身份和访问管理评估的关键问题

选择正确的身份和访问管理 (IAM) 解决方案是一项重要任务。组织需要正确管理用户帐户和其他身份，并确保他们对数据、应用程序和其他资源具有适当的访问权限。毕竟，如果用户没有所需的全部权限，他们就无法完成自己的工作，业务流程也会受到影响。如果帐户拥有太多权限，它们可能会被其所有者或危害它们的对手滥用，从而导致安全漏洞和合规性违规。

由于手动流程很容易出错，并且根本无法扩展以满足现代组织的需求，因此组织需要专门构建的 IAM 解决方案。本文详细介绍了评估候选 IAM 工具时要询问的关键身份访问管理问题。

选择 IAM 解决方案时要注意什么

要为您的组织选择最合适的 IAM 解决方案，请务必评估每个潜在工具的以下关键方面：

• 部署模型
• 用户加入、退出和重新配置
• 基于角色的访问控制
• 自动化工作流程
• 支持零信任
• 密码管理，包括自助服务
• 广泛的应用程序支持以及 API
• 身份验证方法，包括无密码身份验证
• 支持单点登录 (SSO)
• 自带设备 (BYOD) 支持
• 对用户体验的影响
• 可用性和可靠性
• 监控、审计和报告
• 遵守合规性要求和行业标准
• 满足未来需求的能力
• 定价模型

部署模型

首先要考虑的 IAM 问题之一是部署模型：解决方案是本地、云还是混合？每种方法都有其优点和缺点。

本地部署与云计算

以下是本地 IAM 部署模型和云 IAM 部署模型之间的一些主要区别：

资本支出

本地：您需要提供托管解决方案所需的服务器、硬件和软件。

云：无

维护

本地：您需要管理解决方案更新、服务器硬件和软件、存储和数据备份。

云：供应商维护 IAM 解决方案和底层基础设施。

控制

本地：IAM 解决方案和底层基础设施完全由您控制。本地安全软件使组织能够完全控制其安全基础设施。他们可以根据自己的特定需求和要求自定义配置、策略和设置，而无需依赖第三方提供商。

云：供应商决定何时推出更新和修改基础设施。

使用权

本地：您可以在本地访问该解决方案，无需互联网。

云：您可以随时通过网络浏览器访问该解决方案，因此需要可靠的互联网连接。

部署时间

本地：部署速度较慢，因为您需要准备一台或多台服务器并安装解决方案。然而，时间因供应商而异。

云：部署速度要快得多，但仍然需要功能启用和配置。

定制化

本地：本地解决方案是高度可定制的。

云：云解决方案可定制性较差。

定制化

本地：组织可以完全控制其数据及其所在位置。这对于在具有严格监管合规要求或担心数据隐私和主权的行业中运营的企业尤其重要。

云：数据保存在云端，并且可能存储在世界各地的多个位置，具体取决于提供商的基础设施。这可能会引起人们对遵守数据主权法律和法规的担忧，因为数据可能跨越国际边界。

安全合规性

本地：本地解决方案可以更轻松地遵守行业法规和标准，因为组织可以直接监督和控制其安全措施。这可以简化审计流程并为利益相关者提供保证。

云：组织有责任确保其对云服务的使用符合行业和监管标准。

网络性能

本地：本地安全解决方案可以提供更快的网络性能，因为它们在组织的本地网络基础设施内运行。这对于延迟敏感的应用程序或关注网络带宽的环境来说是有利的。

云：与本地解决方案相比，基于云的解决方案可能会带来延迟，尤其是当云服务托管在遥远的数据中心时。

数据隔离

本地：本地解决方案将数据保留在组织的物理边界内，从而降低了通过互联网将数据传输到云服务提供商时可能出现的数据泄露或未经授权访问的风险。

云：这取决于云提供商保护数据免受外部和内部威胁的能力。

杂交种

混合 IAM 解决方案结合了本地 IAM 方法和基于云的 IAM 方法的各个方面，以满足现代组织的需求。它们促进本地身份存储（例如 Active Directory）和基于云的身份存储库（例如 Azure AD 和 AWS Directory Service）之间的目录同步，并为本地和云环境提供集中的用户生命周期管理。此选项有助于最大限度地降低成本，同时保留对受监管或其他敏感数据的本地控制。

