盘点:9款身份和访问管理工具

news2024/11/19 3:31:52

身份和访问管理(IAM)长期以来一直是安全领导者职业生涯的关键“试炼场”,许多人在身份技术部署方面做出了事关成败的决定。
确保安全访问和身份管理是网络安全态势的两大基础
。同时,人员、应用程序和系统登录的方式以及它们彼此集成的方式也是业务利益相关者的可见触点。安全专家无疑像在走钢丝,以努力寻求可用性和安全性方面的平衡。

薄弱的IAM控制和身份验证机制使企业面临攻击、帐户受损和安全可见性受限等风险,严重的话甚至还会扰乱业务流程。

** IAM工具变化** ** 形势**

对于四处寻求IAM技术的组织来说,好消息/坏消息是,该领域已经变得更加微妙和强大,尤其是在过去五年间。这些工具使得在混合和多云环境中管理身份、处理特权帐户、获得对登录模式的更大可见性,以及基于风险因素进行身份验证变得更加容易。

德勤风险和财务咨询的董事总经理Naresh Persaud表示,

“我们在IAM解决方案中看到了非常明显的市场细分。无论解决方案可以通过AI简化用户体验、与云服务提供商集成以改进工作负载管理,还是通过高级分析提供对IAM操作的更好洞察,如今的可用功能比以往任何时候都多,可供组织用于构建强大的计划。”

与此同时,随着新功能呈现爆炸式增长,IAM市场也创造了数量惊人的子市场,其功能有时是独立产品,有时是更广泛平台的一部分。随着供应商在该领域迅速融合,后者(更广泛平台的一部)变得越来越有可能,从而创造了子市场和功能的高度交叉。

托管服务提供商Nuspire的首席安全官(CSO)JR Cunningham解释道,

“许多产品公司完全专注于身份治理和管理(IGA),而其他公司则专注于特权访问管理(PAM),这两者都是有效身份认证计划的关键要素。身份认证可能是产品分布最广泛的领域,业内有许多参与者都提供多因素身份验证(MFA)技术。对于一个组织来说,定义他们当前的能力和要求以确保他们能够选择满足其需求的产品至关重要。”

** 建立身份认证计划**

Cunningham解释称,构建身份认证计划和选择平台需要一系列决策,如果组织能够按照正确的顺序进行决策,通常会取得最大的成功。例如,缺乏强大的基本身份认证功能(例如多因素身份认证[MFA]和单点登录[SSO]功能)的组织将难以支撑特权访问管理(PAM)。同样地,缺乏这两个组件以及定义良好的员工身份管理流程的组织,也将无法从身份治理和管理平台(IGA)中获得全部价值。成功的组织会“按顺序”行事:
身份验证、特权访问管理(PAM)/特权身份管理(PIM)、身份治理和管理平台(IGA)

在组织评估身份认证技术时,Persaud还建议考虑跨组织的应用程序组合、业务线和用户群扩展部署的问题。他解释称,部署IAM平台时面临的最大挑战之一就是大规模部署。虽然IAM工具在集成并连接到更多应用程序时绝对可以提供更多价值,但除非组织采用可预测、可重复的方法来扩展运营,否则很难实现这种价值。特别是,当他们使用面向服务的运营模式来扩展IAM平台时,它将帮助应用程序所有者、利益相关者和业务线领导者在努力扩展IAM使用和实现其价值时都得到支持。

** IAM工具**

以下是IAM领域的一些头部竞争者:

Avatier

凭借在IT服务管理(ITSM)和帮助台领域的悠久历史,Avatier主要依靠在自动化用户配置和密码管理方面的深厚根基来交付其IGA平台。最近,该公司在现代化工作中投入了大量资金,将其Identity
Anywhere平台构建为可以云托管或非托管的容器化解决方案。其更新版本增加了无密码SSO支持和跨移动、云和协作平台(包括Slack、Teams和ServiceNow)的通用用户体验。它支持连接到90多个企业和5000个云应用程序和平台,以及用于定制集成的通用低代码/无代码连接器。

这是一个备受分析师青睐的平台,自称是Forrester Wave或Gartner魔力象限等矩阵中“面向市场领导者的更实惠的解决方案”。

BeyondTrust

作为PAM利基市场的中流砥柱,BeyondTrust通过并购和内部创新,持续增强其管理特权账户、云授权和IT机密的能力,并增加了许多新功能。除了PAM之外,该公司的平台还通过其Active
Directory Bridge技术为远程访问、跨Windows和Mac以及Unix和Linux的端点权限管理提供集中管理能力。

