优秀的IAM软件及解决方案

随着行为分析和零信任成为访问管理产品中越来越重要的组成部分，身份和访问管理(IAM)市场正在发生重大变化。

越来越多的用户正在远程访问应用程序，因此限制远程员工、合作伙伴和客户的访问至关重要。静态单点登录(SSO)或多因素身份验证(MFA)产品无法在企业级别上解决问题，因为企业级别上的漏洞成本很高。这些成本可能包括数据丢失、知识产权被盗、客户信任和声誉受损、事件响应成本、停机时间，以及如果涉及个人身份信息(PII)，则由GDPR和CCPA等合规规定开出的高额罚款。

高级IAM解决方案

Cisco

思科在2018年收购Duo Security，让这个网络巨头在IAM和零信任方面都有了强大的存在。凭借其Tetration微分段技术、SD-Access结构和身份服务NAC解决方案，思科可能是国外唯一跨IAM、零信任、微分割和网络访问控制的供应商。该公司广泛的投资组合，使其独特的定位，以成为一个参与者在不断发展的访问管理和零信任市场。

关键结论:Duo是思科零信任方法的一部分，IAM工具拥有一些最快乐的用户。

优点:

•简单的二次认证方法，易于使用和有效

•思科是零信任领域的早期领导者，为客户提供了与单一供应商一起成长的空间

缺点:

•或许对思科商店来说是最好的，但那些愿意学习的人将获得回报

Duo可能是一个较小的IAM玩家，但它的用户是最快乐的，给产品的产品功能，管理，支持和价值的高分，它也很容易为最终用户。它作为辅助身份验证方法运行，因此它不存储用户凭据。Duo提供身份验证，设备可见性和姿态评估，无论用户和应用程序位于何处。

Idaptive

Idaptive于2020年5月被CyberArk收购，在顶级IAM供应商和顶级特权访问管理(PAM)公司之间创造了一个非常有趣的联姻(这是一个相当奇怪的转变，因为PAM的另一个领导者Centrify在2018年剥离了Idaptive)。CyberArk也在为新兴的零信任市场定位产品，提供跨workforce、第三方、终端、移动设备和消费者用户的SSO、MFA和身份生命周期管理。行为分析为用户设置基线，并可以在检测到异常行为时触发警报和访问更改。Idaptive在功能、价值、部署的便捷性和支持方面取得了良好的成绩。这是市场上最好的自适应访问控制产品之一。通过此次收购， CyberArk将扩展其在混合和多云环境中以各种特权级别管理和保护身份的能力，使客户能够通过更高效和无缝的用户体验来改善其整体安全状况，并满足日益增长的复杂法规要求。

关键结论:行为分析和适应性访问使这个市场领先的IAM产品与众不同。

优点:

•行为分析和自适应访问管理

•CyberArk的收购可能会让它成为一个零信任的玩家

缺点:

•细粒度认证和API保护可能会更好

Oracle

Oracle已经整合了一个强大的身份和访问管理产品套件，它跨越了云计算和本地部署。上下文感知的访问产品与广泛的应用程序、服务器和系统集成，包括自定义应用程序。它在易于部署、身份验证和访问管理、单点登录和支持以及用户对价值的感知高于平均水平方面获得了很高的评价。

关键结论:一个功能齐全的访问管理套件，得到了用户的好评。

优点:

•易于部署、单点登录、认证和访问管理是突出的特性

•良好的价值

缺点:

•行为特征不像其他主要解决方案那样强大

Okta

Okta长期以来一直是访问管理、认证和单点登录的领导者。通过一种简单且易于管理的基于SaaS的方法，Okta为用户提供了一种实现IAM和零信任的方法，而且没有太多的复杂性。行为跟踪是一个加分项，该产品提供了多种认证选项，包括多因素、单点登录和生物识别。

2021年7月31日，Okta完成对Auth0的收购，Okta和Auth0共同支持一系列广泛的身份使用场景，这起收购将加快两家公司的共同愿景：使每个人都能安全地使用任何技术，从而塑造互联网身份的未来。Auth0将作为Okta内部的一个独立业务部门来运作；两套平台都将得到支持、投资和逐步整合，从而变得更引人注目。因而，企业组织将有更大的余地来选择满足其独特需求的身份解决方案。Okta和Auth0全面而互补的身份平台足够强大，可以为全球最大的组织提供服务，而且足够灵活，可以支持众多身份使用场景，无论受众或用户是谁。

