「身分治理與管理」 (Identity Governance and Administration, IGA) 又稱「身分安全」(Identity Security),是 IT 運作的核心,能支援及保護所有使用者、應用程式和資料的數位身分。而這個機制也幫助技術資產數量不斷增加的企業自動處理權限問題,同時充分控管安全與法遵方面的潛在風險。
身分治理實際運作情形
瞭解 SailPoint 的身分治理平台如何協助企業妥善保護身分安全,讓員工能在無後顧之憂的情況下安心工作。
IGA 能解決企業在資安方面遇到的哪些問題?
身分治理與管理能針對以下四個重要的目標保持平衡,協助貴組織充分應對現今複雜的業務挑戰:
降低營運成本
身分治理與管理能自動處理一連串耗費人力的流程,例如存取驗證、存取要求、密碼管理和佈建,因此能夠大幅降低營運成本。由於使用介面對企業而言相當簡單好操作,IT 人員不必再浪費大把時間處理管理工作,使用者也能自行提出存取要求、管理密碼與審查存取權限。再加上儀表板和分析工具等輔助,企業很容易就能掌握所需資訊和指標,輕鬆強化內部控管措施並降低風險。
降低風險並加強安全保障
使用者認證資料太弱、失竊或使用預設值所導致的身分安全問題,對組織造成的威脅越來越大。集中式可視性讓組織能夠一目瞭然地掌握「誰有權存取哪些資料」,支援授權使用者立即察覺到不當存取、原則違規情形或控管措施偏弱等會令組織承受風險的問題。身分治理解決方案能讓企業和 IT 使用者識別高風險員工群、原則違規情形以及不當的存取權限,並且適時補救這類風險。
提升法遵與稽核表現
身分治理與管理解決方案支援組織確認其控制措施是否恰當,足以因應 SOX、HIPAA 及 GDPR 等規章對於資安與隱私權等各方面的規定。這類解決方案提供一致的業務流程,一體適用於密碼管理以及存取權限的審查、要求及核准存取權限,而且全數以共同的原則、角色和風險模型為準據。企業採用角色型存取控管措施能大幅降低法遵成本,同時能夠透過更一致、更易於稽核也更便於管理的存取驗證措施控管風險並制定能夠重複執行的做法。
提升業務存取作業的速度和效率
身分治理與管理解決方案能讓員工適時得到工作上需要的資源,充分支援員工更快發揮更高的生產力,而且,不論員工的角色和責任多快發生多大的變化,其生產力全然不受影響。這套解決方案更支援企業使用者自行提出存取權限要求和管理密碼,大大減輕客服和 IT 部門團隊的工作量。此外,身分治理解決方案會自動強制實行原則,因此能讓您輕鬆達成服務層級需求,不必擔心影響資安或法遵。
SailPoint 的身分治理與管理解決方案
我們於 3 月份獲選為 2020 年 Gartner Peer Insights 的身分治理與管理 (IGA) 客戶首選獎。這是根據客戶評論選出客戶心目中優良廠商後所頒發的獎項。
在身分治理領域,我們是最能協助您輕鬆克服資安與法遵難題的公司。瞭解我們如何協助您保護儲存在任何位置的敏感資料。
提高營運效率
省下百萬美元的成本。
擺脫人工管理帳戶
深入瞭解與身分相關的主題
常見問答集 (FAQ)
什麼是雲端身分治理?
雲端身分治理的安全、法遵與自動化程度與傳統企業級身分治理解決方案相比毫不遜色,而且整體持有成本更低、部署速度更快。簡而言之,身分治理能充分保障企業使用雲端技術時的安全。
雲端技術讓我們的工作方式出現變化。組織必須充分因應現今複雜的業務挑戰,而且,現代企業已經慢慢轉型成為雲端企業。儘管有越來越多的公司願意將具有策略意義的重要應用程式移轉到雲端,但要考慮採用諸如身分即服務 (SaaS) 這類解決方案之時,仍不免遲疑。企業不採用身分治理的原因,往往是因為認定自己預算不足、時間不多,或者欠缺具備身分治理相關技術的人力,因此無法實施。然而,如今已經沒有理由阻擋公司去獲取身分管理帶來的優勢了。
SailPoint 仍然全心研發本地端和雲端皆適用的身分治理解決方案。IdentityNow 是我們推出的 SaaS 解決方案,相較於適合部署在資料中心內部的 IdentityIQ,這套身分治理解決方案的功能毫不遜色。
身分治理軟體不是適用於本地端嗎?
早期出現在市面上的身分治理解決方案確實只能安裝於本地端,但現在身分治理解決方案也出雲端版了。事實上,SailPoint IdentityNow 就能提供存取驗證、存取要求、佈建,以及密碼管理等雲端服務。
身分治理能管理雲端應用程式嗎?
身分治理解決方案提供相當豐富的連線選項,適用於統一管理雲端與本地端資源。包括存取驗證、存取要求、密碼管理及佈建在內,所有身分治理功能全數不分領域、一體適用於雲端與本地端。
我們公司不必擔心監管法遵問題,還需要身分治理嗎?
在任何一種安全策略當中,身分治理都是不可或缺的要素。倘若企業不採用任何身分治理軟體,遭到網路攻擊的風險相當大。駭客往往會試圖竊取使用者資料,因此,身分保護自然是防範網路盜用者入侵公司系統的重要機制。無論如何,您都需要運用身分治理保護使用者帳戶與操作權限,並且確實做好存取控制。
大企業才需要 IGA 嗎?
人們常以為只有大型跨國公司才需要擔心規章法遵問題,事實上,諸如 GDPR 或 CCPA 之類的法遵規範,對任何規模或產業的企業均有影響。因此,所有組織都該強化存取控制措施,妥善控管其敏感資料與應用程式。
身分治理對 HIPAA 和法遵有幫助嗎?
身分治理能在以下幾個層面發揮協助遵守 HIPAA 規範的作用:
- 運用人工智慧和預測分析技術監控並識別異常存取行為
- 一致穩定地強制實施存取原則,並且充分控管所有包含 ePHI 的應用程式
- 定位並保護儲存在任何位置的結構化與非結構化 ePHI
- 自動定期審查使用者存取權限
我們的雲端身分治理平台採開放結構,讓您對所有使用者的應用程式和資料存取控制獲得可視性,遵守 HIPAA 規範自然游刃有餘。
我想知道身分治理的發展歷程?
身分治理最早是一種新的身分管理類別,起初是因應沙賓法案 (Sarbanes Oxley Act, SOX) 和健康保險流通與責任法案 (Health Insurance Portability and Accountability Act, HIPAA) 這類規章新制而生的措施。身分治理的設計宗旨在於提高資訊可視性並方便管理,能協助組織更容易清楚掌握身分與存取權限,從而能夠運用更好的控管措施偵測及預防不當的存取情形。
2012 年,Gartner 將身分治理評為身分管理市場中成長速度最快的產業別。Gartner 在針對這個市場產業別製作的第一份魔力象限 (Magic Quadrant) 報告中提到,身分治理「將取代使用者管理和佈建作業,成為 IAM 方面的全新核心。」同時 Gartner 更預估,由於內部竊盜和詐騙事件層出不窮,身分治理的年成長率可望高於 35-40%。
隨著同時部署身分治理與佈建解決方案的客戶越來越多,身分治理所提供的角色、原則以及風險模型顯然成了佈建與法遵流程不可或缺的要素。同時,組織無庸置疑也需要對本地端和雲端應用程式以及全組織的資料檔案取得集中式可視性。
欲瀏覽其他常見問答集,請按一下這裡。