。人脸识别模式需要专门的高保真、深度感应红外摄像头(例如Intel的RealSense)。
■FIDO协议。成立于2012年的FIDO联盟设定了一个目标,即通过用户身份验证解决可用性问题,同时为现代应用程序所需的更高级别的信任和责任提供基础设施。FIDO通过以下方式支持无口令身份验证:
Web认证(WebAuthn)API,由万维网联盟(W3C)开发;
Client-to-Authenticator Protocol(CTAP2,或仅CTAP(Client-to-Authenticator Protocol))
所有主要的浏览器供应商都宣布支持WebAuthn,包括苹果(仅在macOS上)、谷歌、微软、Mozilla和Opera。一些供应商提供了FIDO2兼容的安全密钥(硬件令牌),可以支持无口令身份验证。
■电话即令牌(Phone-as-a-token)认证。电话即令牌的认证方法包括移动推送、移动一次性口令(OTP)、短信OTP、语音OTP、语音回拨。这些方法与口令一起广泛部署在MFA中,并开始在无口令的场景中采用。Gartner预计未来会有更多的供应商采用这种方法。
■生物认证。本地生物认证在无口令认证中起着至关重要的作用。与其他无口令认证方法相比,本地生物特征认证方法可以提供更高的信任度、可靠性、不可否认性。常用的专有模式包括面部、语音、眼静脉、指纹和手掌识别。Gartner预测,3D传感相机、光学和超声波显示指纹传感器的进步,将导致移动设备和操作系统制造商在不久的将来增加生物认证功能。
图2提供了这些技术的简要概述。它们承诺从根本上改变用户体验身份验证的方式,改进用户体验,并克服与口令相关的许多安全弱点。
图2.无口令认证技术概览
为了帮助组织开始无口令旅程,技术专家应该专注于其2020规划中的以下领域:
■ 识别无口令认证可以增加信任和提高用户体验的用例。
■ 实施分阶段方法,推出无口令认证解决方案。
■ 计划为口令的长期存在而做好准备。
1)识别无口令身份验证的用例
组织必须将产品化的无口令身份验证产品与受支持的设备、目标应用程序和用户群相匹配。例如,考虑一个组织:
■ 希望对Microsoft Office 365使用无口令身份验证
■ 有Android和iOS移动设备
■ 该公司已经实施了一种基于COPE的移动设备策略。
这样的组织可以使用Azure多因素认证(MFA)及其移动身份验证应用程序,或与Azure AD集成的第三方产品。
技术专家应考虑以下因素:
■ 在MFA方案中被认为较弱的认证方法(例如,短信OTP和语音呼叫)不应用于无口令认证。
■ 智能手机并非普遍可用。此外,B2E场景中的一些用户更愿意不使用其个人设备进行身份验证。
■FIDO令牌已在企业范围内部署成功。然而,它们的可用性问题,类似于硬件OTP令牌,其相对使用率在一段时间内一直在下降。
2)实现无口令MFA的分阶段推出
几十年来,用户习惯于使用口令。对他们来说,无口令的经历将是全新的。即使有了备份验证方法,组织也应该期望更高的帮助台呼叫量,因此,采取一次一组用户的方式,分阶段推出他们的无口令解决方案。
Active Directory管理员可以通过组策略,控制谁可以注册到WHfB以及在哪些设备上注册。访问管理工具通常支持基于组的权限和策略,因此将用户添加到“无口令”组,将启用其无口令体验。
3)准备好口令的长期存在
组织应该为减少口令依赖,设定现实的期望。例如,WHfB为PC和网络登录提供了无口令的体验,但它并没有完全消除Active Directory口令。用户可能需要在未在WHfB中注册的Windows 10计算机、旧的Windows客户端、服务器或遗留应用程序上,继续使用口令。一些无口令的解决方案试图接管AD口令管理,并向注册用户隐藏口令,但它们不太可能覆盖需要使用这些口令的所有用例。
完全消除口令的另一个障碍是,在许多组织中,用户在多个身份“竖井”中都有账户。对活动目录或SaaS交付的访问管理服务进行无口令身份验证,可以让用户访问本地应用程序、Office 365、SaaS应用程序。但是,大多数组织仍然拥有具有自己的用户目录的遗留应用程序,这些应用程序需要独立的凭证。将它们迁移到无口令身份验证,或者直接或通过与集中化身份服务的集成,将需要时间,并且对于一些人来说将是困难的。
