学生贷款营销协会(Sallie Mae)把一部分最重要的应用程序迁移到云端时,这家全美规模最大的大学生贷款提供商在关注合规。
学生贷款营销协会使用SailPoint公司的身份管理软件,确保其6100名员工拥有合适级别的权限来访问数据和应用程序——不管它们存储在云端,还是存储在自己的其中一个数据中心。
学生贷款营销协会的首席安全官Jerry Archer说:“我们所有基于云的服务以及所有那些访问都受到了控制。”该公司使用Workday等托管应用程序来提供人力资源功能。“SailPoint软件可以密切跟踪角色、访问及其他工作流流程。”
学生贷款营销协会并非个例。现在越来越多的企业升级了各自的身份和访问管理(IAM)工具,以便在采用基于云的应用程序时,能加强安全状况,其中包括信合保险公司和美国红十字会。
冠群科技公司安全事业部的安全管理副总裁Lina Liberti表示,在过去的一年里,云端身份管理已成为CIO们的一个敏感问题。
Liberti说:“我接触的每个客户都在关注身份管理。现在我们与许多客户签下了非常大的单子……许多企业表示,他们拥有自行创建的系统,其实不应该自己来管理,自己管理需要非常高昂的成本。”
于是,这些企业纷纷从SailPoint、Courion、IBM、冠群、Ping Identity和Aveksa及其他厂商处购买最新的IAM工具,确保员工和业务合作伙伴拥有合适级别的权限来访问企业数据,这些企业数据由广受欢迎的基于云的应用程序来存储,比如Salesforce、Google Apps或微软Office 365。
今天的IAM工具可以为IT部门降低风险,原因在于让IT部门可以遵守联邦法规,并且确保云应用程序和基于网络的应用程序能成功通过审计。这些工具还提高了效率,因为消除了审查应用程序访问情况方面易出错误的手动流程。除了针对基于网络的应用程序和托管应用程序提供单次登录功能外,IAM工具还日益提供这一功能:自动配置和自动取消配置基于云的应用程序。
Courion公司的首席运营官Dave Flower说:“身份访问管理是个处在转变期的市场。公司企业在敞开越来越多的数据,供员工、业务合作伙伴、客户和企业外面的人员访问。在金融机构、医疗保健和零售行业尤其如此。但是在敞开更多数据供业务合作伙伴使用的同时,它们在保护这些信息的安全方面也面临越来越多的法规。”
随着IT部门采用基于云的应用程序来削减运营成本、加快提供新功能,它们也在处理如潮水般涌入的个人移动设备,员工们使用这些设备来访问存储在云端的企业数据。
Fowler说:“我们曾对1000家企业作了一次调查;发现其中 69%允许个人移动设备访问企业网络。这些企业针对用来访问云端数据的设备并没有落实安全措施,它们通常使用几十个基于云的应用程序。”
今天的IAM工具可以帮助IT部门轻松应对相互冲突的压力:努力确保由别人(托管服务提供商)存储,而不是由公司自己拥有或控制的设备访问的数据。IAM工具还有助于掌控员工频繁流动的局面:企业及其业务合作伙伴经常雇用及解雇员工。
Fowler说:“如果你把应用程序放在云端,自然而然也就没有为云端用户配置资源的机制。当你解雇员工或者员工换工作时,有人就得手动进入这些基于云的应用程序,取走这些资源。我们正在为应用程序编写连接件,以便实现为员工自动配置资源和取消资源。”
市场上最近出现的情况是,出现了一批作为托管服务的IAM,供应商包括Courion和Lighthouse 安全集团等公司。只有一小批敢于尝试的企业已选择了托管型IAM服务,比如辛塔斯公司(Cintas Corp.)和莫尔森库尔斯酿酒公司。比如说,辛塔斯公司将在今年3月为其30000个用户把托管型CourionLive服务投入使用。
不过,学生贷款营销协会并没有准备将身份管理系统放到云端。
Archer说:“我们还没有到把活动目录放到云端的地步。我们维护自己的活动目录,用于员工和客户身份方面的管理。如果你把什么应用都迁移到云端,所有身份都在云端加以维护,无异于现在就把你最宝贵的应用程序放到云端;你确实要开始担心保护最宝贵的应用程序方面一大批不同的问题。要是黑客能访问活动目录,也就拥有了一切。”
