如今，身份和访问管理（IAM）平台已经成为企业网络安全计划的重要组成部分。它们通过基于角色的控制，来帮助企业组织管理数字身份以及用户对组织内系统、网络和关键信息的访问行为。

任何希望利用IAM的企业组织都会遇到这样一个关键的问题：IAM最佳部署模式是什么？可以说，每种IAM部署模式都是独一无二的，但仍然存在3种最主要的模式：现场部署、云端部署以及混合环境部署。这三种模式都有其独特优势，但同时也都存在弊端。

以下是企业组织在利用这些模式时可能会面临的一些挑战，以及管理它们的最佳实践：

3种IAM部署模式分析

1. 现场（on-premises）部署IAM

现场部署模式下，大多数IAM解决方案都需要占用大量的基础架构和平台。田纳西州健康保险公司BlueCross BlueShield（正在使用由Ping Identity提供的IAM产品）的信息安全经理Tim Skinner表示，提供持续的可用性及支持，以及从一家提供商的产品切换到另一家可能都会十分困难。

Skinner进一步补充道，现场部署IAM的另一项挑战是，IAM解决方案升级未必会被安全人员列为优先级事项，此外，现场部署产品还需要大量专业人员来运营和监控IAM堆栈，如此一来，无疑是为本就人员短缺的企业造成了额外压力。

身份和访问管理提供商Auth0的首席信息安全官Joan Pepin表示，过去，所有商业应用程序都会安置在企业防火墙的“内部”，网络边界十分明显。而现在，许多公司正在通过公共云使用多种软件即服务（SaaS）产品，将其自身数据暴露给面向Web的应用程序，并允许用户使用各种设备（如智能手机等）远程访问软件。

Pepin说，

这种现象为身份验证解决方案的安全性和性能造成了巨大的压力。在现场部署解决方案中，硬件规模、容量规划与管理，以及数据库管理都将是尤为重要的内容。

Pepin表示，如果说企业组织在人力、财力、物力等方面都已经配置齐全，且已经针对各种可能存在的问题做好了充分准备，那么现场部署可能会是一个不错的选择。但如果不是这样的话，仅仅为了身份验证需求就投入这么多，可能并不是最好的选择。

解决现场部署挑战的最佳方法，是投入时间和精力来全面收集公司需求，并从头开始创建一套周密严谨的方法，该方法需要考虑到公司所有利益相关者、当前及未来的集成、用例及功能方面的内容。其中应包含数据中心容量规划，以及对业务的地理分布及性能方面的透彻理解。

Skinner表示，企业组织可能还会考虑实施私有云基础设施即服务（IaaS）和平台即服务（PaaS）产品。这能确保公司在保持控制及资产完全自有的基础上，还享有混合方法的种种好处。

2. 云端部署IAM

Skinner表示，基于云的IAM所面临的挑战是缺乏经验丰富的云系统安全专家。由于缺乏专业人员而产生的错误实践所导致的信息安全风险增加，可能会为这种模式带来不必要的后果。

此外，利用SaaS访问控制系统需要现场协调符合当前安全身份验证和授权标准。公司还需清楚如何配置和集成现场系统与云IAM系统。

如果贵公司有保证生产数据不被非生产环境云租户访问的策略和实践，那么某些SaaS应用可能会要求公司的策略稍作修改。如果说一个SaaS产品允许自定义，你应该如何进行开发、测试和部署呢？它会与您当前的部署和自动化团队的流程及工具保持一致吗？

Skinner表示，使用云模式，您必须要清楚自己正在做什么，以及为什么这么做。他说，

单纯采纳云优先策略，必将迎来痛苦的体验和遗憾。解决IAM云挑战最重要的方法是构建一个连贯的云战略，可以与您的IAM需求、预算、人力资源要求、技术及人力限制，以及IAM架构保持一致。

