作為包括1,000多家客戶的合同制造商,F(xiàn)lex 公司幾年前需要一種更安全的方式來管理供應商對其系統(tǒng)的訪問。
該公司供應鏈中上萬家的合作伙伴分布在全球各地,其規(guī)模從只有一個Gmail地址的小公司到大型跨國公司。許多公司使用多個帳戶和系統(tǒng)來訪問Flex公司的應用程序,而該公司沒有集中的方式來管理密碼或配置以及取消供應商對其網(wǎng)絡的訪問。由于其身份和供應商訪問環(huán)境的高度分散性,F(xiàn)lex公司的異?;顒訖z測能力也受到限制。
身份和訪問管理(IAM)的全面檢查
由于黑客使用從其合作伙伴竊取的網(wǎng)絡憑據(jù)對Target公司造成大規(guī)模攻擊的教訓仍然歷歷在目,F(xiàn)lex公司的領導者決定對該公司的供應商身份和訪問管理(IAM)基礎設施進行全面檢查。
Flex公司的管理人員希望確保其設計、構建和分發(fā)產(chǎn)品的客戶的關鍵知識產(chǎn)權(IP)和數(shù)據(jù)在其系統(tǒng)上保持安全。該公司還希望為供應商訪問其云計算和內部部署應用程序提供更好的體驗。Flex公司信息技術副總裁兼首席信息安全官Fritz Wetschnig說,“我們需要將事情做好以提高可見度,并為供應商提供更好的用戶友好性,使其與我們互動。”
該公司決定取消供應商用于訪問其系統(tǒng)的多個帳戶,而是以最低權限訪問實現(xiàn)單點登錄(SSO)過程。Wetschnig說:“我們還希望訪問日志具有可見性和透明性,因為如果企業(yè)有多個訪問點,則很難從安全角度發(fā)現(xiàn)偏差和可疑行為。因此,我們希望擁有集中式日志。”
從技術角度看,F(xiàn)lex公司的要求很明確。該公司希望采用軟件即服務(SaaS)應用程序,該應用程序可以為全球供應商提供SSO訪問其內部部署和云計算系統(tǒng)集合的權限。該技術需要支持SAML 2.0、自適應多因素身份驗證(MFA)、第三方用戶身份的自動登錄和注銷以及集中日志收集所需的技術。該技術還必須具有足夠的通用性,以充當Flex公司實現(xiàn)零信任身份驗證和訪問模型的長期目標的身份基礎。
Flex公司選擇身份識別與訪問管理解決方案提供商Okta公司作為其新的身份和訪問管理(IAM)平臺。Wetschnig說,Okta公司的技術滿足了Flex公司對多因素身份驗證(MFA)、單點登錄(SSO)、集中式目錄管理和供應商身份的生命周期管理的所有要求。Flex公司首席信息安全官Wetschnig說:“我們擁有活動目錄聯(lián)合身份驗證服務(ADFS)和活動目錄(AD),但它們都是內部部署的,我們的供應商使用的是SaaS應用程序。我們認為(在云計算和混合服務時代)繼續(xù)使用內部部署平臺沒有任何意義。”
簡化的訪問模型減少服務臺呼叫
大約四年前,市值250億美元的Flex公司將其由20,000多家供應商組成的網(wǎng)絡遷移到了新的身份和訪問管理(IAM)平臺。這些供應商的工作人員可以通過簡單的網(wǎng)頁登錄訪問Flex公司的系統(tǒng)。每個用戶都有一個帳戶和一組憑據(jù),用于管理對他們有權訪問系統(tǒng)的訪問。根據(jù)需要實施多因素要求,通常使用用戶的移動設備作為第二認證因素。
該平臺消除了用戶記住多個密碼或維護多個帳戶訪問不同系統(tǒng)的需求。Wetschnig說,“這是一個非常精簡的過程,并且在總體用戶體驗方面有了顯著的改善。我們的服務臺呼叫量已經(jīng)下降了75%至80%,這表明這是可行的。”
從操作的角度來看,F(xiàn)lex公司現(xiàn)在可以訪問集中的日志存儲庫,可以用來監(jiān)視供應商對其系統(tǒng)和客戶數(shù)據(jù)的訪問。完全基于網(wǎng)絡的方法消除了供應商對VPN訪問的需求。重要的是,F(xiàn)lex公司現(xiàn)在擁有一種更為有效的方式來為供應商人員配置和終止對其系統(tǒng)的訪問。
