身份和訪問(wèn)管理（IAM）長(zhǎng)期以來(lái)一直是安全領(lǐng)導(dǎo)者職業(yè)生涯的關(guān)鍵“試煉場(chǎng)”，許多人在身份技術(shù)部署方面做出了事關(guān)成敗的決定。確保安全訪問(wèn)和身份管理是網(wǎng)絡(luò)安全態(tài)勢(shì)的兩大基礎(chǔ)。同時(shí)，人員、應(yīng)用程序和系統(tǒng)登錄的方式以及它們彼此集成的方式也是業(yè)務(wù)利益相關(guān)者的可見觸點(diǎn)。安全專家無(wú)疑像在走鋼絲，以努力尋求可用性和安全性方面的平衡。

薄弱的IAM控制和身份驗(yàn)證機(jī)制使企業(yè)面臨攻擊、帳戶受損和安全可見性受限等風(fēng)險(xiǎn)，嚴(yán)重的話甚至還會(huì)擾亂業(yè)務(wù)流程。

IAM工具變化形勢(shì)

對(duì)于四處尋求IAM技術(shù)的組織來(lái)說(shuō)，好消息/壞消息是，該領(lǐng)域已經(jīng)變得更加微妙和強(qiáng)大，尤其是在過(guò)去五年間。這些工具使得在混合和多云環(huán)境中管理身份、處理特權(quán)帳戶、獲得對(duì)登錄模式的更大可見性，以及基于風(fēng)險(xiǎn)因素進(jìn)行身份驗(yàn)證變得更加容易。

德勤風(fēng)險(xiǎn)和財(cái)務(wù)咨詢的董事總經(jīng)理Naresh Persaud表示：

“我們?cè)贗AM解決方案中看到了非常明顯的市場(chǎng)細(xì)分。無(wú)論解決方案可以通過(guò)AI簡(jiǎn)化用戶體驗(yàn)、與云服務(wù)提供商集成以改進(jìn)工作負(fù)載管理，還是通過(guò)高級(jí)分析提供對(duì)IAM操作的更好洞察，如今的可用功能比以往任何時(shí)候都多，可供組織用于構(gòu)建強(qiáng)大的計(jì)劃。”

與此同時(shí)，隨著新功能呈現(xiàn)爆炸式增長(zhǎng)，IAM市場(chǎng)也創(chuàng)造了數(shù)量驚人的子市場(chǎng)，其功能有時(shí)是獨(dú)立產(chǎn)品，有時(shí)是更廣泛平臺(tái)的一部分。隨著供應(yīng)商在該領(lǐng)域迅速融合，后者（更廣泛平臺(tái)的一部）變得越來(lái)越有可能，從而創(chuàng)造了子市場(chǎng)和功能的高度交叉。

托管服務(wù)提供商N(yùn)uspire的首席安全官（CSO）JR Cunningham解釋道：

“許多產(chǎn)品公司完全專注于身份治理和管理(IGA)，而其他公司則專注于特權(quán)訪問(wèn)管理(PAM)，這兩者都是有效身份認(rèn)證計(jì)劃的關(guān)鍵要素。身份認(rèn)證可能是產(chǎn)品分布最廣泛的領(lǐng)域，業(yè)內(nèi)有許多參與者都提供多因素身份驗(yàn)證(MFA)技術(shù)。對(duì)于一個(gè)組織來(lái)說(shuō)，定義他們當(dāng)前的能力和要求以確保他們能夠選擇滿足其需求的產(chǎn)品至關(guān)重要?！?/p>