2、组织将要求IGA提供更多价值
IGA系统是IAM生态系统的重要组成部分。它们必须管理数量迅速增长的身份和权限的生命周期,以满足组织了解谁有权访问哪些应用程序以及它们如何使用这些访问的需要。IGA系统需要管理不断增长的人数的用户和权限,和用户群体的多样性,包括员工、承包商、供应商、设备和“机器人”(参见图3了解扩展的身份环境的示例)。
图3.身份环境扩展
IGA的主要驱动因素是安全和风险管理、操作效率和业务支持。为了评估和减轻风险,组织必须全面了解这种访问,以充分保障数据,包括个人、机密和知识产权信息。这些数据需要根据诸如萨班斯-奥克斯利法案(SOX)和快速发展的隐私法规(包括欧盟的GDPR和美国的CCPA)来组织和管理。为了管理驻留在场内应用程序竖井和越来越多的基于云的应用中的数百万的权限,IGA系统使用一致的访问策略自动化并优化对这些系统的访问请求、批准和实现。
当今IGA系统受到的挑战包括:
■ 在单体架构上构建,仅限于员工用户和场内应用
■ 难以为新的数字业务用例提供支持
这些平台,随着长时间的定制,维护成本昂贵,不能满足现代组织的时间即价值的期望。此外,糟糕的用户体验和这些系统的复杂性,降低了生产力和增加了运营开销。它们还导致不适当的应享权限,违背了特权最少的原则,并不适当地使组织面临更大的风险。增加这一挑战的是需要快速支持新的数字业务用例,其中权限必须在多个云平台上的更多应用程序、设备、用户选区内进行管理。最后,今天的单体IGA系统不能适应大多数组织采用的敏捷交付方法,这种敏捷交付方法可以在几周内增强交付,而不是几个月或几年内。
幸运的是,基于云-本地架构构建的新一代IGA解决方案正在成为主流,并承诺扩展和适应以满足新的数字业务用例。这些解决方案更为模块化,并提供基于REST的API,以允许更灵活的集成选项,并提供一个简化了最终用户和IGA管理操作的个性化UI。这些解决方案能够解决更复杂的用例,例如:
■ 非结构化数据的管理(支持新隐私法规的关键要求)
■实时风险响应
■云、移动和机器人身份和权限的简化管理
现代IGA解决方案还包括身份分析和机器学习能力,简化了与访问相关的操作,清理了未使用的和过度的权限。随着身份和权限的数量呈指数级增长,这一点更为关键(见图4)。
图4. IGA中的分析与机器学习
鉴于这些趋势,技术专家应在2020年规划中重点关注以下领域:
■ 首先关注治理以驱动价值
■ 与IAM计划保持一致,并确定成功的关键指标
■ 采用现代化的IGA架构来实现敏捷交付
■ 优先使用分析来简化IGA
1)治理为先,驱动价值
将IGA部署与关键业务驱动因素结合起来,为组织提供价值。许多IGA部署都失败了,原因是过分强调自动化资源调配,而没有将重点放在能够从自动化中受益的最大容量或高价值应用程序上。现代IGA解决方案提供了与机器人流程自动化(RPA)的替代实现机制的集成,以促进更有效、更及时地提供和取消对目标应用程序和系统的访问权限。组织至少应将遗留系统与IT服务管理(ITSM)系统集成,以编排和跟踪用户账户管理活动的手动执行,以提高账户生命周期过程的操作效率和可审核性。
组织也应该将重点放在身份治理活动上,这些活动可以使用户权限的可视性得以实现,以便授予适当的访问级别并降低风险。这包括访问证书,可实现对权限和角色的定期审查,以确保仅授权必要的访问。对于拥有特权访问管理(PAM)解决方案的组织,还必须将PAM与IGA集成,以便跨特权和非特权账户提供一致的信息生命周期管理和治理。此外,应使用IGA解决方案,通过账户发现、关联和清除休眠、孤立和未使用的权限,确保组织的身份存储库之间的数据一致性。
2)与IAM计划保持一致,并定义成功的关键指标
在IAM计划中组织IGA工作,提供:
■ 符合企业技术标准
■ 具有跨组织干系人代表的治理结构
■ IAM架构和路线图
■ 与业务驱动因素一致的关键IGA指标
