每個(gè)身份及訪問管理平臺(tái)部署模式，無論是現(xiàn)場(chǎng)部署還是云端部署，都有各自的取舍和不同資源要求。

[[244559]]

身份及訪問管理(IAM)平臺(tái)已成為企業(yè)網(wǎng)絡(luò)安全項(xiàng)目的重要組成部分。它們幫助公司企業(yè)管理數(shù)字身份和用戶對(duì)公司里系統(tǒng)、網(wǎng)絡(luò)和關(guān)鍵平臺(tái)的訪問——通過基于角色的控制。

希望利用IAM的公司企業(yè)面對(duì)的一個(gè)關(guān)鍵問題是，IAM最佳部署模式是什么?每個(gè)IAM部署都是獨(dú)特的，但仍有3個(gè)主要模式：現(xiàn)場(chǎng)部署、云端部署、混合環(huán)境部署。

每種方式都有其自身的挑戰(zhàn)，但也有相應(yīng)的最佳實(shí)踐可以解決這些挑戰(zhàn)。

現(xiàn)場(chǎng)部署IAM

現(xiàn)場(chǎng)部署模式下，大多數(shù)IAM解決方案都要求占用大量基礎(chǔ)設(shè)施和平臺(tái)。提供持續(xù)的可用性及支持，以及從一家提供商的產(chǎn)品切換到另一家，都沒那么容易。

IAM解決方案升級(jí)也未必會(huì)是安全人員的首要考慮，而且現(xiàn)場(chǎng)解決方案往往需要大量專業(yè)人員來運(yùn)營。

在過去，所有商業(yè)應(yīng)用都慣于安置在企業(yè)防火墻內(nèi)。如今，很多公司藉由公共云使用多種軟件即服務(wù)(SaaS)產(chǎn)品，將自身數(shù)據(jù)暴露給面向Web的應(yīng)用，并允許用戶使用各種設(shè)備遠(yuǎn)程訪問。

于是，身份驗(yàn)證解決方案面臨著安全與性能上的巨大壓力。現(xiàn)場(chǎng)部署解決方案中，硬件擴(kuò)充、容量規(guī)劃與管理，以及數(shù)據(jù)庫管理，都是特別重要的工作。

如果公司在這方面人手充足、準(zhǔn)備充分，那現(xiàn)場(chǎng)部署就是個(gè)不錯(cuò)的選擇。如若不然，僅僅為了身份驗(yàn)證需求就投入這么多，并不是最佳實(shí)踐。

解決現(xiàn)場(chǎng)部署難題的最佳方法，是投入時(shí)間精力全面收集公司需求，并由下至上地創(chuàng)建一套周密嚴(yán)謹(jǐn)?shù)姆椒ǎ摲椒紤]到公司所有利益相關(guān)者、當(dāng)前及未來的集成、用例及功能。

其中應(yīng)包含數(shù)據(jù)中心容量規(guī)劃，以及對(duì)業(yè)務(wù)的地理分布及性能方面的深入理解。

公司企業(yè)還應(yīng)考慮實(shí)現(xiàn)私有云基礎(chǔ)設(shè)施即服務(wù)(IaaS)和平臺(tái)即服務(wù)(PaaS)功能。這能令公司在保證控制及資產(chǎn)完全自有的基礎(chǔ)上，還享有混合方法的種種好處。

云端部署IAM

基于云的IAM所面臨的挑戰(zhàn)，主要是資深云系統(tǒng)安全專家的缺乏。如果沒做對(duì)，信息安全風(fēng)險(xiǎn)增加就是可能遇到的非預(yù)期結(jié)果。

而且，采用SaaS訪問控制系統(tǒng)需要現(xiàn)場(chǎng)協(xié)調(diào)符合當(dāng)前安全身份驗(yàn)證及授權(quán)標(biāo)準(zhǔn)。公司還需清楚如何配置與集成現(xiàn)場(chǎng)系統(tǒng)和云IAM系統(tǒng)。

如果公司有保證生產(chǎn)數(shù)據(jù)不被非生產(chǎn)環(huán)境云租戶訪問的策略和操作，某些SaaS應(yīng)用可能會(huì)要求公司的策略稍作調(diào)整。如果SaaS產(chǎn)品允許自定義，你怎么開發(fā)、測(cè)試和部署?它適應(yīng)你的當(dāng)前部署和自動(dòng)化團(tuán)隊(duì)的過程及工具嗎?