用户加入、退出和重新配置

任何 IAM 系统的主要功能都是确保每个用户都拥有对资源的适当访问权限，以便他们能够执行其工作，同时最大限度地降低安全风险。因此，评估候选解决方案是否能够高效、准确地引导新用户，并在用户离开组织时通过删除或禁用其帐户或撤销对应用程序、文件共享、数据库和其他资源的访问权限来及时删除访问权限。

此外，检查该解决方案是否有助于随着用户角色的改变或新技术的采用而调整访问权限。此外，还应寻找一种证明流程，使相关方可以轻松审查和修改对其拥有的资源的访问权限，以确保持续遵守安全策略和法规。

基于角色的访问控制

请务必检查未来的 IAM 解决方案是否提供基于角色的访问控制 (RBAC)。 RBAC 是一种广泛使用的策略，它使配置变得更简单、更准确。使用 RBAC，您不会直接向用户分配访问权限，这很复杂并且通常会导致权限过多。相反，您可以创建一组角色来代表工作职能、职责或具有类似访问需求的用户组。角色的示例包括管理员、帮助台技术人员和经理。每个角色都分配有一组权限；例如，帮助台技术人员的角色可能被授权读取和修改某些数据、重置用户密码等。

有了这个框架，向用户授予权限就像为他们分配适当的角色一样简单。因此，新用户可以迅速获得完成工作所需的访问权限。同样，当用户在组织内更改工作职能时，重新配置只需更改其角色分配即可。当添加新的应用程序或数据存储或删除旧的应用程序或数据存储时，更新相关角色的权限可确保更新所有正确用户的访问权限。

自动化工作流程

工作流在 IAM 系统中非常有价值，因为它们可以自动执行用户配置和取消配置、访问请求和批准以及访问审核等流程。寻找一个为您需要的任务提供预定义模板或可自定义的预构建工作流程的工具。例如，访问请求和批准工作流程可能使用户能够通过自助服务门户或票务系统提交访问请求，并提供可自定义的请求表单，其中包含用于指定访问要求、理由和持续时间的必填字段。

更广泛地说，确保您的管理员无需编码即可定义工作流程步骤、条件、决策点和操作。此外，确保他们可以将工作流程与人力资源、票务和其他系统集成，以实现跨职能流程的自动化。

支持零信任

零信任是一种现代安全模型，要求用户定期重新进行身份验证，而不仅仅是在初次访问时进行身份验证。因此，需要寻找一种结合自适应身份验证机制并促进联合身份管理的 IAM 系统。此外，请确保它提供特权访问管理 (PAM) 功能，以便为具有更高访问权限的帐户（例如管理员和系统帐户）提供额外的管理和监控。

密码管理，包括自助服务

IAM 解决方案需要强大的密码管理功能。评估的关键能力包括：

• 能够执行强大的密码策略，包括复杂性和不允许使用常见、容易猜测或泄露的密码
• 能够维护禁止密码的排除列表
• 自助服务功能，允许用户重置忘记的密码、更改密码和解锁帐户
• 在自助服务选项不可行的情况下，支持帮助台协助密码重置
• 与 MFA 解决方案集成，对密码重置、更改或恢复实施多重身份验证
• 能够设置失败登录尝试的阈值，触发通知以快速响应暴力攻击

广泛的应用程序支持以及 API

在投资 IAM 解决方案之前，请确保它支持您的各个团队使用的所有应用程序，包括本地应用程序和基于云的应用程序。特别是，确保兼容：

• 用于用户身份验证的目录服务，例如 Active Directory、LDAP 或 Azure AD
• 企业生产力工具
• 客户关系管理系统
• 协作平台
• 定制应用程序
• AWS、Entra、Google Cloud Platform 等云服务
• Salesforce、Office 365 和 G Suite 等 SaaS 应用程序

此外，请确保 IAM 解决方案提供符合 REST 原则的 API，以实现与其他系统和服务的轻松集成和互操作性。它应该支持行业标准协议和格式，例如 OAuth、OpenID Connect、SAML、JSON Web 令牌 (JWT) 和 SCIM。

身份验证方法，包括无密码身份验证

寻找一种不限于简单的用户名+密码身份验证的解决方案。一些 IAM 解决方案提供 10 种或更多不同的 MFA 方法，例如身份验证应用程序和指纹、面部识别和视网膜扫描等生物识别技术。检查对用户来说简单方便的选项。理想情况下，MFA 应该具有适应性，仅当上下文因素表明风险增加时才要求用户进行额外的身份验证。