关键结论:一个访问管理领导者，早期的信任也是零。

优点:

•一个简单的方式进入IAM和零信任

•多个认证选项

•行为跟踪

缺点:

•不是市场上最便宜或最复杂的产品

零信任安全为Okta客户提供了一条前进的道路。通过一种简单易管理的基于SaaS的方法，Okta为用户提供了一种实现IAM和零信任的方法，而不需要太多的复杂性。行为跟踪是一个加号，该产品提供了许多身份验证选项，包括多因素，单点登录和生物识别。一些用户希望得到更好的报告和更高级的功能，但Okta对于中小企业来说尤其是一个不错的选择。支持率一般。

IBM

IBM Security Verify Access用户通常对解决方案的功能感到满意。该软件产品通常提供比SaaS产品更大的功能，但IBM在所有用户中都得到了很好的评价，甚至在价格上，它在IAM产品中排名前一半。其先进的功能也受到用户的高度重视。

关键结论:来自用户的高分和高于平均价格可能会让任何复杂性都变得值得。

优点:

•高级功能和价值

缺点:

•管理和部署方面存在一些复杂性

IBM Security Verify Access用户通常都很满意。他们称赞该产品的先进功能，而复杂性一直是他们希望看到改善的一个方面。该软件产品通常提供比SaaS产品更大的功能，但IBM在所有用户中都得到了很好的评价，甚至在价格上，它在IAM产品中排名前一半。部署时间可能比平均时间要长，但总而言之，强大的IAM产品具有可靠的路线图。

Ping

Ping Identity提供一系列访问管理解决方案:软件、基于云计算、混合、企业级和无密码都是选项。Ping系列产品几乎在所有地方都取得了良好的成绩，该公司不断的开发努力确保了它将在很长一段时间内成为一个竞争者。Ping对几乎所有人都有一个选择。

PingOne for Enterprise可为任何用户在任何设备上的任何应用程序提供一键式访问。这是提供单点登录（SSO）和为无限数量的应用程序进行配置的简单快速的方法。我们支持与流行应用程序的1,700多种现成集成，从而为您的员工提供了快速实现价值的机会。使用Ping，总是使用安全的身份标准来实现集成。

关键结论:Ping的一系列产品让几乎所有人都可以选择它。

优点:

•产品范围广泛

•强大的产品开发能力

缺点:

•部署时间可能高于平均水平

•管理的复杂性和报告的局限性

Ping Identity提供一系列访问管理解决方案:软件、基于云计算、混合、企业级和无密码都是选项。部署、管理和报告可以改进，但除此之外，Ping产品线几乎在所有地方都取得了良好的成绩，该公司不断的开发努力确保了它将在很长一段时间内成为竞争者。Ping对几乎所有人都有一个选择。

OneLogin

OneLogin是一个非常平衡的产品，具有易用性和部署性，以及强大的功能。上线和下线都很快，IAM产品也拥有超过6000个应用集成和端点功能。该产品提供了可靠的价值，一些用户报告在定价方面具有灵活性。

关键结论:强大的产品功能以及易于部署和使用是OneLogin的突出特性

优点:

•坚固、平衡的产品

•易于部署和使用

•价值

缺点:

•报告可以改进

OneLogin是一个非常平衡的产品，具有易用性和部署性，以及强大的功能。上线和下线都很快，IAM产品也拥有超过6000个应用集成和端点功能。该产品提供了可靠的价值，一些用户报告在定价方面具有灵活性。报告是用户注意到的少数薄弱领域之一。

Symantec

博通的赛门铁克是名单上唯一一个在特权访问管理和零信任方面处于领先地位的供应商，现在为客户提供了广泛的产品，将来也会提供一些保护。IAM是更广泛的身份安全套件的一部分，其中包括基于SaaS的VIP和高级身份验证解决方案。VIP Access Manager从用户那里得到了很强的评分，它是少数几个得到正确报告的解决方案之一。