建立身份認(rèn)證計(jì)劃

Cunningham解釋稱，構(gòu)建身份認(rèn)證計(jì)劃和選擇平臺(tái)需要一系列決策，如果組織能夠按照正確的順序進(jìn)行決策，通常會(huì)取得最大的成功。例如，缺乏強(qiáng)大的基本身份認(rèn)證功能（例如多因素身份認(rèn)證[MFA]和單點(diǎn)登錄[SSO]功能）的組織將難以支撐特權(quán)訪問(wèn)管理（PAM）。同樣地，缺乏這兩個(gè)組件以及定義良好的員工身份管理流程的組織，也將無(wú)法從身份治理和管理平臺(tái)（IGA）中獲得全部?jī)r(jià)值。成功的組織會(huì)“按順序”行事：身份驗(yàn)證、特權(quán)訪問(wèn)管理（PAM）/特權(quán)身份管理（PIM）、身份治理和管理平臺(tái)（IGA）。

在組織評(píng)估身份認(rèn)證技術(shù)時(shí)，Persaud還建議考慮跨組織的應(yīng)用程序組合、業(yè)務(wù)線和用戶群擴(kuò)展部署的問(wèn)題。他解釋稱，部署IAM平臺(tái)時(shí)面臨的最大挑戰(zhàn)之一就是大規(guī)模部署。雖然IAM工具在集成并連接到更多應(yīng)用程序時(shí)絕對(duì)可以提供更多價(jià)值，但除非組織采用可預(yù)測(cè)、可重復(fù)的方法來(lái)擴(kuò)展運(yùn)營(yíng)，否則很難實(shí)現(xiàn)這種價(jià)值。特別是，當(dāng)他們使用面向服務(wù)的運(yùn)營(yíng)模式來(lái)擴(kuò)展IAM平臺(tái)時(shí)，它將幫助應(yīng)用程序所有者、利益相關(guān)者和業(yè)務(wù)線領(lǐng)導(dǎo)者在努力擴(kuò)展IAM使用和實(shí)現(xiàn)其價(jià)值時(shí)都得到支持。

IAM工具

以下是IAM領(lǐng)域的一些頭部競(jìng)爭(zhēng)者：

Avatier

憑借在IT服務(wù)管理（ITSM）和幫助臺(tái)領(lǐng)域的悠久歷史，Avatier主要依靠在自動(dòng)化用戶配置和密碼管理方面的深厚根基來(lái)交付其IGA平臺(tái)。最近，該公司在現(xiàn)代化工作中投入了大量資金，將其Identity Anywhere平臺(tái)構(gòu)建為可以云托管或非托管的容器化解決方案。其更新版本增加了無(wú)密碼SSO支持和跨移動(dòng)、云和協(xié)作平臺(tái)（包括Slack、Teams和ServiceNow）的通用用戶體驗(yàn)。它支持連接到90多個(gè)企業(yè)和5000個(gè)云應(yīng)用程序和平臺(tái)，以及用于定制集成的通用低代碼/無(wú)代碼連接器。

這是一個(gè)備受分析師青睞的平臺(tái)，自稱是Forrester Wave或Gartner魔力象限等矩陣中“面向市場(chǎng)領(lǐng)導(dǎo)者的更實(shí)惠的解決方案”。

BeyondTrust

作為PAM利基市場(chǎng)的中流砥柱，BeyondTrust通過(guò)并購(gòu)和內(nèi)部創(chuàng)新，持續(xù)增強(qiáng)其管理特權(quán)賬戶、云授權(quán)和IT機(jī)密的能力，并增加了許多新功能。除了PAM之外，該公司的平臺(tái)還通過(guò)其Active Directory Bridge技術(shù)為遠(yuǎn)程訪問(wèn)、跨Windows和Mac以及Unix和Linux的端點(diǎn)權(quán)限管理提供集中管理能力。

它現(xiàn)在也是云基礎(chǔ)設(shè)施授權(quán)管理（CIEM）領(lǐng)域——PAM的自然分支——的參與者，通過(guò)其更新的Cloud Privilege Broker技術(shù)來(lái)管理跨多云環(huán)境的權(quán)限。據(jù)Gartner分析師稱，這是一家與合規(guī)和審計(jì)領(lǐng)域有著密切聯(lián)系的供應(yīng)商，區(qū)別之一在于其報(bào)告和可視化能力；客戶可以通過(guò)該公司的BeyondInsight分析包進(jìn)行高級(jí)分析。