攻击者经常使用受损的凭据在网络中获得最初的立足点，因此一些组织正在寻求完全消除密码。一些 IAM 解决方案现在提供无密码身份验证，它根据生物识别等 MFA 因素以及物理位置、设备信息和 IP 地址等上下文详细信息对用户进行身份验证。

支持单点登录 (SSO)

选择支持 SSO 的 IAM 解决方案将使您的用户能够使用一组登录凭证来访问多个系统。此功能简化了业务流程，并减轻了用户记住多个密码的负担。

但是，由于 SSO 会增加不当访问的风险，因此请确保它可以与 MFA 的自适应方法结合使用。

自带设备支持

如今，许多组织都制定了自带设备 (BYOD) 政策，允许员工使用自己的设备进行工作。如果您有或可能采用 BYOD 策略，请确保 IAM 解决方案支持多种操作系统，包括 iOS、Android 和 Windows。

对用户体验的影响

如今，大多数人都希望通过技术获得快速且无麻烦的结果。为了加快用户采用速度，请寻找可为用户提供无缝体验的 IAM 解决方案。特别是，检查允许用户更新个人信息、重置密码、解锁帐户等的自助服务选项。此功能不仅提高了业务生产力，还减少了帮助台的工作量。

可用性和可靠性

如果您的 IAM 解决方案存在可用性问题，用户将无法登录并访问完成工作所需的网络资源，从而扰乱重要的业务项目。为避免出现问题，请查看以下内容：

• 支持冗余组件和故障转移机制，确保持续可用性
• 与负载均衡器集成，跨多个 IAM 服务器或实例分配传入流量，优化资源利用率并缓解性能瓶颈
• 支持使用 Kubernetes 或 Docker 等容器编排平台对 IAM 组件进行容器化部署，以提高敏捷性和资源利用率
• 能够定期备份 IAM 配置数据、用户配置文件和访问策略，以及在数据丢失或系统故障时恢复功能

要求提供商免费试用该产品并对其进行彻底测试，以确保它满足您的可靠性和可用性要求。

监控、警报和报告

确保 IAM 解决方案提供实时活动监控以及异常检测技术，能够可靠地识别可疑操作或模式，例如多次失败的登录尝试或来自异常位置或设备的访问。检查您是否可以针对潜在的安全事件或违反策略的行为设置警报。确保日志捕获重要的详细信息，例如用户标识符、时间戳、IP 地址和执行的操作

寻找能够轻松生成有关用户权利、权限和角色分配的报告的能力，以及交互式分析仪表板和可视化工具，使您可以轻松快速地了解重要信息。

遵守合规性要求和行业要求

确保 IAM 解决方案符合您的组织须遵守的所有监管框架，例如 GDPR、HIPPA、PCI DSS、SOX、FERPA 和 CCPA。常见要求包括保护传输中和静态的个人数据（包括用户凭证），以及保护 IAM 系统中敏感数据的机密性、完整性和可用性。此外，该解决方案应通过强大的身份验证、访问控制和加密来安全地管理对数据的访问。它必须维护 IAM 政策、程序、配置和安全控制的全面历史记录，以支持合规性报告和监管查询。

满足未来需求的能力

当您采用 IAM 软件等核心解决方案时，您希望确保即使您的 IT 环境、安全需求和威胁形势发生变化，它也能继续提供价值。以下是评估解决方案时需要提出的一些关键问题：

• 供应商是否稳定、值得信赖？
• 他们是否具备必要的技术能力？
• 是否可以添加更多服务器或节点以轻松扩展以处理不断增加的负载和用户量？
• 供应商是否准备好在整个产品生命周期提供出色的支持？
• 该解决方案会定期获得补丁和增强功能吗？
• 多年来它是否具有成本效益？

定价模型

IAM 解决方案具有不同的定价结构。两种常见的模型是：

• 每用户许可费 - 您只需为您的组织实际工作的用户数量付费，因此随着您的用户群的增长或缩小，您的成本也会随之增加。但是，请记住，某些解决方案有最低用户数量限制。
• 预定义套餐 - 您为特定数量的用户付费。在这种情况下，请考虑为新员工保留一定的利润，因为升级到不同的套餐可能需要时间。