Gartner观察到,许多IGA部署被视为时间点的工作,而不是一个结构化的计划,结构化计划需要建立一个持续的规划、部署、扩展和正在进行的治理周期。由于数字业务的动态性越来越强,针对业务优先级进行持续的IGA努力是必不可少的。
3)优先分析,以简化IGA
优先采用现代IGA解决方案中的身份分析和机器学习功能,这将大大简化IGA流程。由于数字业务转型,身份和权限的数量正在迅速增长。因此,需要一个更智能的IGA解决方案来管理访问,此时手动方法不再可持续。
以分析和机器学习为核心功能的现代IGA解决方案,通过自动化访问请求和实现低风险访问,实现了更高效的访问管理,从而降低了总体管理负担。相反,现代IGA解决方案可以触发微认证(microcertifications),作为对安全事件的响应,以实时响应风险。此外,机器学习能力可以评估行为数据,以根据使用情况和对等组信息,创建或修改现有角色。这也有助于组织减少创建和维护角色所需的管理时间。
3)采用现代IGA架构,实现敏捷交付
组织应该采用更模块化和更灵活的现代IGA架构,以更快迭代和独立地开发和部署IGA特性。现代IGA架构将使具有现有IGA部署的组织能够随着时间的推移和首次部署迁移到现代IGA解决方案,从而允许更加迭代地采用IGA组件。这也使组织能够通过采用敏捷的方法,在较短的时间内交付IGA功能,来缩短价值实现时间,从而展示快速的价值,并为未来的部署获得动力和干系人的支持。
现代的IGA架构还支持云托管和云架构IGA选项的部署灵活性,这将减少总体维护开销和总体拥有成本。对于有复杂的IGA需求、需要软件交付的IGA解决方案的全功能以及希望控制软件更新的组织,建议使用云托管解决方案。另一方面,对于那些希望从云中获得主要好处(如自动化更新和规范化流程)并且只需要基本IGA功能的组织,应该采用云架构IGA解决方案。
3、业务将扩展至防止隐私侵犯
现代细粒度的隐私法规的扩大和更大额度的罚款,将使隐私合规在2020年成为优先事项和挑战。2019年7月,欧盟的GDPR对违反安全规定的行为处以巨额罚款。组织现在有一个额外的重大动机和理由投资于数字安全和IAM。数据泄露仍然是新闻,但现在对数据泄露的潜在惩罚要大得多。
随着CCPA于2020年1月生效,最终用户身份数据受细粒度隐私法规约束的组织数量将继续增长。许多组织在加州做生意,如果不遵守CCPA,可能会被处以巨额罚款。几个额外的州也提出了隐私立法草案。在其他国家如巴西和加拿大也有隐私立法。因此,还有另一大群组织需要确保它们的过程和IAM基础设施是符合隐私和安全的。
除了这些法规的许可管理和安全影响以及潜在罚款之外,计划为2020年基础设施投资的组织,还需要了解主体权利请求(SRR,subject rights requests)的概念。SRR是CCPA和上述立法草案中的一个共同主题。例如,CCPA授予个人对其数据作出请求的权力,并要求处理他们的数据的组织,在规定的时间段内处理这些请求(在CCPA的情况下45天)。组织需要评估自动化水平,以及时回应这些要求。一些组织可能会发现手动过程是可接受的,而其他组织则需要自动化处理大量请求。
隐私立法的扩大和相关的罚金也将增加良好的数据访问治理(DAG,data access governance)的重要性。DAG解决方案可以触发对数据分级的更新,基于策略(例如,美国健康保险可移植性和责任法案(HIPAA)或GDPR)警告违规行为,并触发诸如微认证等的IGA行动。DAG可以是IGA解决方案或第三方集成中的本地特性。
如图5所示,合规性是一个正在进行的过程,即使在新的隐私计划启动和运行之后。IAM从业者需要支持多个触控点的一致性,而不管是否有IAM供应商提供的用户界面,用于添加和维护隐私偏好,使得隐私用户体验成为可能。
图5.通过许可和隐私管理的合规性
在安全威胁不断增加的环境下,为满足许可和隐私监管的要求,技术专家在2020年规划中应重点关注以下领域:
■ 支持更广泛的跨职能团队的IAM隐私项目
■ 确保IAM数据交换具有隐私意识
■ 重新评估你的隐私保护预算