它现在也是云基础设施授权管理(CIEM)领域——PAM的自然分支——的参与者,通过其更新的Cloud Privilege
Broker技术来管理跨多云环境的权限。据Gartner分析师称,这是一家与合规和审计领域有着密切联系的供应商,区别之一在于其报告和可视化能力;客户可以通过该公司的BeyondInsight分析包进行高级分析。

CyberArk

根据Forrester
Research的数据显示,通过将PAM与身份认证即服务(IDaaS)交付相结合,CyberArk已成为收入最高的PAM供应商。2020年,它通过收购Idaptive巩固了自己在SaaS领域的地位,并推出了员工SSO和端点MFA、客户身份管理功能、无密码选项和用于帐户管理的自助服务功能。Gartner分析师指出,CyberArk某些员工用例的定价可能远高于平均水平。它具有强大的分析能力,可以为更成熟的安全指标程序提供数据。它还提供基于风险的身份验证(RBA),管理员可以针对高中低风险容忍度进行微调。

CyberArk还通过其Cloud Entitlements
Manager平台提供成熟的云基础设施授权管理(CIEM)功能,包括权限暴露风险评分,该平台适用于大规模和多云环境。在身份认证即服务(IDPaaS)方面,Forrester表示,对于那些想要“将基于风险的方法应用于IDaaS”并将其与特权身份管理功能同步的组织来说,CyberArk是个很好的选择。不过,该分析师还警告称,其性能方面可能存在问题,理由是最近的服务降级事件和缺乏产品可扩展性的可靠记录。

ForgeRock

作为融合身份产品价值的典型代表,ForgeRock将员工、用户和物联网设备身份的访问管理整合到一个产品集中,可以通过其身份认证即服务(IDPaaS)交付模型进行捆绑或解耦。该平台包括强大的身份治理组件,适用于寻求身份生命周期管理等IGA功能的人。同时,它在有远见的开发人员和DevOps人群中也特别受欢迎,不仅因为它的云优先原则,还因为它强大的REST
API框架、开发人员工具、社区和API访问控制。

Gartner分析师最近指责Forgerock的分析能力低于其他访问管理族群的平均水平,这主要是因为迄今为止,它仍无法提供自己在2020年的路线图中所承诺的用户和实体行为分析(UEBA)能力。

Microsoft Azure Active Directory

据Forrester分析师称,微软正凭借其Microsoft Azure Active
Directory产品迅速进入IAM竞争者名单,该产品拥有强大的IDaaS安装基础——超过300,000名付费客户。Gartner将Azure
AD在这方面的快速增长归因于,它在2020年与Microsoft 365和Microsoft Enterprise Mobility and
Security(EMS)的捆绑操作,数据显示,此举使该产品的安装基数翻了一番。

它还通过内部创新迅速加快了PAM和IGA功能的发展速度,以及通过收购CloudKnox
Security获得了CIEM功能。不过,Gartner分析师指出,Azure AD的功能仍然落后于访问管理领域的其他领导者。

Okta

尽管Okta在最近的数据泄露事件中名誉受损,但不可否认,它仍然是IAM领域的重要选择之一。自2009年成立以来,Okta一直是一家“以云为中心”的企业——当时云部署仍然是许多企业的边缘用例。其SaaS平台提供了一系列捆绑或独立的功能,可在混合和复杂的多云环境中工作,包括SSO、MFA、API访问管理、生命周期和用户管理,以及身份自动化和工作流编排。

它拥有市场上最强大的API和连接器生态系统之一,去年针对Auth0的收购活动也使其在客户IAM领域的地位得以巩固。此外,它还通过去年发布的Okta
Privileged Access平台顺利进入PAM领域。

One Identity

在去年收购OneLogin之前,One
Identity一直是一家PAM和IGA供应商,拥有丰富的企业友好型功能集,且深深植根于本地IAM领域。同时,OneLogin还是对价格敏感且无需大量管理或治理功能的中小型组织的轻量级、纯IDaaS选项之一。

根据Forrester的看法,将OneLogin纳入其中使得One
Identity有机会加入IDaaS竞争行列,并将自己与不具备原生PAM或IGA功能的供应商区分开来。这与CyberArk对Idaptive的收购活动有异曲同工之妙。不过,此次结合仍处于早期阶段,因此One
Identity将如何整合OneLogin技术并交叉融合双方的功能优势还有待观察,也不清楚合并会不会影响OneLogin产品的定价。

Ping Identity

Ping Identity通过结合Ping
One(IdaaS平台)和PingFederate(联合SSO)跨越了SaaS和本地IAM之间的鸿沟。除了标准的员工和用户IAM功能(如SSO、MFA和云身份功能)之外,PingOne还通过过去两年进行的一系列收购将去中心化身份功能分层。Ping最近还开发了一个低代码流程设计器并加强了RBA。

