《孙子兵法》“胜兵先胜而后求战,败兵先战而后求胜”。意思是“能取胜的军队,总是先创造取胜的条件,然后才同敌人决战,失败的军队总是冒然开战,然后祈求侥幸取胜”。
目前,物联网技术、人工智能技术、云计算等技术崛起,为网络空间发展建设带来更多机遇,网络安全也遇到了前所未有的威胁与挑战。尤其对于企业而言,越来越多的业务应用开始依托云端构建,使得云端平台储存的数据资源变得日益庞大,价值也不断攀升。一旦储存的数据泄露或遭到攻击,将对一家甚至多家企业造成难以估量的损失。
身份安全导致数据泄露
而数据泄露的源头可能是内部员工有意或无心的操作,也可能是来自外部攻击。在此种环境下,零信任概念应运而生。在零信任网络结构下,任何人、事、物想要进入访问网络,都需要经过全面严密的身份验证,构建网络安全的第一道屏障。
不过,传统的身份验证体系已经难以满足日新月异的网络发展,更难以确保访问者身份的安全性,因此,构建新型身份安全理念、架构,优化身份安全验证体系势在必行。
随着国家新一版的《网络安全法》的颁布,和《网络安全等级保护2.0》的执行,很多企业对身份安全管理变成了一个强需求,但是大部分企业对于身份安全IAM产品了解不够全面就盲目上线,自己无法掌握,对软件公司过分依赖,以及对身份安全项目评价比较乐观,管理配合不到位等导致项目失败。因此客户在选择IAM产品时就需要具备火眼金睛,来选出适合自己,相对比较成熟的IAM产品。
本文主要就是从IAM选型角度来分析。
考察方式:参加过IAM厂家的活动或者看过两次讲解,对IAM产品了解不够全面,仅仅认为是简单的单点登录,或者认为仅仅是多了一种多因素认证。
此时决定:凶多吉少,项目失败率较高,或者做的程度很浅,达不到真实管理需求,前期没有充分准备,项目付出成本较高。
正确方式:通过初步了解,认识到身份安全的重要性,了解上IAM系统的价值所在,结合企业自身的情况,初步判断自身的需求。通过此步一般能了解到如下信息:
1、国内外由于身份管理不到位导致的企业敏感数据日益增多;
2、国内外均出具相应的法律法规来保障身份安全,如欧盟的GDPR和国内的等保;
3、企业缺乏统一身份认证以及更高级别的安全认证;
4、建立统一的身份管理,实现账号的全生命周期管理服务企业内部标准规范;
5、建立员工自助服务平台,减少运维工作量;
6、实现员工行为审计,服务内部审计要求;
7、实现单点登录,方便员工操作及提升安全;
8、实现一点清权等操作,降低安全风险。
基于以上的了解,还不够全面,仅仅知道了需要这样的产品,但是究竟是选择什么样的合作伙伴来实施这个项目,还需要进一步选型。
考察方式:除了看厂家的产品演示,还参观过厂家的案例客户,多方面横评。对IAM产品有一定了解,对各厂家客户情况了解。
此时决定:胜负各半,只看别人的效果,很难和自身企业结合起来。甚至软件公司与案例客户结合起来,夸大产品功能和效果。
正确方式:通过观察各个厂家的演示及案例参考,对各个厂家有了进一步的了解,应通过此步了解如下信息:
1、厂商系统架构是否服务公司未来架构要求,例如:微服务架构等;
2、随着互联网发展,必定有API暴露于外网,知否具备API认证及API网关;
3、内部存在着CS系统,是否支持CS系统认证;
4、内部有些系统只支持某种浏览器,系统是否支持夸浏览器的系统访问;
5、系统的安全性如何,是否通过了一些国家级的安全渗透攻击;
6、产品厂商客户数量如何,成功案例数是否较多;
7、产品厂商实施能力如何,是否具备良好的售后服务能力;
通过以上信息的了解,其实已经对IAM产品有了很清晰的认识,也对各个厂商有了清楚的认知,但还远远不够,因为IAM产品是内部所有系统源头,不能出现任何问题,此时做出决定只能说是胜负各半,所以我们要进行进一步的了解。
考察方式:除了完成以上两个阶段,还要进行POC,找出几个经典场景,例如:智能风险因子、跨浏览器登录、微服务架构部署、API安全认证、CS系统集成等,让软件公司现场开发,自己从侧面评估工作量和实现技术手段,以及顾问的专业水平。
此时决定:已经进行了很专业、很全面的了解,成功把握较大,不会被表象迷惑,失败率较低。
正确方式:通过厂家的介绍、POC,亲自试用,通过系统的集成,服务框架的部署,并亲自体验产品的功能和稳定性,评估对接的工作量和难度。通过此步了解到的信息:
1、系统稳定性;
2、功能易用性;
3、厂商的实现方式;
4、工作量的大小;
5、集成的难易程度;
6、之前沟通过程中承诺的功能是否属实;
7、厂商的顾问的专业水平。
通过以上步骤的选型,并向高层说明实施IAM产品重要性,并得到领导的支持。此时决定,在充分评估供应商产品、功能以及售后服务能力低情况下,项目失败的风险相对就比较低了。