1)支持具有更广泛跨职能团队的IAM隐私项目
在2020年,IAM专业人员应该跨越业务线,与核心IT、法律和安全团队一起,更深入地参与到数字业务、市场营销、客户关系管理同行。在当今更为规范的环境中,设计一个客户用户界面,使一个许可切换默认为“否”而不是“是”,可能不仅仅是一个设计、用户体验或营销问题——它也可能是一个受管制的法律问题。因此,不可避免地会有更多的干系人参与IAM决策。
IAM是一种支持数字业务的技术。IAM需求现在可以来自几乎任何功能或业务单元,因此IAM架构师比以往任何时候都更重要的是,培养跨职能的关系和沟通技巧。这是一个长期趋势,不仅适用于隐私,而且适用于整个IAM。Gartner建议具有技术背景的专业人士,在组织变革管理和影响不同背景人员等领域,发展互补的软技能。
2)确保IAM数据交换具有隐私意识
您的IAM计划必须支持许可捕获(consent capture)和更新、数据保护、主体权利请求(SRR),包括“遗忘权利”GDPR要求,贯穿所有数据交换。选择从他们的客户IAM(CIAM)供应商以外的供应商部署许可和隐私管理工具的组织,需要确保他们的CIAM基础设施和过程与所选择的许可和隐私管理方法适当地集成。即使在实施了客户数据统一计划的组织中也是如此。系统通常仍然与十几个或多个处理客户数据的系统直接集成,这些数据集成也需要兼容。
无论您选择的许可管理模块是来自IAM供应商还是其他类型的供应商(如CRM),Gartner都建议各组织不要从头开始开发此功能,因为最佳实践正变得越来越复杂。组织应选择商业的隐私和许可管理工具,以实现其核心隐私和许可管理功能。
3)重新评估你的隐私保护预算
重新审视来年的预算合理性过程,这样你的组织不会在新的监管和威胁环境中对IAM基础设施的投资不足。不管是好是坏,IAM团队现在参与了更多影响底线的活动。IAM团队可以:
■ 提高运营效率
■ 通过增加客户体验和启用新的数字渠道来增加数字业务收入
■ 保护他们的组织免受网络威胁
■ 在实现法规合规和避免罚款方面发挥重要作用
IAM的运营和资本支出必须与这些不断增长的责任保持一致。
这意味着,IAM专业人员必须采取比以往更广泛的成本合理性方法。当技术专家准备支持他们组织的年度计划时,他们应该预见需要花费更多的时间进行规划和协调,以确保他们能够满足日益增长的期望。他们还应该重视发展IAM基础设施,以使其更敏捷,以便它能够快速屈伸以应对新的威胁和机遇。
4、组织将拥抱混合和多云IAM的新战略
Gartner看到了多云和混合云查询数量的激增。Gartner提供以下定义:
■混合云:跨越场内和公有云环境的服务的使用和管理。
■多云:来自多个公有云提供商的服务的使用和管理。
多年来,大多数组织一直在努力解决混合云和多云环境下的IAM问题。
关于混合云,大多数组织都在使用SaaS应用程序,并允许本地用户访问它们。此外,大多数Gartner客户都部署了Office 365,以满足部分性的内容和协作需求。这些客户访问Office 365服务并将活动目录用户同步到Azure AD。这两个Office 365活动是混合的。
关于多云,许多客户利用AWS作为IaaS,并利用SaaS应用程序。这使他们坚定地置身于多云世界。
Gartner在与客户的讨论中发现了以下趋势,大部分与IaaS有关:
■扩展用例。组织专注于在多个IaaS平台上提供IAM服务。
■多云应用架构。应用程序栈跨越多个IaaS平台,包括物联网(IoT)用例。查询中提到的两个IaaS平台通常是AWS和Azure。
■集中式用户认证。由于需要Azure AD对Office 365进行身份验证,各组织正在寻求利用Azure AD的多因素身份验证和条件访问策略,来对访问AWS上运行的资源的用户进行身份验证。
■集中访问控制。组织寻求集中化机制来交付Azure、AWS、GCP之间的访问控制。
■需要活动目录(AD)的工作负载。各组织正在加速将其场内工作负载重新部署到IaaS上。其中许多工作负载都需要AD服务,例如Kerberos身份验证,对AD用户存储或组策略功能的访问。
