En 400-6655-581
5
返回列表
> 资源中心 > 文章>产品>IAM(身份与访问控制)> 技术干货 | IAM产品选型三步曲

技术干货 | IAM产品选型三步曲

文章

2020-01-22浏览次数:289

《孙子兵法》“胜兵先胜而后求战,败兵先战而后求胜”。意思是“能取胜的军队,总是先创造取胜的条件,然后才同敌人决战,失败的军队总是冒然开战,然后祈求侥幸取胜”。

 

目前,物联网技术、人工智能技术、云计算等技术崛起,为网络空间发展建设带来更多机遇,网络安全也遇到了前所未有的威胁与挑战。尤其对于企业而言,越来越多的业务应用开始依托云端构建,使得云端平台储存的数据资源变得日益庞大,价值也不断攀升。一旦储存的数据泄露或遭到攻击,将对一家甚至多家企业造成难以估量的损失。

 

 

 

 

身份安全导致数据泄露

 

而数据泄露的源头可能是内部员工有意或无心的操作,也可能是来自外部攻击。在此种环境下,零信任概念应运而生。在零信任网络结构下,任何人、事、物想要进入访问网络,都需要经过全面严密的身份验证,构建网络安全的第一道屏障。

 

不过,传统的身份验证体系已经难以满足日新月异的网络发展,更难以确保访问者身份的安全性,因此,构建新型身份安全理念、架构,优化身份安全验证体系势在必行。

 

随着国家新一版的《网络安全法》的颁布,和《网络安全等级保护2.0》的执行,很多企业对身份安全管理变成了一个强需求,但是大部分企业对于身份安全IAM产品了解不够全面就盲目上线,自己无法掌握,对软件公司过分依赖,以及对身份安全项目评价比较乐观,管理配合不到位等导致项目失败。因此客户在选择IAM产品时就需要具备火眼金睛,来选出适合自己,相对比较成熟的IAM产品。

 

 

 

 

 

 

本文主要就是从IAM选型角度来分析。

 

 

 
选型第一步
 

 

考察方式:参加过IAM厂家的活动或者看过两次讲解,对IAM产品了解不够全面,仅仅认为是简单的单点登录,或者认为仅仅是多了一种多因素认证。

 

此时决定:凶多吉少,项目失败率较高,或者做的程度很浅,达不到真实管理需求,前期没有充分准备,项目付出成本较高。

 

正确方式:通过初步了解,认识到身份安全的重要性,了解上IAM系统的价值所在,结合企业自身的情况,初步判断自身的需求。通过此步一般能了解到如下信息:

 

1、国内外由于身份管理不到位导致的企业敏感数据日益增多;

2、国内外均出具相应的法律法规来保障身份安全,如欧盟的GDPR和国内的等保;

3、企业缺乏统一身份认证以及更高级别的安全认证;

4、建立统一的身份管理,实现账号的全生命周期管理服务企业内部标准规范;

5、建立员工自助服务平台,减少运维工作量;

6、实现员工行为审计,服务内部审计要求;

7、实现单点登录,方便员工操作及提升安全;

8、实现一点清权等操作,降低安全风险。

 

基于以上的了解,还不够全面,仅仅知道了需要这样的产品,但是究竟是选择什么样的合作伙伴来实施这个项目,还需要进一步选型。

 

 

 
选型第二步
 

 

考察方式:除了看厂家的产品演示,还参观过厂家的案例客户,多方面横评。对IAM产品有一定了解,对各厂家客户情况了解。

 

此时决定:胜负各半,只看别人的效果,很难和自身企业结合起来。甚至软件公司与案例客户结合起来,夸大产品功能和效果。

 

正确方式:通过观察各个厂家的演示及案例参考,对各个厂家有了进一步的了解,应通过此步了解如下信息:

 

1、厂商系统架构是否服务公司未来架构要求,例如:微服务架构等;

2、随着互联网发展,必定有API暴露于外网,知否具备API认证及API网关;

3、内部存在着CS系统,是否支持CS系统认证;

4、内部有些系统只支持某种浏览器,系统是否支持夸浏览器的系统访问;

5、系统的安全性如何,是否通过了一些国家级的安全渗透攻击;

6、产品厂商客户数量如何,成功案例数是否较多;

7、产品厂商实施能力如何,是否具备良好的售后服务能力;

 

通过以上信息的了解,其实已经对IAM产品有了很清晰的认识,也对各个厂商有了清楚的认知,但还远远不够,因为IAM产品是内部所有系统源头,不能出现任何问题,此时做出决定只能说是胜负各半,所以我们要进行进一步的了解。

 

 

 
选型第三步
 

 

考察方式:除了完成以上两个阶段,还要进行POC,找出几个经典场景,例如:智能风险因子、跨浏览器登录、微服务架构部署、API安全认证、CS系统集成等,让软件公司现场开发,自己从侧面评估工作量和实现技术手段,以及顾问的专业水平。

 

此时决定:已经进行了很专业、很全面的了解,成功把握较大,不会被表象迷惑,失败率较低。

 

正确方式:通过厂家的介绍、POC,亲自试用,通过系统的集成,服务框架的部署,并亲自体验产品的功能和稳定性,评估对接的工作量和难度。通过此步了解到的信息:

 

1、系统稳定性;

2、功能易用性;

3、厂商的实现方式;

4、工作量的大小;

5、集成的难易程度;

6、之前沟通过程中承诺的功能是否属实;

7、厂商的顾问的专业水平。

 

通过以上步骤的选型,并向高层说明实施IAM产品重要性,并得到领导的支持。此时决定,在充分评估供应商产品、功能以及售后服务能力低情况下,项目失败的风险相对就比较低了。