这也是以一个复杂的和潜在的昂贵的因素。
例如,设想一个机构为其CRM应 用使用Salesforce云服务并且还允许员工使用个人移动设备访问Salesforce。如果一个员工离开这个机构,IT部门必须撤销那个员工的网络 访问权限。但是,这个机构还应该关闭那个员工访问Salesforce的权限。否则,以前的那个员工将继续有权访问有价值的客户信息。对于许多机构来说, 这仍然是一个耗费时间的人工操作过程。
随着越来越多的资源和数据迁移到云中,各种各样的设备都可以访问这些数据,通过保护周围和端点来实现安全的传统的安全概念开始崩溃。周围环境不再是 一个明确的界限,这是一个日益模糊不清的概念。这是以身份识别生命周期和访问控制为重点的身份与访问管理(IAM)的新的吸引人的地方。
正如IAM专业厂商Courion的CEO Chris Zannetos所说,IAM解决方案的目标是保证正确的人有权访问正确的资源以及正确的人使用那个资源做正确的事情。
在大型企业,基于人工流程的IAM已成为不可能
机构越大,人工办法就越不可行。Courion首席运营官Dave Fowler指出,一个拥有它必须保护的关键的金融资产的金融机构客户有3万名员工和大约1000个要支持的应用程序。
Fowler称,当员工数量大量增加的时候,他们拥有的身份数量成倍增加,他们拥有的这些应用的访问权限也成倍增加。看看由此产生的连接数量,那是数亿个关系。你不可能每天利用人工流程监视它。
Fowler称,配置访问权限与撤销这些访问权限是同样困难的问题。
Fowler称:“当我开始启用一个新员工的时候,如果我不能自动实现让他上线的流程,我就会失去宝贵的员工工作时间。如果这个过程需要5天或6天时间,那就是失去5天或6天工作时间。这不仅仅是效率问题。这对于安全和遵从法规能够产生严重的后果。”
例如,在健康医疗行业,医院一个星期时间能够带来数百个新的住院医师。Fowler问到,如果他们不能获得批准他们需要访问的东西以便做自己的工作,他们做什么?他们最终会绕过这个系统。医生把自己的系统访问信息提供给住院医师,这样,他们就能完成自己的工作。
自动化IAM的复杂性
过去,IAM系统仅提供给最大的企业。Zannetos解释说,这个理由不难理解:创建一个自动化的和联合的系统并不是一件容易的工作。
Zannetos称,首先,有多种计算基础设施的复杂性。这个基础设施包括许多应用、系统和网络。每一个计算系统都有为具体的系统优化的而不是为整 个环境优化的安全模式和访问控制。把这些安全模式和控制统一起来是非常困难的。业务在不断地变化,经常导致一个流程中的各种系统的重新组合。想想自动柜员 机,通过自动柜员机从你的储蓄账户向支票账户转款的一个简单的业务处理过程就需要资金转账、存折储蓄帐户、活期存款和账户调节应用程序等应用的互动,所有 这些功能都是为其具体的功能优化的,而不是为你通过一台柜员机转账优化的。
第二,计算已经成为业务运营的基础。这意味着几乎每一个业务活动都影响到谁应该访问什么资源和他们利用那个访问权限做什么。
但是,IAM系统现在正在进入云并且以SaaS(软件即服务)的方式提供。这已经做了许多工作使IAM系统大众化并且向各种规模的机构提供IAM系统。
Fowler称:“我们现在看到的许多情况是这个想法,机构可以从人工系统开始,或者什么也不做,他们不必支出许多前期开支。他们可以按月付费:这 是运营开支而不是资本开支。这对机构是有吸引力的。他们拥有所有的机构以前做这个事情的最佳做法。他们不必重新学习做身份识别和访问管理的事情。他们不必 拥有任何经验。我能够以一些更高级的机构的相同的方式参加这个事情,不必都雇用专家做这个事情。”