降低第三方訪問風險
許多企業(yè)很容易受到第三方訪問的損害。在One Identity公司在2019年11月發(fā)布的調查報告中,在接受調查的1000多名IT專業(yè)人員中,94%的受訪者表示,他們的組織允許第三方用戶訪問企業(yè)網(wǎng)絡的特權帳戶。61%的受訪者不確定這些用戶是否訪問或試圖訪問未經(jīng)授權的數(shù)據(jù),只有21%的受訪者具有立即撤銷不再為企業(yè)工作的第三方用戶訪問權限的機制。
Forrester Research公司分析師Andras Cser表示,“密碼管理、入職、轉移和離職是企業(yè)在處理供應商訪問時遇到的挑戰(zhàn)。第三方供應商必須確保終止其所有系統(tǒng)中的員工,其中包括允許訪問聯(lián)盟合作伙伴的應用程序的系統(tǒng)和身份提供商。”他指出,供應商通常不會及時終止離職員工的訪問權限,從而使員工不僅可以繼續(xù)訪問供應商的應用程序,還可以繼續(xù)訪問其業(yè)務合作伙伴的應用程序。
Okta公司的方法允許Flex公司直接集成到其合作伙伴ID系統(tǒng)。因此,當?shù)谌絾T工離職或被終止時,用戶訪問權限也會在供應商門戶中自動終止。當合作伙伴沒有ID系統(tǒng)時,F(xiàn)lex公司可以將Okta公司作為合作伙伴提供集中的空間來存儲和管理其ID。
在成功實施B2B之后,F(xiàn)lex公司決定使用Okta公司的服務來簡化其全球制造工廠的10萬多名車間工作人員的訪問。Flex公司工廠的工作人員只需要訪問功能簡單的一組應用程序,例如與時間和出勤以及企業(yè)一般信息有關的應用程序。
Wetschnig表示,由于訪問需求有限,F(xiàn)lex公司不想為車間每個工作人員設置一個AD帳戶。他說:“我們沒有為每人提供一個廣告帳戶,這是因為車間工作人員每人每月只需訪問一次或兩次即可,因此不劃算。”
與其相反,F(xiàn)lex公司的方法是為車間工人提供Okta移動應用程序,以通過Web登錄訪問應用程序。他說:“Okta公司擁有一個很好的模型,如果只有有限的訪問需求,將獲得優(yōu)惠價格。”Flex公司還在工廠車間設置了自助服務亭,其工作人員可以使用這些自助服務亭來訪問加班和出勤信息以及其他數(shù)據(jù)。
API訪問管理
Flex公司目前已在其企業(yè)范圍內部署了新平臺,以簡化其員工、供應商及其合同制造客戶的身份和訪問管理(IAM)。Wetschnig說,目前最大的挑戰(zhàn)是在需要保留在內部部署的內容和可以遷移到云平臺的內容之間找到適當?shù)钠胶狻?/div>
在接下來的幾年中,該公司計劃使用Okta的服務來啟用API訪問管理,以便第三方和其他人可以更輕松地訪問和圍繞其數(shù)據(jù)構建新的應用程序和服務。該公司的制造工廠也越來越趨于自動化,因此Flex公司不久將需要尋找新的方法來識別和配置機器人和其他智能設備的安全訪問權限。
隨著所有變革的展開,F(xiàn)lex公司面臨的一大挑戰(zhàn)將是弄清需要保持什么狀態(tài)以及可以將哪些內容放入云平臺中。Wetschnig說:“我所看到的是,很多人對傳統(tǒng)應用程序的重視程度不夠。有時候,在內部部署環(huán)境下工作的內容無法在云平臺中運行。”
Wetschnig指出:“許多媒體報道, 90%的應用程序被遷移到云平臺中,但我現(xiàn)在還沒有看到這種情況,總會有一些應用程序在內部部署環(huán)境中運行。”
版權聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。
京公網(wǎng)安備 11010502049343號