学生贷款营销协会而是继续使用SailPoint基于网络的版本,它已用了两年。在这之前,该公司使用Excel电子表格和高度手动化的流程,每个季度审查员工访问信息系统的权限。
Archer说:“我们每个季度会从系统中获取所有的访问日志,然后把它们发给管理人员进行审批。借助SailPoint,我们实施了基于角色的访问控制机制……管理人员再也不必查看电子表格和员工个人的访问权限了。”
Archer表示,在过去的两年里,学生贷款营销协会将与合规有关的资源数量减少了40%,这归功于SailPoint这样的工具。
他说:“以前使用电子表格,这一切工作都是高度手动化的。我们基本上改变了一切。”
对学生贷款营销协会来说一个优点是,该公司已经购买了基于微软活动目录的身份管理系统,为每个员工提供单一身份和单次登录。SailPoint增添了对系统进行基于角色的访问,从而帮助学生贷款营销协会遵守需要经常审计的行业法规。
学生贷款营销协会表示,它在安装后头第一年就看到SailPoint方面的投入带来了回报。
Archer说:“去年,我们在访问管理控制方面接受了28次审计,所以拥有SailPoint这样一套系统解决了一个大问题。现在我可以向审计人员证明:没有人拥有对其角色而言不合适的访问权。”
学生贷款营销协会打算下一步为云应用程序和基于网络的应用程序实现资源的自动配置和取消配置。Archer希望在今年年底之前能有这项功能。
Archer说:“现在,我们有22个员工负责配置和访问方面的工作。我们的下一步是自动配置资源。我们将完全不用再操心这项工作;它多少将是一项自助式功能。自动配置资源这一步完成后,我们就有望把节省成本的幅度提高到70%。”
Archer给其他CIO的建议是,先要处理合规问题,然后再操心为基于云的应用程序和内部应用程序实现资源的自动配置和取消配置。
Archer说:“先确定组成成功和合适的访问级别的要素是什么。下一步是定义角色。如果你能搞好角色,那么在前端配置资源就会容易得多。最困难的部分是配置资源和取消配置。”
Aveksa公司总裁兼首席执行官Vick Viren Vaishnavi承认,如今像学生贷款营销协会这样的企业大多数把IAM解决方案留在内部,而不是采用托管服务。Aveksa同时拥有这两种解决方案。他表示,许多公司过于担心对员工可能对云端数据和应用程序采取的操作保持控制,于是不敢将身份管理的治理这部分外包出去。
Vaishnavi说:“在我看来,治理就是一种指挥与控制结构,它有助于遵守合规策略和法规。你希望在企业内部控制这方面,因为它好比是进入你王国的钥匙。大多数企业还准备好把它放到云端。”
他预测,在接下来的三五年内,更多的企业会习惯于处理验证和治理的托管服务,尤其是由于这些服务证明可以节省成本。
Vaishnavi说:“云端身份和验证的两大驱动因素是可以降低风险和成本。许多公司需要合规控制、运营控制和访问控制,并且避免审计罚金或惩罚。它们需要保护自己的品牌、缓解风险。但是另一个问题是成本。访问方面在不断变化。员工进进出出;合同工也进进出出。你如何让访问权限与在企业里面执行的角色保持步调一致?这方面需要高昂成本。”
Lighthouse安全集团的首席技术官Eric Maass表示,的确把IAM基础架构迁移到云端的公司有望将成本至少节省30%。这家公司销售基于IBM平台的托管型IAM服务。
Maass说:“节省的成本来自硬件和数据中心场地,但是主要还是人员和时间。你需要有人来扩建庞大的IBM、甲骨文或冠群身份管理系统。这方面很可能需要投入50万美元或100万美元。如果采用托管型应用程序,就可以避免薪水、行政管理、补丁管理和升级等方面的大笔成本。”
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。