正如Gartner解释的那样,Ping不是一个完整的IAM一站式平台,它对身份管理功能涉入不深,这也使其对小型组织或那些寻求嵌入式IGA或PAM功能的组织不太受用。

SailPoint

作为IGA市场的中坚力量,SailPoint专为具有复杂环境的分布式企业而设计,这些企业需要复杂的自动化和集成功能,通过改进配置、分析和基于风险的身份组合治理,帮助将身份认证计划成熟度提升到一个新的水平。

Forrester表示,SailPoint平台在用户生命周期管理、合规性管理、与应用程序的强大集成以及对IAM系统的支持方面表现最佳。

网络安全工程师企业级学习路线

这时候你当然需要一份系统性的学习路线

如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。

一些我收集的网络安全自学入门书籍

一些我白嫖到的不错的视频教程:

上述资料【扫下方二维码】就可以领取了,无偿分享

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/371502.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

以业务行为驱动的反入侵安全能力建设

0x0 背景 最近听到一些甲方安全领域的专家分享了部分安全建设的经验,对安全运营下的反入侵技术能力建设有了些新的看法,依靠单个/多个异构的安全产品的关联能力形成的安全中台并不能在实际的攻防对抗当中占据主动地位,且很容易达到一个天花板…

Mr. Cappuccino的第45杯咖啡——Kubernetes之部署SpringBoot项目

Kubernetes之部署SpringBoot项目创建一个SpringBoot项目将SpringBoot项目打成Jar包使用Dockerfile制作镜像部署SpringBoot项目创建一个SpringBoot项目 pom.xml <?xml version"1.0" encoding"UTF-8"?> <project xmlns"http://maven.apache…

一、前端稳定性规约该如何制定

前言 稳定性是数学或工程上的用语&#xff0c;判别一系统在有界的输入是否也产生有界的输出。若是&#xff0c;称系统为稳定&#xff1b;若否&#xff0c;则称系统为不稳定。 前端稳定性的体系建设大约可以分为了发布前&#xff0c;发布后&#xff0c;以及事故解决后三个阶段…

建立做机器学习项目的范式

建立起做机器学习项目的范式&#xff0c;萃取出核心步骤&#xff0c;避免后面做项目没有明确的方向。 核心步骤&#xff1a; 1、明确自己想做什么样的项目&#xff0c;感兴趣的领域&#xff1b; 2、找到满足项目的数据集&#xff0c;开源的或者自建数据集&#xff1b; 数据…

《数据结构》二叉树面试题

&#x1f451;作者主页&#xff1a;Java冰激凌 &#x1f4d6;专栏链接&#xff1a;数据结构 目录 给定一个二叉树, 找到该树中两个指定节点的最近公共祖先力扣 思路分析 代码 思路拓展 根据一棵树的前序遍历与中序遍历构造二叉树。力扣 思路分析 代码 根据一棵树的中序遍历与…

Linux系统看门狗应用编程

目录看门狗应用编程介绍打开设备获取设备支持哪些功能&#xff1a;WDIOC_GETSUPPORT获取/设置超时时间&#xff1a;WDIOC_GETTIMEOUT、WDIOC_SETTIMEOUT开启/关闭看门狗&#xff1a;WDIOC_SETOPTIONS喂狗&#xff1a;WDIOC_KEEPALIVE看门狗应用编程实战在产品化的嵌入式系统中&…

[计算机网络(第八版)]第二章 物理层(章节测试/章节作业)

章节作业 带答案版 选择题 (单选题)双绞线是用两根绝缘导线绞合而成的&#xff0c;绞合的目的是&#xff08; &#xff09;。 A. 减少干扰 B. 提高传输速度 C. 增大传输距离 D. 增大抗拉强度(单选题)在电缆中采用屏蔽技术可以带来的好处主要是&#xff08; &#xff09;。 A…

DNS 域名解析

介绍域名 网域名称&#xff08;英语&#xff1a;Domain Name&#xff0c;简称&#xff1a;Domain&#xff09;&#xff0c;简称域名、网域。 域名是互联网上某一台计算机或计算机组的名称。 域名可以说是一个 IP 地址的代称&#xff0c;目的是为了便于记忆。例如&#xff0c…

Latex中的表格(2)

Latex中的表格一、一个加脚注的三线表的例子二、一个表格中加注释的例子三、两个并排的两个表格的例子3.1 使用小页环境并排表格3.2 使用子表格并排表格四、一个格式复杂的表格的例子五、一个长表格的例子这篇文章主要罗列一些特殊的表格例子。内容来自&#xff1a;一篇北师大学…