■多云用户管理。跨IaaS和SaaS的用户集中管理,仍然是一个高度优先的问题,并且随着更多的“XX即服务”资源被添加到混合体中,这是一个不断深化的问题。
在混合和多云深化时代,寻求解决IAM问题的组织应在2020年将重点放在以下优先事项上:
■ 实施IaaS访问控制的资源标记
■为IaaS和多云,利用活动目录
1)实现IaaS访问控制的资源标记
组织可以为IaaS资源分配名称/属性对,以便在不修改访问控制策略的情况下更改对资源的访问权限。随着时间的推移,组织可以跨多云IaaS资源实现资源标记。
其实,组织在使用IaaS服务时就已经利用了资源标记,最常见的用例是分配一个成本中心标签,以便将IaaS费用分配给适当的组织单元。麻烦的是使用标记进行访问控制,这要求IaaS提供商在确定用户是否被授权访问资源时,需要增强访问控制机制以评估标记。目前,AWS支持用于访问控制的资源标记,Azure和GCP致力于支持该功能(但未提供“一般可用的”日期)。
资源标记在DevOps环境中特别有用,包括蓝色/绿色部署模型。使用资源标签,可以确保一旦设备移动到生产环境并更新其标签,开发管理员将无法访问Amazon EC2虚拟机。“生产”资源标记还可用于编排对环境的其他更改(例如,网络路由)。
2)为IaaS和多云,利用活动目录
很容易把AD看作是一种专门用于场内工作负载的工具。但是许多组织正在使用AD,为IaaS中运行的Windows工作负载,提供IAM服务。可以通过在VM上运行AD域控制器,或通过IaaS提供商的ADaaS(AD即服务)产品,来提供AD IAM服务。
Gartner的“全球云IaaS魔力象限”中的所有领导者(即AWS、Azure、GCP),都有一个ADaaS,或者很快就会有。来自AWS(AWS Managed Microsoft AD)和微软Azure(Azure AD Domain Services)的ADaaS产品通常是可用的,而GCP的产品目前处于Alpha阶段。
如图6所示,AD可以用于在混合和多云模式下为Windows工作负载提供IAM服务。
图6.使用本地AD和ADaaS的混合和多云
跨森林信任是多云支持的关键能力,因为它可以使组织在不同的ADaaS产品之间建立森林信任关系,而无需在VM中运行域控制器。AWS托管的AD支持森林信任,Azure AD域服务将得到增强以支持它,GCP ADaaS(当前在alpha阶段中)也将支持它。请注意,在某些情况下,ADaaS产品并不能提供组织需要的功能,如果计算时间和持续维护的成本不能超过好处,组织可以在IaaS VM上运行域控制器。
三、建议优先项
大多数组织无法在一年内解决上面提到的每一项规划考虑。因此,各组织应根据其具体需要确定优先事项,可考虑采用下列优先项:
■ 考虑无口令身份验证:无口令身份验证可以提高可用性和安全性,这是安全和IAM工具中不常见的一种组合。行业标准和规范已经成熟,无口令技术现在可由MFA提供商提供并嵌入在主要浏览器平台中。与任何认证部署一样,组织应该匹配认证交付机制(例如,移动电话和基于硬件的认证器)、用户选区(例如,消费者、合作伙伴、雇员)、应用兼容性。
■ 为高风险的隐私做好准备:欧盟GDPR和加州CCPA只是一部分真正会吐火的隐私之龙。忽视它们的组织将面临巨额罚款,并可能产生更严重的后果。成功的最佳实践包括跨职能的一致性、“遗忘权利”的能力、对不合规成本的现实风险评估。
■ 为混合和多云IAM利用现代技术:随着深化和多个IaaS部署,组织需要新的工具来交付集中式IAM。技术包括ADaaS和资源标记。组织还应该跟踪IaaS增强,这将使混合和多云IAM更具可扩展性。
■ 交付以价值为中心的IGA:现在比以往更重要的是,对于大多数组织来说,IGA是必不可少的。如果没有它,由于访问控制策略不足,组织将面临数据泄露和拒绝服务攻击的风险。最佳实践包括首先关注治理(而非用户配置)、定义成功的关键指标、实现现代IGA架构。
声明:本文来自蓝海科学,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。