CyberArk

根據(jù)Forrester Research的數(shù)據(jù)顯示，通過(guò)將PAM與身份認(rèn)證即服務(wù)（IDaaS）交付相結(jié)合，CyberArk已成為收入最高的PAM供應(yīng)商。2020年，它通過(guò)收購(gòu)Idaptive鞏固了自己在SaaS領(lǐng)域的地位，并推出了員工SSO和端點(diǎn)MFA、客戶身份管理功能、無(wú)密碼選項(xiàng)和用于帳戶管理的自助服務(wù)功能。Gartner分析師指出，CyberArk某些員工用例的定價(jià)可能遠(yuǎn)高于平均水平。它具有強(qiáng)大的分析能力，可以為更成熟的安全指標(biāo)程序提供數(shù)據(jù)。它還提供基于風(fēng)險(xiǎn)的身份驗(yàn)證（RBA），管理員可以針對(duì)高中低風(fēng)險(xiǎn)容忍度進(jìn)行微調(diào)。

CyberArk還通過(guò)其Cloud Entitlements Manager平臺(tái)提供成熟的云基礎(chǔ)設(shè)施授權(quán)管理（CIEM）功能，包括權(quán)限暴露風(fēng)險(xiǎn)評(píng)分，該平臺(tái)適用于大規(guī)模和多云環(huán)境。在身份認(rèn)證即服務(wù)（IDPaaS）方面，F(xiàn)orrester表示，對(duì)于那些想要“將基于風(fēng)險(xiǎn)的方法應(yīng)用于IDaaS”并將其與特權(quán)身份管理功能同步的組織來(lái)說(shuō)，CyberArk是個(gè)很好的選擇。不過(guò)，該分析師還警告稱，其性能方面可能存在問(wèn)題，理由是最近的服務(wù)降級(jí)事件和缺乏產(chǎn)品可擴(kuò)展性的可靠記錄。

ForgeRock

作為融合身份產(chǎn)品價(jià)值的典型代表，F(xiàn)orgeRock將員工、用戶和物聯(lián)網(wǎng)設(shè)備身份的訪問(wèn)管理整合到一個(gè)產(chǎn)品集中，可以通過(guò)其身份認(rèn)證即服務(wù)（IDPaaS）交付模型進(jìn)行捆綁或解耦。該平臺(tái)包括強(qiáng)大的身份治理組件，適用于尋求身份生命周期管理等IGA功能的人。同時(shí)，它在有遠(yuǎn)見的開發(fā)人員和DevOps人群中也特別受歡迎，不僅因?yàn)樗脑苾?yōu)先原則，還因?yàn)樗鼜?qiáng)大的REST API框架、開發(fā)人員工具、社區(qū)和API訪問(wèn)控制。

Gartner分析師最近指責(zé)Forgerock的分析能力低于其他訪問(wèn)管理族群的平均水平，這主要是因?yàn)槠駷橹?，它仍無(wú)法提供自己在2020年的路線圖中所承諾的用戶和實(shí)體行為分析（UEBA）能力。

Microsoft Azure Active Directory

據(jù)Forrester分析師稱，微軟正憑借其Microsoft Azure Active Directory產(chǎn)品迅速進(jìn)入IAM競(jìng)爭(zhēng)者名單，該產(chǎn)品擁有強(qiáng)大的IDaaS安裝基礎(chǔ)——超過(guò)300,000名付費(fèi)客戶。Gartner將Azure AD在這方面的快速增長(zhǎng)歸因于，它在2020年與Microsoft 365和Microsoft Enterprise Mobility and Security（EMS）的捆綁操作，數(shù)據(jù)顯示，此舉使該產(chǎn)品的安裝基數(shù)翻了一番。

它還通過(guò)內(nèi)部創(chuàng)新迅速加快了PAM和IGA功能的發(fā)展速度，以及通過(guò)收購(gòu)CloudKnox Security獲得了CIEM功能。不過(guò)，Gartner分析師指出，Azure AD的功能仍然落后于訪問(wèn)管理領(lǐng)域的其他領(lǐng)導(dǎo)者。

