现代架构和应用程序对访问管理工具提出了更多要求。本文将介绍访问管理评估标准准则，并讨论您应该寻找的功能以及下一个员工访问管理解决方案应考虑的供应商。

在过去的几年中，云的采用率非常高。根据《2020年Thales访问管理指数》，超过一半的关于云第一世界挑战的受访者将不受保护的基础架构（57％）或云应用程序（55％）确定为网络攻击的最大目标之一。为了减轻这些攻击的风险，风险管理人员和IT经理正在寻找Single Sign On或SSO解决方案。他们需要维持对基于云的应用程序和服务的轻松用户管理访问权限，而又不影响安全性。

大流行加剧了对安全远程访问管理的需求

甚至在大流行开始之前，许多风险和IT领导者就对远程工作者的安全访问感到担忧。但是这些工人仅占整个劳动力的一部分。但是，随着COVID-19的出现，许多企业被迫为其在家工作的员工寻找解决方案。根据Gartner的2020年3月调查，即使在COVID-19消失之后，至少74％的受访者计划将至少5％的办公室员工永久性地在家工作。在接受调查的受访者中，有20％的受访者表示他们推迟了本地技术支出。

短期与长期

传统的IAM模型一直在扩展远程员工以从VPN访问员工的应用程序，并添加多因素身份验证（MFA）以为VPN连接增加安全性。在新的工作环境中，许多企业已将其扩展到他们的大多数员工。从短期来看，这种做法可能是一个解决方案，但是从长期来看，通过VPN进行安全的远程访问可能实现成本高昂，操作复杂且部署时间很长。此外，它没有提供适应现代云计算环境所需的灵活性。

基于密码的应用访问：方便但有风险

企业使用的另一种惯例是允许员工使用密码直接登录基于云的应用程序，例如（但不限于）Office365、Slack、Agile。但是，使用诸如电子邮件和密码之类的一两个因素登录会使企业容易受到安全风险和数据泄露的影响。此外，员工必须记住用于多个基于云的应用程序的多组密码，这可能会使IT团队负担重设密码或锁定方案的请求。

基于云的访问管理和身份验证

基于云的访问管理和身份验证提供了强大的替代方案，并克服了与VPN访问或通过密码直接访问有关的问题。这些解决方案在保护访问点对云服务的访问以及保护远程访问网络方面可以发挥关键作用。

基于云的远程访问的IAM创新

IT和风险专业人员正在寻找确保访问安全的新方法。因此，IAM安全供应商已经创新了技术或利用了现有的身份验证方法，包括无密码身份验证、FIDO身份验证、自适应身份验证和零信任：

无密码认证

无密码身份验证为企业提供了用户无需输入或记住文本密码即可验证其身份的方法。无密码身份验证可以提供更强的安全性，降低破坏风险并减轻密码管理压力。

FIDO验证

FIDO2标准最初是为消费者服务而开发的，后来演变为Microsoft，并被Windows Hello所采用。这促使FIDO成为企业标识框架的一部分。尽管它提供了安全性并提供了轻松的用户体验，但是仍然难以管理生命周期和令牌供应。FIDO令牌为使用PKI和基于证书的身份验证的组织提供了一种扩展到现代访问用例（如云访问）的方式。例如，Thales提供组合的FIDO-PKI智能卡。

自适应身份验证

自适应身份验证基于属性，包括设备、网络数据、用户行为、位置等。这些为企业提供了在合理程度上验证个人身份的能力。这为设置适用于各种方案的访问策略提供了灵活性。策略可以与其他MFA方法一起使用自适应身份验证。企业可以定制员工需要访问的特定用户，一组用户或特定应用程序。这也可以保护云服务和本地应用程序。用户每天需要访问的应用程序越多，IT专业人员就需要提供更安全，便捷的登录体验。

零信任

零信任是一个总体框架，用于指导风险管理人员在组织中实施可行的安全实践。访问管理和身份验证在满足“零信任”的“无人信任”和“无处不在的保护”要素方面扮演着至关重要的目标。诸如Thales SafeNet可信访问之类的AM解决方案可以通过在每次登录时连续验证用户的身份来遵循零信任的理想。此外，SafeNet可信访问还可以通过允许员工直接访问应用程序并减少VPN的流量和带宽。他们每天需要的服务。

智能单点登录与简单单点登录

SSO依赖于断言时的初始单个断言，并将其应用于同一会话中的每个登录。相反，智能单点登录每次用户登录到应用程序时都会验证用户的身份。确保在该会话中应用了适当的身份验证方法。如果策略引擎发现应用程序登录名不适合该方案，它将提示用户提供另一种身份验证方法。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 通过开放式创新加快制造商的上市时间

• 金融服务行业的3个数据治理经验教训

• Thales发布适用macOS Sonoma的SAC 10.8 R2补丁

• 数据隐私合规的好处：零售商的5个价值驱动机会

• 管理数据中心的加密正在变得更加困难