云服務(wù)應(yīng)用和BYOD(在 工作中使用自帶設(shè)備)現(xiàn)象的日益增長正在使身份識(shí)別和訪問權(quán)限在整個(gè)企業(yè)范圍內(nèi)普及，為機(jī)構(gòu)實(shí)施周邊防御以保證安全地訪問敏感信息增加了更大的壓力。據(jù)賽 門鐵克和云安全聯(lián)盟去年冬季在CSA峰會(huì)上進(jìn)行的一項(xiàng)調(diào)查，90%的機(jī)構(gòu)認(rèn)為控制誰能夠訪問哪一個(gè)云應(yīng)用是影響云應(yīng)用的最重要的因素之一。

這也是以一個(gè)復(fù)雜的和潛在的昂貴的因素。

例如，設(shè)想一個(gè)機(jī)構(gòu)為其CRM應(yīng) 用使用Salesforce云服務(wù)并且還允許員工使用個(gè)人移動(dòng)設(shè)備訪問Salesforce。如果一個(gè)員工離開這個(gè)機(jī)構(gòu)，IT部門必須撤銷那個(gè)員工的網(wǎng)絡(luò) 訪問權(quán)限。但是，這個(gè)機(jī)構(gòu)還應(yīng)該關(guān)閉那個(gè)員工訪問Salesforce的權(quán)限。否則，以前的那個(gè)員工將繼續(xù)有權(quán)訪問有價(jià)值的客戶信息。對(duì)于許多機(jī)構(gòu)來說， 這仍然是一個(gè)耗費(fèi)時(shí)間的人工操作過程。

隨著越來越多的資源和數(shù)據(jù)遷移到云中，各種各樣的設(shè)備都可以訪問這些數(shù)據(jù)，通過保護(hù)周圍和端點(diǎn)來實(shí)現(xiàn)安全的傳統(tǒng)的安全概念開始崩潰。周圍環(huán)境不再是 一個(gè)明確的界限，這是一個(gè)日益模糊不清的概念。這是以身份識(shí)別生命周期和訪問控制為重點(diǎn)的身份與訪問管理(IAM)的新的吸引人的地方。

正如IAM專業(yè)廠商Courion的CEO Chris Zannetos所說，IAM解決方案的目標(biāo)是保證正確的人有權(quán)訪問正確的資源以及正確的人使用那個(gè)資源做正確的事情。

在大型企業(yè)，基于人工流程的IAM已成為不可能

機(jī)構(gòu)越大，人工辦法就越不可行。Courion首席運(yùn)營官Dave Fowler指出，一個(gè)擁有它必須保護(hù)的關(guān)鍵的金融資產(chǎn)的金融機(jī)構(gòu)客戶有3萬名員工和大約1000個(gè)要支持的應(yīng)用程序。

Fowler稱，當(dāng)員工數(shù)量大量增加的時(shí)候，他們擁有的身份數(shù)量成倍增加，他們擁有的這些應(yīng)用的訪問權(quán)限也成倍增加。看看由此產(chǎn)生的連接數(shù)量，那是數(shù)億個(gè)關(guān)系。你不可能每天利用人工流程監(jiān)視它。

Fowler稱，配置訪問權(quán)限與撤銷這些訪問權(quán)限是同樣困難的問題。

Fowler稱：“當(dāng)我開始啟用一個(gè)新員工的時(shí)候，如果我不能自動(dòng)實(shí)現(xiàn)讓他上線的流程，我就會(huì)失去寶貴的員工工作時(shí)間。如果這個(gè)過程需要5天或6天時(shí)間，那就是失去5天或6天工作時(shí)間。這不僅僅是效率問題。這對(duì)于安全和遵從法規(guī)能夠產(chǎn)生嚴(yán)重的后果。”

例如，在健康醫(yī)療行業(yè)，醫(yī)院一個(gè)星期時(shí)間能夠帶來數(shù)百個(gè)新的住院醫(yī)師。Fowler問到，如果他們不能獲得批準(zhǔn)他們需要訪問的東西以便做自己的工作，他們做什么?他們最終會(huì)繞過這個(gè)系統(tǒng)。醫(yī)生把自己的系統(tǒng)訪問信息提供給住院醫(yī)師，這樣，他們就能完成自己的工作。

自動(dòng)化IAM的復(fù)雜性

過去，IAM系統(tǒng)僅提供給最大的企業(yè)。Zannetos解釋說，這個(gè)理由不難理解：創(chuàng)建一個(gè)自動(dòng)化的和聯(lián)合的系統(tǒng)并不是一件容易的工作。

Zannetos稱，首先，有多種計(jì)算基礎(chǔ)設(shè)施的復(fù)雜性。這個(gè)基礎(chǔ)設(shè)施包括許多應(yīng)用、系統(tǒng)和網(wǎng)絡(luò)。每一個(gè)計(jì)算系統(tǒng)都有為具體的系統(tǒng)優(yōu)化的而不是為整 個(gè)環(huán)境優(yōu)化的安全模式和訪問控制。把這些安全模式和控制統(tǒng)一起來是非常困難的。業(yè)務(wù)在不斷地變化，經(jīng)常導(dǎo)致一個(gè)流程中的各種系統(tǒng)的重新組合。想想自動(dòng)柜員 機(jī)，通過自動(dòng)柜員機(jī)從你的儲(chǔ)蓄賬戶向支票賬戶轉(zhuǎn)款的一個(gè)簡單的業(yè)務(wù)處理過程就需要資金轉(zhuǎn)賬、存折儲(chǔ)蓄帳戶、活期存款和賬戶調(diào)節(jié)應(yīng)用程序等應(yīng)用的互動(dòng)，所有 這些功能都是為其具體的功能優(yōu)化的，而不是為你通過一臺(tái)柜員機(jī)轉(zhuǎn)賬優(yōu)化的。

第二，計(jì)算已經(jīng)成為業(yè)務(wù)運(yùn)營的基礎(chǔ)。這意味著幾乎每一個(gè)業(yè)務(wù)活動(dòng)都影響到誰應(yīng)該訪問什么資源和他們利用那個(gè)訪問權(quán)限做什么。

但是，IAM系統(tǒng)現(xiàn)在正在進(jìn)入云并且以SaaS(軟件即服務(wù))的方式提供。這已經(jīng)做了許多工作使IAM系統(tǒng)大眾化并且向各種規(guī)模的機(jī)構(gòu)提供IAM系統(tǒng)。

Fowler稱：“我們現(xiàn)在看到的許多情況是這個(gè)想法，機(jī)構(gòu)可以從人工系統(tǒng)開始，或者什么也不做，他們不必支出許多前期開支。他們可以按月付費(fèi)：這 是運(yùn)營開支而不是資本開支。這對(duì)機(jī)構(gòu)是有吸引力的。他們擁有所有的機(jī)構(gòu)以前做這個(gè)事情的最佳做法。他們不必重新學(xué)習(xí)做身份識(shí)別和訪問管理的事情。他們不必 擁有任何經(jīng)驗(yàn)。我能夠以一些更高級(jí)的機(jī)構(gòu)的相同的方式參加這個(gè)事情，不必都雇用專家做這個(gè)事情。”