深度剖析数据在内存的存储

目录1.深度剖析数据在内存的存储(前言)数据类型介绍类型的基本归类整形在内存中的存储原码、反码、补码大小端练习总结1.深度剖析数据在内存的存储(前言) 今天就让我戴佳伟给大家讲一下数据在内存中的存储。之中有好多让我们深思的点&#xff0c;大家都拿起笔记本&#xff0c;…

【机器学习笔记】Python基础笔记

目录基础语法加载数据&#xff1a;pd.read_csv查看数据大小&#xff1a;shape浏览数据行字段&#xff1a;columns浏览少量数据&#xff1a;head()浏览数据概要&#xff1a;describe()基础功能语法缺省值去除缺失值&#xff1a;dropna按行删除&#xff1a;存在空值&#xff0c;即…

【数据库】第二章 关系数据库

第二章 关系数据库 2.1关系数据结构及形式化定义 关系 域&#xff08;domain) :域是一组具有相同数据类型的值的集合&#xff0c;可以取值的个数叫基数 笛卡尔积 &#xff1a;一个记录叫做一个元组&#xff08;tuple),元组中每一个属性值&#xff0c;叫一个分量 基数&…

35测试不如狗?是你自己技术不够的怨怼罢了

一、做软件测试怎么样&#xff1f; 引用著名软件测试专家、清华大学郑人杰教授的说法&#xff1a;软件测试工程师是一个越老越吃香的职业。 其中就表达了软件测试工作相对稳定、对年龄没有限制、而且随着项目经验的不断增长和对行业背景的深入了解&#xff0c;会越老越吃香。…

刚上岸字节测试开发岗,全网最真实的大厂面试真题

首先我来解释一下为什么说是全网最真实的面试题&#xff0c;相信大家也发现软件测试面试题在网上流传也已不少&#xff0c;但是经过仔细查看发现了两个很重要的问题。 第一&#xff0c;网上流传的面试题的答案并不能保证百分百正确。也就是说各位朋友辛辛苦苦花了很多时间准备…

《程序员的自我修养》阅读笔记

文章目录【第2部分】静态链接1 编译过程2 编辑器的工作流程3 链接——模块的拼接4 目标文件目标文件中的段&#xff08;section&#xff09;ELF文件结构5 静态链接1 空间与地址分配2 符号解析与重定位【第3部分】装载与动态链接1 装载的方式2 进程的启动3 为什么需要动态链接&a…

通俗易懂,十分钟读懂DES,详解DES加密算法原理,DES攻击手段以及3DES原理。Python DES实现源码

文章目录1、什么是DES2、DES的基本概念3、DES的加密流程4、DES算法步骤详解4.1 初始置换(Initial Permutation&#xff0c;IP置换)4.2 加密轮次4.3 F轮函数4.3.1 拓展R到48位4.3.2 子密钥K的生成4.3.3 当前轮次的子密钥与拓展的48位R进行异或运算4.3.4 S盒替换&#xff08;Subs…

学习 create-vite 源码后,感觉真不一样

前言 已经学习了一段时间的源码了&#xff0c;在写源码 demo 小例子的时候都是使用 react 项目作为模板&#xff0c;而我的 react 项目正好是由create-vite来创建的&#xff0c;因此&#xff0c;今天来学习一下关于create-vite的源码。话不多说&#xff0c;咱们直接开始学习。…

【深度学习】什么是线性回归逻辑回归单层神经元的缺陷

提示&#xff1a;文章写完后&#xff0c;目录可以自动生成&#xff0c;如何生成可参考右边的帮助文档 文章目录逻辑回归&线性回归单层神经元的缺陷单层神经元的缺陷逻辑回归&线性回归 线性回归预测的是一个连续值&#xff0c; 逻辑回归给出的”是”和“否”的回答. 等…

MySQL事务与索引

MySQL事务与索引 一、事务 1、事务简介 在 MySQL 中只有使用了 Innodb 数据库引擎的数据库或表才支持事务。事务处理可以用来维护数据库的完整性&#xff0c;保证成批的 SQL 语句要么全部执行&#xff0c;要么全部不执行。事务用来管理 insert,update,delete 语句 事务特性…

SQL性能优化的47个小技巧,果断收藏!

1、先了解MySQL的执行过程 了解了MySQL的执行过程&#xff0c;我们才知道如何进行sql优化。 客户端发送一条查询语句到服务器&#xff1b; 服务器先查询缓存&#xff0c;如果命中缓存&#xff0c;则立即返回存储在缓存中的数据&#xff1b; 未命中缓存后&#xff0c;MySQL通…