作为包括1,000多家客户的合同制造商,Flex 公司几年前需要一种更安全的方式来管理供应商对其系统的访问。
该公司供应链中上万家的合作伙伴分布在全球各地,其规模从只有一个Gmail地址的小公司到大型跨国公司。许多公司使用多个帐户和系统来访问Flex公司的应用程序,而该公司没有集中的方式来管理密码或配置以及取消供应商对其网络的访问。由于其身份和供应商访问环境的高度分散性,Flex公司的异常活动检测能力也受到限制。
身份和访问管理(IAM)的全面检查
由于黑客使用从其合作伙伴窃取的网络凭据对Target公司造成大规模攻击的教训仍然历历在目,Flex公司的领导者决定对该公司的供应商身份和访问管理(IAM)基础设施进行全面检查。
Flex公司的管理人员希望确保其设计、构建和分发产品的客户的关键知识产权(IP)和数据在其系统上保持安全。该公司还希望为供应商访问其云计算和内部部署应用程序提供更好的体验。Flex公司信息技术副总裁兼首席信息安全官Fritz Wetschnig说,“我们需要将事情做好以提高可见度,并为供应商提供更好的用户友好性,使其与我们互动。”
该公司决定取消供应商用于访问其系统的多个帐户,而是以最低权限访问实现单点登录(SSO)过程。Wetschnig说:“我们还希望访问日志具有可见性和透明性,因为如果企业有多个访问点,则很难从安全角度发现偏差和可疑行为。因此,我们希望拥有集中式日志。”
从技术角度看,Flex公司的要求很明确。该公司希望采用软件即服务(SaaS)应用程序,该应用程序可以为全球供应商提供SSO访问其内部部署和云计算系统集合的权限。该技术需要支持SAML 2.0、自适应多因素身份验证(MFA)、第三方用户身份的自动登录和注销以及集中日志收集所需的技术。该技术还必须具有足够的通用性,以充当Flex公司实现零信任身份验证和访问模型的长期目标的身份基础。
Flex公司选择身份识别与访问管理解决方案提供商Okta公司作为其新的身份和访问管理(IAM)平台。Wetschnig说,Okta公司的技术满足了Flex公司对多因素身份验证(MFA)、单点登录(SSO)、集中式目录管理和供应商身份的生命周期管理的所有要求。Flex公司首席信息安全官Wetschnig说:“我们拥有活动目录联合身份验证服务(ADFS)和活动目录(AD),但它们都是内部部署的,我们的供应商使用的是SaaS应用程序。我们认为(在云计算和混合服务时代)继续使用内部部署平台没有任何意义。”
简化的访问模型减少服务台呼叫
大约四年前,市值250亿美元的Flex公司将其由20,000多家供应商组成的网络迁移到了新的身份和访问管理(IAM)平台。这些供应商的工作人员可以通过简单的网页登录访问Flex公司的系统。每个用户都有一个帐户和一组凭据,用于管理对他们有权访问系统的访问。根据需要实施多因素要求,通常使用用户的移动设备作为第二认证因素。
该平台消除了用户记住多个密码或维护多个帐户访问不同系统的需求。Wetschnig说,“这是一个非常精简的过程,并且在总体用户体验方面有了显著的改善。我们的服务台呼叫量已经下降了75%至80%,这表明这是可行的。”
从操作的角度来看,Flex公司现在可以访问集中的日志存储库,可以用来监视供应商对其系统和客户数据的访问。完全基于网络的方法消除了供应商对VPN访问的需求。重要的是,Flex公司现在拥有一种更为有效的方式来为供应商人员配置和终止对其系统的访问。
降低第三方访问风险
许多企业很容易受到第三方访问的损害。在One Identity公司在2019年11月发布的调查报告中,在接受调查的1000多名IT专业人员中,94%的受访者表示,他们的组织允许第三方用户访问企业网络的特权帐户。61%的受访者不确定这些用户是否访问或试图访问未经授权的数据,只有21%的受访者具有立即撤销不再为企业工作的第三方用户访问权限的机制。
Forrester Research公司分析师Andras Cser表示,“密码管理、入职、转移和离职是企业在处理供应商访问时遇到的挑战。第三方供应商必须确保终止其所有系统中的员工,其中包括允许访问联盟合作伙伴的应用程序的系统和身份提供商。”他指出,供应商通常不会及时终止离职员工的访问权限,从而使员工不仅可以继续访问供应商的应用程序,还可以继续访问其业务合作伙伴的应用程序。
Okta公司的方法允许Flex公司直接集成到其合作伙伴ID系统。因此,当第三方员工离职或被终止时,用户访问权限也会在供应商门户中自动终止。当合作伙伴没有ID系统时,Flex公司可以将Okta公司作为合作伙伴提供集中的空间来存储和管理其ID。
在成功实施B2B之后,Flex公司决定使用Okta公司的服务来简化其全球制造工厂的10万多名车间工作人员的访问。Flex公司工厂的工作人员只需要访问功能简单的一组应用程序,例如与时间和出勤以及企业一般信息有关的应用程序。
Wetschnig表示,由于访问需求有限,Flex公司不想为车间每个工作人员设置一个AD帐户。他说:“我们没有为每人提供一个广告帐户,这是因为车间工作人员每人每月只需访问一次或两次即可,因此不划算。”
与其相反,Flex公司的方法是为车间工人提供Okta移动应用程序,以通过Web登录访问应用程序。他说:“Okta公司拥有一个很好的模型,如果只有有限的访问需求,将获得优惠价格。”Flex公司还在工厂车间设置了自助服务亭,其工作人员可以使用这些自助服务亭来访问加班和出勤信息以及其他数据。
API访问管理
Flex公司目前已在其企业范围内部署了新平台,以简化其员工、供应商及其合同制造客户的身份和访问管理(IAM)。Wetschnig说,目前最大的挑战是在需要保留在内部部署的内容和可以迁移到云平台的内容之间找到适当的平衡。
在接下来的几年中,该公司计划使用Okta的服务来启用API访问管理,以便第三方和其他人可以更轻松地访问和围绕其数据构建新的应用程序和服务。该公司的制造工厂也越来越趋于自动化,因此Flex公司不久将需要寻找新的方法来识别和配置机器人和其他智能设备的安全访问权限。
随着所有变革的展开,Flex公司面临的一大挑战将是弄清需要保持什么状态以及可以将哪些内容放入云平台中。Wetschnig说:“我所看到的是,很多人对传统应用程序的重视程度不够。有时候,在内部部署环境下工作的内容无法在云平台中运行。”
Wetschnig指出:“许多媒体报道, 90%的应用程序被迁移到云平台中,但我现在还没有看到这种情况,总会有一些应用程序在内部部署环境中运行。”
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号