企业组织必须能够根据预期衡量结果，并愿意基于自己的指标接受方向上的变化。对此，Skinner解释称，

您的IAM云策略必须支持贵公司的IAM目标，并能在企业文化的约束下存活。

Pepin表示，云部署是最安全最无缝的模式，但确保有效集成可能会存在一些挑战。他说，

云模式面临的困难之一就是得确保公司正确设计并实现了安全及合规控制，例如访问控制、日志记录和监控等。您在现场部署中的所有控制目标都可以在云部署中实现，但往往需要一套不同的方法和工具。

Pepin补充道，另一个困难是跨多个独立公司的身份管理。这有可能导致一家企业中存在多种身份，造成安全和管理上的复杂化。他说，

可靠的身份即服务（IDaaS）平台可以解决与云系统相关的身份挑战。通过将独立的平台服务整合到您的环境中，就可以轻松地完成容量规划、硬件、核心功能开发等工作，将公司人员解脱出来去处理与终端用户体验有关的问题。此外，它还能使管理层专注于组织整体战略中最有价值的专业技能和知识产权的核心领域，同时将IAM的复杂性留给外部专家。

3. 混合IAM平台部署

Pepin表示，混合IT模式是许多正在进行数字化转型的企业组织会采取的第一步措施。她说，“相比完整的私有云，混合模式对资金和资源的要求都没那么高，使其能够在技术人员中流行开来。”

混合部署可以帮助组织弥合现场部署和云部署之间的差距，为组织提供云环境的可扩展性和其他功能之余，也能保持现场部署情况下企业安全部门的业务熟练度。

不过，在这种情况下，管理成本和技术复杂性会相对更高一些，并且还需要一个全面的架构才能实现无缝工作。想要获得混合部署的成功，就需要有全面细致的设计和对选择混合模式想要达到的目标的深入理解。

除此之外，了解哪些工具和接口属于哪个区域，以及为什么要这么部署，是最好的开始方式。然后，还需要确保贵公司的运营过程和操作手册考虑到该部署模式下增加的故障处理及维护复杂度，这对于混合部署的成功运营至关重要。

Skinner表示，

确定公有云服务和私有云服务的使用水平可能会增加运营复杂性，而且与云模式一样，一旦操作有误，混合环境的安全风险也可能会增加。

以Motorists保险集团为例，该公司采用的就是混合模式，虽然其在遗留应用上投入了很多，但其同时也致力于现代化并迁移到“云优先、移动优”策略。

Motorists保险集团信息安全助理副总裁Tony DeAngelo表示，

我们拥有基于云的应用程序，以及要求能够为全联邦用户提供/取消供应的合作伙伴关系。同样地，我们还有遗留应用，这些遗留应用不仅不支持现代身份验证或供应，还需要特殊的连接器或不支持云解决方案的特定编码方式。混合解决方案对我们来说是必要的部署模式，不仅是出于运营目的，也是帮助我们实现理想的最终状态的最佳选择。

混合模式整合了其他两种方式的各个方面（利和弊）。虽然它最大限度地提高了灵活性，但同时也需要额外的部署成本与管理开销。

目前，Motorists公司对现场IAM实现了标准化，并将其集成到公司的遗留应用程序与门户中。DeAngelo表示，

当我们展望未来时，我们知道公司需要一个敏捷的平台，可以让我们更好的适应业务发展需求。为此，Motorists采取了三管齐下的方法，采用了来自SailPoint公司的配置和治理产品，来自Okta的单点登录系统（SSO）和多因素身份验证（MFA），以及来自CyberArk的特权访问管理平台。这三种方法创造了一个符合公司IAM需求的混合平台，发挥了现场解决方案及云解决方案各个组件的优势，提供了我们所需的灵活性和广泛适用性。

为了防止管理和成本成为公司的负担，Motorists依靠标准和自动化，并贴合其持续发展的企业目标。这使得该公司可以更专注于支持业务和授权用户，并减少系统维护和平台刷新所需的时间。

最后，DeAngelo强调，

总之，IAM解决方案必须符合您的企业文化，并能够驱动业务发展。所以，您必须了解自己公司的方向，并与业务合作伙伴保持一致，以便他们提供所需的结果。