SailPoint共同創(chuàng)始人和副總裁Jackie Gilbert稱(chēng)，當(dāng)一個(gè)機(jī)構(gòu)購(gòu)買(mǎi)第6個(gè)或者第8個(gè)SaaS應(yīng)用時(shí)，它就出現(xiàn)麻煩了。我們將會(huì)看到審計(jì)人員更多地關(guān)注這個(gè)問(wèn)題以及與這個(gè)問(wèn)題有關(guān)的更多的安全問(wèn)題。SailPoint銷(xiāo)售的軟件能夠使這些應(yīng)用遵守企業(yè)的政策。

Gilbert稱(chēng)，IT部門(mén)正在發(fā)現(xiàn)，如果購(gòu)買(mǎi)這些應(yīng)用的部門(mén)處理軟件設(shè)置或者不進(jìn)行設(shè)置，他們就不能管理或者控制訪(fǎng)問(wèn)Salesforce、GoogleApps、Concur、ADP、Workday、Taleo或者Box等流行的云應(yīng)用。

Gilbert表示，因?yàn)檫@是在IT部門(mén)以外做的事情，一般不會(huì)采用接入控制最佳做法和這種紀(jì)律。一個(gè)機(jī)構(gòu)開(kāi)始采用的SaaS應(yīng)用越多，他們開(kāi)始看到的安全問(wèn)題就越多。

下面是當(dāng)你的云應(yīng)用產(chǎn)品組合日益增多的時(shí)候，你的身份識(shí)別和接入管理解決方案不起作用的一些常見(jiàn)的跡象。

1.最終用戶(hù)把云應(yīng)用的用戶(hù)名和口令列表用立可貼便條紙貼到所有的電腦上。這個(gè)問(wèn)題的解決方案是采用支持你的托管的應(yīng)用組合以及你的目錄系統(tǒng)的單一登錄系統(tǒng)。

2.員工離開(kāi)公司，但是，他們?cè)L問(wèn)云應(yīng)用的權(quán)限沒(méi)有刪除，從而導(dǎo)致無(wú)人使用的賬戶(hù)的擴(kuò)散。要解決這個(gè)問(wèn)題，你需要一個(gè)自動(dòng)解除配置的系統(tǒng)。像傳統(tǒng)的應(yīng)用程序一樣，當(dāng)員工離職時(shí)自動(dòng)取消云應(yīng)用的訪(fǎng)問(wèn)權(quán)限。

3.管理員不再批準(zhǔn)新員工的數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限。大多數(shù)大型企業(yè)有訪(fǎng)問(wèn)控制系統(tǒng)，自動(dòng)生成電子郵件讓管理員批準(zhǔn)用戶(hù)的權(quán)限。但是，這些訪(fǎng)問(wèn)控制系統(tǒng)一般不包括托管的應(yīng)用。

4.沒(méi)有人監(jiān)視云應(yīng)用以保證接入是最新的。隨著員工的職務(wù)在公司內(nèi)部的變化，他們?cè)L問(wèn)信息的權(quán)限也應(yīng)該變化。一個(gè)典型的問(wèn)題是權(quán)限蔓延，也就是一個(gè)員工在工作調(diào)動(dòng)或者晉升之后訪(fǎng)問(wèn)權(quán)限沒(méi)有改變，繼續(xù)保持訪(fǎng)問(wèn)新的信息的權(quán)限。IAM解決方案能夠識(shí)別出擁有過(guò)多訪(fǎng)問(wèn)權(quán)限的員工。

5.你的賬戶(hù)會(huì)流失到離開(kāi)你的公司的一位銷(xiāo)售人員的新雇主。Lighthouse安全集團(tuán)稱(chēng)，它的一位客戶(hù)注意到它的賬戶(hù)流失給一位被解雇的主要銷(xiāo)售人員。這個(gè)銷(xiāo)售人員的賬戶(hù)從來(lái)沒(méi)有被從Salesforce應(yīng)用中刪除，并且一直用存儲(chǔ)在那里的專(zhuān)有數(shù)據(jù)收集該公司客戶(hù)的信息。

IAM廠(chǎng)商表示，由于集成了大多數(shù)流行的云應(yīng)用，他們能夠解決所有上述五個(gè)問(wèn)題。

Courion首席運(yùn)營(yíng)官Dave Fowler解釋了IAM工具如何解決基于網(wǎng)絡(luò)的和基于云的應(yīng)用程序的問(wèn)題。他說(shuō)：“我們挖掘用于員工信息的人力資源系統(tǒng)。這將觸發(fā)一個(gè)自動(dòng)流程，自動(dòng)調(diào)出一個(gè)人員并且為他們提供權(quán)限。這個(gè)用戶(hù)會(huì)自動(dòng)得到一個(gè)電子郵件賬戶(hù)和一個(gè)主動(dòng)目錄接入信息。然后，向這些員工的經(jīng)理發(fā)一封電子郵件申請(qǐng)。經(jīng)理點(diǎn)擊不同的應(yīng)用批準(zhǔn)訪(fǎng)問(wèn)權(quán)限。當(dāng)批準(zhǔn)完成之后，這個(gè)員工就制動(dòng)配置完畢。我們記錄一切事情。我們知道誰(shuí)得到了訪(fǎng)問(wèn)什么數(shù)據(jù)的權(quán)限。我們對(duì)于入職和離職都采取同樣的工作流程。”