《孫子兵法》“勝兵先勝而后求戰(zhàn)��,敗兵先戰(zhàn)而后求勝”��。意思是“能取勝的軍隊��,總是先創(chuàng)造取勝的條件��,然后才同敵人決戰(zhàn)��,失敗的軍隊總是冒然開戰(zhàn)��,然后祈求僥幸取勝”��。
目前��,物聯(lián)網(wǎng)技術��、人工智能技術��、云計算等技術崛起��,為網(wǎng)絡空間發(fā)展建設帶來更多機遇��,網(wǎng)絡安全也遇到了前所未有的威脅與挑戰(zhàn)��。尤其對于企業(yè)而言��,越來越多的業(yè)務應用開始依托云端構建��,使得云端平臺儲存的數(shù)據(jù)資源變得日益龐大��,價值也不斷攀升��。一旦儲存的數(shù)據(jù)泄露或遭到攻擊,將對一家甚至多家企業(yè)造成難以估量的損失��。
而數(shù)據(jù)泄露的源頭可能是內(nèi)部員工有意或無心的操作��,也可能是來自外部攻擊��。在此種環(huán)境下��,零信任概念應運而生��。在零信任網(wǎng)絡結構下��,任何人��、事��、物想要進入訪問網(wǎng)絡��,都需要經(jīng)過全面嚴密的身份驗證��,構建網(wǎng)絡安全的第一道屏障��。
不過��,傳統(tǒng)的身份驗證體系已經(jīng)難以滿足日新月異的網(wǎng)絡發(fā)展��,更難以確保訪問者身份的安全性��,因此��,構建新型身份安全理念��、架構��,優(yōu)化身份安全驗證體系勢在必行��。
隨著國家新一版的《網(wǎng)絡安全法》的頒布��,和《網(wǎng)絡安全等級保護2.0》的執(zhí)行��,很多企業(yè)對身份安全管理變成了一個強需求��,但是大部分企業(yè)對于身份安全IAM產(chǎn)品了解不夠全面就盲目上線��,自己無法掌握��,對軟件公司過分依賴��,以及對身份安全項目評價比較樂觀��,管理配合不到位等導致項目失敗��。因此客戶在選擇IAM產(chǎn)品時就需要具備火眼金睛,來選出適合自己��,相對比較成熟的IAM產(chǎn)品��。
本文主要就是從IAM選型角度來分析��。
考察方式:參加過IAM廠家的活動或者看過兩次講解��,對IAM產(chǎn)品了解不夠全面��,僅僅認為是簡單的單點登錄��,或者認為僅僅是多了一種多因素認證��。
此時決定:兇多吉少��,項目失敗率較高��,或者做的程度很淺��,達不到真實管理需求��,前期沒有充分準備��,項目付出成本較高��。
正確方式:通過初步了解��,認識到身份安全的重要性��,了解上IAM系統(tǒng)的價值所在��,結合企業(yè)自身的情況��,初步判斷自身的需求��。通過此步一般能了解到如下信息:
1��、國內(nèi)外由于身份管理不到位導致的企業(yè)敏感數(shù)據(jù)日益增多��;
2��、國內(nèi)外均出具相應的法律法規(guī)來保障身份安全��,如歐盟的GDPR和國內(nèi)的等保��;
3��、企業(yè)缺乏統(tǒng)一身份認證以及更高級別的安全認證��;
4、建立統(tǒng)一的身份管理��,實現(xiàn)賬號的全生命周期管理服務企業(yè)內(nèi)部標準規(guī)范��;
5��、建立員工自助服務平臺��,減少運維工作量��;
6��、實現(xiàn)員工行為審計��,服務內(nèi)部審計要求��;
7��、實現(xiàn)單點登錄��,方便員工操作及提升安全��;
8��、實現(xiàn)一點清權等操作��,降低安全風險��。
基于以上的了解��,還不夠全面��,僅僅知道了需要這樣的產(chǎn)品��,但是究竟是選擇什么樣的合作伙伴來實施這個項目��,還需要進一步選型��。
