作為包括1,000多家客戶的合同制造商,Flex 公司幾年前需要一種更安全的方式來管理供應商對其系統的訪問。
該公司供應鏈中上萬家的合作伙伴分布在全球各地,其規模從只有一個Gmail地址的小公司到大型跨國公司。許多公司使用多個帳戶和系統來訪問Flex公司的應用程序,而該公司沒有集中的方式來管理密碼或配置以及取消供應商對其網絡的訪問。由于其身份和供應商訪問環境的高度分散性,Flex公司的異常活動檢測能力也受到限制。
身份和訪問管理(IAM)的全面檢查
由于黑客使用從其合作伙伴竊取的網絡憑據對Target公司造成大規模攻擊的教訓仍然歷歷在目,Flex公司的領導者決定對該公司的供應商身份和訪問管理(IAM)基礎設施進行全面檢查。
Flex公司的管理人員希望確保其設計、構建和分發產品的客戶的關鍵知識產權(IP)和數據在其系統上保持安全。該公司還希望為供應商訪問其云計算和內部部署應用程序提供更好的體驗。Flex公司信息技術副總裁兼首席信息安全官Fritz Wetschnig說,“我們需要將事情做好以提高可見度,并為供應商提供更好的用戶友好性,使其與我們互動。”
該公司決定取消供應商用于訪問其系統的多個帳戶,而是以最低權限訪問實現單點登錄(SSO)過程。Wetschnig說:“我們還希望訪問日志具有可見性和透明性,因為如果企業有多個訪問點,則很難從安全角度發現偏差和可疑行為。因此,我們希望擁有集中式日志。”
從技術角度看,Flex公司的要求很明確。該公司希望采用軟件即服務(SaaS)應用程序,該應用程序可以為全球供應商提供SSO訪問其內部部署和云計算系統集合的權限。該技術需要支持SAML 2.0、自適應多因素身份驗證(MFA)、第三方用戶身份的自動登錄和注銷以及集中日志收集所需的技術。該技術還必須具有足夠的通用性,以充當Flex公司實現零信任身份驗證和訪問模型的長期目標的身份基礎。
Flex公司選擇身份識別與訪問管理解決方案提供商Okta公司作為其新的身份和訪問管理(IAM)平臺。Wetschnig說,Okta公司的技術滿足了Flex公司對多因素身份驗證(MFA)、單點登錄(SSO)、集中式目錄管理和供應商身份的生命周期管理的所有要求。Flex公司首席信息安全官Wetschnig說:“我們擁有活動目錄聯合身份驗證服務(ADFS)和活動目錄(AD),但它們都是內部部署的,我們的供應商使用的是SaaS應用程序。我們認為(在云計算和混合服務時代)繼續使用內部部署平臺沒有任何意義。”
簡化的訪問模型減少服務臺呼叫
大約四年前,市值250億美元的Flex公司將其由20,000多家供應商組成的網絡遷移到了新的身份和訪問管理(IAM)平臺。這些供應商的工作人員可以通過簡單的網頁登錄訪問Flex公司的系統。每個用戶都有一個帳戶和一組憑據,用于管理對他們有權訪問系統的訪問。根據需要實施多因素要求,通常使用用戶的移動設備作為第二認證因素。
該平臺消除了用戶記住多個密碼或維護多個帳戶訪問不同系統的需求。Wetschnig說,“這是一個非常精簡的過程,并且在總體用戶體驗方面有了顯著的改善。我們的服務臺呼叫量已經下降了75%至80%,這表明這是可行的。”
從操作的角度來看,Flex公司現在可以訪問集中的日志存儲庫,可以用來監視供應商對其系統和客戶數據的訪問。完全基于網絡的方法消除了供應商對VPN訪問的需求。重要的是,Flex公司現在擁有一種更為有效的方式來為供應商人員配置和終止對其系統的訪問。
降低第三方訪問風險
許多企業很容易受到第三方訪問的損害。在One Identity公司在2019年11月發布的調查報告中,在接受調查的1000多名IT專業人員中,94%的受訪者表示,他們的組織允許第三方用戶訪問企業網絡的特權帳戶。61%的受訪者不確定這些用戶是否訪問或試圖訪問未經授權的數據,只有21%的受訪者具有立即撤銷不再為企業工作的第三方用戶訪問權限的機制。
Forrester Research公司分析師Andras Cser表示,“密碼管理、入職、轉移和離職是企業在處理供應商訪問時遇到的挑戰。第三方供應商必須確保終止其所有系統中的員工,其中包括允許訪問聯盟合作伙伴的應用程序的系統和身份提供商。”他指出,供應商通常不會及時終止離職員工的訪問權限,從而使員工不僅可以繼續訪問供應商的應用程序,還可以繼續訪問其業務合作伙伴的應用程序。
Okta公司的方法允許Flex公司直接集成到其合作伙伴ID系統。因此,當第三方員工離職或被終止時,用戶訪問權限也會在供應商門戶中自動終止。當合作伙伴沒有ID系統時,Flex公司可以將Okta公司作為合作伙伴提供集中的空間來存儲和管理其ID。
在成功實施B2B之后,Flex公司決定使用Okta公司的服務來簡化其全球制造工廠的10萬多名車間工作人員的訪問。Flex公司工廠的工作人員只需要訪問功能簡單的一組應用程序,例如與時間和出勤以及企業一般信息有關的應用程序。
Wetschnig表示,由于訪問需求有限,Flex公司不想為車間每個工作人員設置一個AD帳戶。他說:“我們沒有為每人提供一個廣告帳戶,這是因為車間工作人員每人每月只需訪問一次或兩次即可,因此不劃算。”
與其相反,Flex公司的方法是為車間工人提供Okta移動應用程序,以通過Web登錄訪問應用程序。他說:“Okta公司擁有一個很好的模型,如果只有有限的訪問需求,將獲得優惠價格。”Flex公司還在工廠車間設置了自助服務亭,其工作人員可以使用這些自助服務亭來訪問加班和出勤信息以及其他數據。
API訪問管理
Flex公司目前已在其企業范圍內部署了新平臺,以簡化其員工、供應商及其合同制造客戶的身份和訪問管理(IAM)。Wetschnig說,目前最大的挑戰是在需要保留在內部部署的內容和可以遷移到云平臺的內容之間找到適當的平衡。
在接下來的幾年中,該公司計劃使用Okta的服務來啟用API訪問管理,以便第三方和其他人可以更輕松地訪問和圍繞其數據構建新的應用程序和服務。該公司的制造工廠也越來越趨于自動化,因此Flex公司不久將需要尋找新的方法來識別和配置機器人和其他智能設備的安全訪問權限。
隨著所有變革的展開,Flex公司面臨的一大挑戰將是弄清需要保持什么狀態以及可以將哪些內容放入云平臺中。Wetschnig說:“我所看到的是,很多人對傳統應用程序的重視程度不夠。有時候,在內部部署環境下工作的內容無法在云平臺中運行。”
Wetschnig指出:“許多媒體報道, 90%的應用程序被遷移到云平臺中,但我現在還沒有看到這種情況,總會有一些應用程序在內部部署環境中運行。”
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號