关键结论:我们列表上唯一的供应商是PAM的领导者，但也是零信任的。

优点:

•广泛的访问管理产品

•良好的报告

缺点:

•适应性访问和策略管理可以更好一些

博通的赛门铁克是我们名单上唯一一个在特权访问管理和零信任方面处于领先地位的供应商，现在为客户提供了广泛的产品，将来也会提供一些保护。IAM是更广泛的身份安全套件的一部分，其中包括基于saas的VIP和高级身份验证解决方案。VIP Access Manager从用户那里得到了很强的评分，它是少数几个得到正确报告的解决方案之一。适应性访问和政策管理可以改进，但我们还在吹毛求疵。

访问管理市场竞争激烈，以下是其他一些值得注意的IAM供应商:

·        Micro Focus

·        Microsoft Azure Active Directory

·        RSA

·        SecureAuth

·        ForgeRock

·        SailPoint

 

IAM产品所需要的

一个好的IAM产品的标准特性包括自适应和上下文认证、SSO、MFA、访问策略管理和执行、会话管理、日志和报告，以及与应用程序和安全产品(如CASB、端点和Web访问防火墙)的集成。Gartner指出，对SAML、OAuth和OIDC等身份协议的支持也很重要，基于标准的联合也很重要，而不是尽可能地加密。

基于云的SaaS产品正在成为IAM市场中越来越重要的一部分。一些基于云的工具是为云定制的，一些与本地工具共享DNA。在某些情况下，供应商提供的云IAM工具可能没有其本地提供的所有功能，所以请检查路线图，确保功能对等性是计划的一部分。

可见性也很重要,能够看到整个IT基础设施,包括云,谁有权访问什么,他们所能做的访问,如果是适当与组织的关系,并理解安全与行为风险存在与用户访问。

IAM还提供了一种方法来简化用户的入职和离职，以及随着时间的推移关系的变化而自动地对系统和应用程序的访问。如果操作正确，它提供了避免常见现象的方法，如审计日志不足或丢失、特权蔓延、特权升级攻击以及一般的身份混乱和密码混乱。

零信任安全产品的兴起

一个值得关注的趋势是零信任安全产品的兴起。这些新的访问控制工具只限制对用户需要的数据和应用程序的访问，而不是授予他们对整个网络的访问权，从而降低了网络内横向移动的风险。这个市场还很新，但Gartner预计这些产品的销售将在2021年开始增长。IAM供应商已经在开发自己的零信任方法，并将继续这样做。

IAM现实的挑战

在建立身份和访问管理系统时，有许多挑战需要克服。其中一个主要的目标是获得对身份岛屿的控制。在一个典型的组织中，由于shadow IT、IT消费化和更多SaaS应用程序的出现，很难知道所有的身份存储库存在于何处。组织必须获得IAM难题的所有部分的可见性。一旦您有了可见性，您就可以从集中式视图有效地管理标识，这有助于将风险降至最低。

另一个挑战是将风险分配给用户、应用程序和系统。这就要求根据敏感性和重要性对人员和数据进行优先排序，以便集中精力首先保护最重要的东西。此外，管理层在为组织系统、应用程序及其中心身份存储库定义角色和指定时提供输入可能会比较缓慢。特权访问管理(PAM)可以帮助处理最敏感的帐户。

如何为您的网络建立IAM系统

IAM安全性的设置与项目有关，这里有一些成功实施的指导方针供参考：

l 评估当前IT体系结构和未来需求

l 列出必须与IAM集成的标准应用程序与内部应用程序的版本细节

l 确保当前操作系统、第三方应用、web服务器、身份和访问管理工具之间的兼容性

l 将访问控制设备(包括读卡器和其他接入硬件)与IAM解决方案集成

l 明确用户角色，定义个人或组的访问权限和限制

l 评估所需的定制水平，使IAM适合企业

l  确认系统符合当地或国家政府的法律法规要求

参考

www.esecurityplanet.com

↑↑↑长按图片识别二维码关註↑↑↑

原文始发于微信公众号（全栈网络空间安全）：优秀的IAM软件及解决方案