Okta

盡管Okta在最近的數(shù)據(jù)泄露事件中名譽(yù)受損，但不可否認(rèn)，它仍然是IAM領(lǐng)域的重要選擇之一。自2009年成立以來(lái)，Okta一直是一家“以云為中心”的企業(yè)——當(dāng)時(shí)云部署仍然是許多企業(yè)的邊緣用例。其SaaS平臺(tái)提供了一系列捆綁或獨(dú)立的功能，可在混合和復(fù)雜的多云環(huán)境中工作，包括SSO、MFA、API訪問(wèn)管理、生命周期和用戶管理，以及身份自動(dòng)化和工作流編排。

它擁有市場(chǎng)上最強(qiáng)大的API和連接器生態(tài)系統(tǒng)之一，去年針對(duì)Auth0的收購(gòu)活動(dòng)也使其在客戶IAM領(lǐng)域的地位得以鞏固。此外，它還通過(guò)去年發(fā)布的Okta Privileged Access平臺(tái)順利進(jìn)入PAM領(lǐng)域。

One Identity

在去年收購(gòu)OneLogin之前，One Identity一直是一家PAM和IGA供應(yīng)商，擁有豐富的企業(yè)友好型功能集，且深深植根于本地IAM領(lǐng)域。同時(shí)，OneLogin還是對(duì)價(jià)格敏感且無(wú)需大量管理或治理功能的中小型組織的輕量級(jí)、純IDaaS選項(xiàng)之一。

根據(jù)Forrester的看法，將OneLogin納入其中使得One Identity有機(jī)會(huì)加入IDaaS競(jìng)爭(zhēng)行列，并將自己與不具備原生PAM或IGA功能的供應(yīng)商區(qū)分開來(lái)。這與CyberArk對(duì)Idaptive的收購(gòu)活動(dòng)有異曲同工之妙。不過(guò)，此次結(jié)合仍處于早期階段，因此One Identity將如何整合OneLogin技術(shù)并交叉融合雙方的功能優(yōu)勢(shì)還有待觀察，也不清楚合并會(huì)不會(huì)影響OneLogin產(chǎn)品的定價(jià)。

Ping Identity

Ping Identity通過(guò)結(jié)合Ping One（IdaaS平臺(tái)）和PingFederate（聯(lián)合SSO）跨越了SaaS和本地IAM之間的鴻溝。除了標(biāo)準(zhǔn)的員工和用戶IAM功能（如SSO、MFA和云身份功能）之外，PingOne還通過(guò)過(guò)去兩年進(jìn)行的一系列收購(gòu)將去中心化身份功能分層。Ping最近還開發(fā)了一個(gè)低代碼流程設(shè)計(jì)器并加強(qiáng)了RBA。

正如Gartner解釋的那樣，Ping不是一個(gè)完整的IAM一站式平臺(tái)，它對(duì)身份管理功能涉入不深，這也使其對(duì)小型組織或那些尋求嵌入式IGA或PAM功能的組織不太受用。

SailPoint

作為IGA市場(chǎng)的中堅(jiān)力量，SailPoint專為具有復(fù)雜環(huán)境的分布式企業(yè)而設(shè)計(jì)，這些企業(yè)需要復(fù)雜的自動(dòng)化和集成功能，通過(guò)改進(jìn)配置、分析和基于風(fēng)險(xiǎn)的身份組合治理，幫助將身份認(rèn)證計(jì)劃成熟度提升到一個(gè)新的水平。

Forrester表示，SailPoint平臺(tái)在用戶生命周期管理、合規(guī)性管理、與應(yīng)用程序的強(qiáng)大集成以及對(duì)IAM系統(tǒng)的支持方面表現(xiàn)最佳。

原文鏈接：https://www.csoonline.com/article/3616829/8-top-identity-and-access-management-tools.html?upd=1654069253941