采用云模式，必須要清楚自己在做什么，以及為什么這么做。單純采納云優(yōu)先策略，必將迎來痛苦的體驗(yàn)和悔不當(dāng)初的感受。應(yīng)對(duì)IAM云挑戰(zhàn)最重要的方法，是構(gòu)建與IAM需求、預(yù)算、人力資源要求、技術(shù)及人力限制，以及IAM架構(gòu)協(xié)調(diào)一致的云策略。

公司企業(yè)必須要能根據(jù)期望衡量結(jié)果，并愿意基于自己的指標(biāo)接受方向上的變化。IAM云策略必須公司的IAM目標(biāo)，并能在企業(yè)文化的約束下存活。

云部署是最安全最無縫的模式，但保證有效集成卻存在一些困難。困難之一就是得確保公司正確設(shè)計(jì)并實(shí)現(xiàn)了安全及合規(guī)控制，比如訪問控制、日志記錄和監(jiān)視。現(xiàn)場(chǎng)部署中的所有控制目標(biāo)都可以在云部署中達(dá)成，但往往需要一套不同的方法和工具。

另一個(gè)困難是跨多個(gè)獨(dú)立公司的身份管理。這有可能導(dǎo)致一家企業(yè)中存在多種身份，造成安全和管理上的復(fù)雜化。

可靠的身份即服務(wù)(IDaaS)平臺(tái)可以解決云系統(tǒng)相關(guān)的身份挑戰(zhàn)。將單獨(dú)的平臺(tái)服務(wù)引入公司環(huán)境，就可以接過容量規(guī)劃、硬件、核心功能開發(fā)等事務(wù)，將公司人員解脫出來，去處理實(shí)現(xiàn)和終端用戶體驗(yàn)等問題。

還能讓管理層專注于公司整體戰(zhàn)略中最有價(jià)值的專業(yè)技能和知識(shí)產(chǎn)權(quán)的核心領(lǐng)域，將復(fù)雜的IAM交給外部專家。

混合IAM平臺(tái)部署

混合IT模式是想要數(shù)字化轉(zhuǎn)型的公司企業(yè)常會(huì)采取的第一步。相比完全私有云，混合模式對(duì)資金和資源的要求都沒那么高，所以在技術(shù)人員中很是流行。

混合部署能幫助公司彌合現(xiàn)場(chǎng)部署和云部署之間的差距，既保留現(xiàn)場(chǎng)部署情況下企業(yè)安全部門的業(yè)務(wù)熟練度，又提供云環(huán)境的可擴(kuò)展性和其他功能。

不過，管理成本和技術(shù)復(fù)雜度會(huì)相對(duì)高一些，還會(huì)要求有全面的架構(gòu)以無縫工作。想要獲得混合部署的成功，就需要有全面細(xì)致的設(shè)計(jì)和對(duì)選擇混合模式想要達(dá)到的目標(biāo)的深入理解。

知道每個(gè)區(qū)域有哪些工具和接口，以及為什么要這么布置，是最好的開始方式。確保公司的運(yùn)營過程和操作手冊(cè)考慮到該部署模式下增加的故障處理及維護(hù)復(fù)雜度，是混合部署運(yùn)營成功的關(guān)鍵。

確定公有云服務(wù)和私有云服務(wù)的使用水平會(huì)增加運(yùn)營復(fù)雜度。與云模式相同，混合環(huán)境也可能增加安全風(fēng)險(xiǎn)——如果沒做對(duì)的話。

Motorists保險(xiǎn)集團(tuán)就采用的是混合模式，在遺留應(yīng)用上投入很多，但致力于現(xiàn)代化并遷移到“云優(yōu)先、移動(dòng)優(yōu)先”策略。

混合模式統(tǒng)合了其他兩種方式的各個(gè)方面。雖然能最大化靈活性，但成本與管理的開銷都會(huì)增加。

該公司已經(jīng)標(biāo)準(zhǔn)化了現(xiàn)場(chǎng)IAM，并集成進(jìn)其遺留應(yīng)用與門戶中。但展望未來，該公司需要一個(gè)敏捷的平臺(tái)，可以跟上業(yè)務(wù)發(fā)展需求的平臺(tái)。Motorists采取了三管齊下的方法，采用了SailPoint的供應(yīng)與治理產(chǎn)品，從Okta引進(jìn)單點(diǎn)登錄和多因子身份驗(yàn)證，并購入CyberArk的特權(quán)訪問管理平臺(tái)。

這三駕馬車構(gòu)筑了符合該公司IAM需求的混合平臺(tái)，發(fā)揮每個(gè)組件的長處，融合現(xiàn)場(chǎng)解決方案及云解決方案，提供所需的靈活性和廣泛性。

為防止管理和成本成為公司的負(fù)擔(dān)，Motorists依靠標(biāo)準(zhǔn)和自動(dòng)化，并貼合其持續(xù)發(fā)展的企業(yè)目標(biāo)。這令該公司更專注于支持業(yè)務(wù)和用戶，并減少系統(tǒng)維護(hù)和平臺(tái)刷新的時(shí)間。

最終，IAM解決方案必須符合企業(yè)文化并驅(qū)動(dòng)業(yè)務(wù)發(fā)展。你的了解公司的方向，與業(yè)務(wù)合作伙伴保持一致，這樣才能拿出他們需要的結(jié)果。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文