考察方式:除了看廠家的產(chǎn)品演示��,還參觀過廠家的案例客戶��,多方面橫評��。對IAM產(chǎn)品有一定了解��,對各廠家客戶情況了解��。
此時決定:勝負各半��,只看別人的效果��,很難和自身企業(yè)結合起來。甚至軟件公司與案例客戶結合起來��,夸大產(chǎn)品功能和效果��。
正確方式:通過觀察各個廠家的演示及案例參考��,對各個廠家有了進一步的了解��,應通過此步了解如下信息:
1��、廠商系統(tǒng)架構是否服務公司未來架構要求��,例如:微服務架構等��;
2��、隨著互聯(lián)網(wǎng)發(fā)展��,必定有API暴露于外網(wǎng)��,知否具備API認證及API網(wǎng)關��;
3��、內(nèi)部存在著CS系統(tǒng)��,是否支持CS系統(tǒng)認證��;
4��、內(nèi)部有些系統(tǒng)只支持某種瀏覽器��,系統(tǒng)是否支持夸瀏覽器的系統(tǒng)訪問��;
5��、系統(tǒng)的安全性如何��,是否通過了一些國家級的安全滲透攻擊��;
6��、產(chǎn)品廠商客戶數(shù)量如何��,成功案例數(shù)是否較多��;
7��、產(chǎn)品廠商實施能力如何��,是否具備良好的售后服務能力��;
通過以上信息的了解,其實已經(jīng)對IAM產(chǎn)品有了很清晰的認識��,也對各個廠商有了清楚的認知��,但還遠遠不夠��,因為IAM產(chǎn)品是內(nèi)部所有系統(tǒng)源頭��,不能出現(xiàn)任何問題��,此時做出決定只能說是勝負各半��,所以我們要進行進一步的了解��。
考察方式:除了完成以上兩個階段��,還要進行POC��,找出幾個經(jīng)典場景��,例如:智能風險因子��、跨瀏覽器登錄、微服務架構部署��、API安全認證��、CS系統(tǒng)集成等��,讓軟件公司現(xiàn)場開發(fā)��,自己從側(cè)面評估工作量和實現(xiàn)技術手段��,以及顧問的專業(yè)水平��。
此時決定:已經(jīng)進行了很專業(yè)��、很全面的了解��,成功把握較大��,不會被表象迷惑��,失敗率較低��。
正確方式:通過廠家的介紹��、POC��,親自試用��,通過系統(tǒng)的集成��,服務框架的部署��,并親自體驗產(chǎn)品的功能和穩(wěn)定性��,評估對接的工作量和難度��。通過此步了解到的信息:
1��、系統(tǒng)穩(wěn)定性��;
2��、功能易用性��;
3��、廠商的實現(xiàn)方式��;
4��、工作量的大?�?�;
5��、集成的難易程度��;
6��、之前溝通過程中承諾的功能是否屬實��;
7��、廠商的顧問的專業(yè)水平��。
通過以上步驟的選型��,并向高層說明實施IAM產(chǎn)品重要性��,并得到領導的支持��。此時決定��,在充分評估供應商產(chǎn)品��、功能以及售后服務能力低情況下��,項目失敗的風險相對就比較低了��。
員工身份與訪問控制eIAM
客戶身份與訪問控制cIAM
云身份治理IDaaS
智能身份認證IDA
細粒度權限管理xBAC
API安全網(wǎng)關API-SGW
API安全監(jiān)測API-SD
API管理平臺APIM
ESB 企業(yè)服務總線
特權訪問管理PAM
數(shù)據(jù)庫訪問管理CQ
數(shù)據(jù)治理平臺PDMP
一體化零信任
運維安全
數(shù)據(jù)安全治理
遠程辦公安全
國產(chǎn)化替代
企業(yè)合規(guī)管控
數(shù)字化集成平臺
數(shù)字化員工門戶
熱門文章
7*24小時服務
專屬安全顧問
Gartner推薦
IDC創(chuàng)新者
權威安全認證
滬公網(wǎng)安備 31011502012922號