在当今复杂的数字世界中利用身份和访问管理(IAM)

数字化的加速、新商业模式的诞生以及创新工作安排的采用给组织带来了巨大的压力，迫使其迅速发展和转型。然而，这反过来又增加了组织所面临的安全风险。由于这些风险和挑战以各种方式影响着我们，因此需要关注整体方法来增强组织的安全态势。一个关键需求是确保对关键资产、设施和基础设施的端到端安全访问。基本上，所有访问都需要经过身份验证、授权和验证。许多公司面临的一个问题是，这是否可能，以及可以实施哪些类型的控制来实现这一目标。组织应该采取什么方法来增强其物理和数字领域的安全态势?

在我们研究这些问题之前，我们可以合理地承认，这场大流行病是十年来的黑天鹅事件，它给我们在工作场所的工作和互动方式造成了极大的动荡。Frost & Sullivan的研究表明，超过90%的组织不会以我们的工作和运营方式恢复到大流行前的状态(这并不奇怪)。这本质上意味着组织和服务提供商需要实施保护和控制措施，以确保他们能够保护自己的资产和客户的资产，无论资产、数据和设施位于何处。

与此同时，对数字化的日益关注以及对可扩展性和灵活性的需求大大扩展了组织的运营范围。今天的边界包括一系列复杂的远程访问点、通过混合环境交付的云服务，以及包括员工、供应商、合作伙伴甚至客户在内的各种不同类型的用户。这本质上增加了组织所面临的风险，因为它拥有更大、更复杂的用户群和架构。由于这种复杂性，公司面临着确保所有访问活动安全的艰巨任务，以保护其资产和数据的机密性和完整性。

此外，旧的挑战仍然存在，并继续对组织以及保护它们的IT和安全专业人员施加压力。Frost & Sullivan最近的一项调查数据显示，“拥有过多特权的用户”、“未被删除的休眠帐户”以及使用端到端覆盖有限的“多个IAM解决方案”(留下空白)是导致安全漏洞的一些最常见原因。因此，将传统IAM基础设施现代化，重点放在自动化和可扩展性上，对于保护我们的员工和客户免受持续发生的物理和数字漏洞的影响至关重要。

在这种情况下，零信任是如何发挥作用的?

我们不能再假设所有访问我们资产和资源的实体都是可信的。零信任的常见定义是“永不信任，始终验证”，其核心是一个健壮而灵活的IAM解决方案集，它能够支持您组织的复杂操作环境和扩展的边界。此外，对访问组织资产的实体的持续不信任和监视的需求也在增长。这可能看起来有点矫枉过正，但实际上它模仿了我们自己的人际行为。作为人类，我们在增加对个人的信任水平之前，会不断地评估我们的熟人。在某种程度上，这个概念同样适用于零信任的背景下——始终验证访问。

我们的控制系统需要知道谁/什么在访问资产，这些系统需要能够持续监控所进行的活动。从本质上讲，您应该期望用户在您期望他们所在的位置执行某些操作。从实施的角度来看，这似乎是压倒性的，这就是一个全面的IAM方法来支持你实现零信任目标的地方。

对IAM和解决方案合作伙伴的期望是什么?

理想情况下，领先的IAM解决方案应该提供一个易于使用的自动化系统，并允许对环境中不同的分布式资产和设施进行粒度控制。这有助于减少前面提到的风险和问题，并通过中央平台支持管理员满足遵从性需求。另一个需要考虑的问题是平台连接到用户的物理和在线访问控制的能力。这将有助于缓解在新的混合工作环境中操作的挑战。

我们从哪里开始呢?组织需要考虑分阶段方法或增量路线图，将资产和设施面临的风险作为第一步。与能够带来技能和经验的成熟供应商合作，无论是将当前技术连接到未来还是同时解决多种需求，都可以极大地简化这一过程。

Richard在多个行业拥有超过20年的咨询和项目管理经验。作为高级副总裁和全球安全市场咨询主管他的主要工作重点是通过市场和技术战略、监管和经济分析/审查以及数字化转型，为客户提供建议和帮助，以实现其业务和组织目标。

他完成了许多跨部门的大型咨询和技术研究项目，如信息通信技术和公共部门。Richard曾参与多个项目，如国家产业发展、智慧城市、发展区域数据中心、先进技术发展研究、发展国家电子身份架构，并为各种企业/业务转型项目提供咨询。

他曾在多个行业和政府会议上发表演讲，包括新加坡世界城市峰会、英特尔商业活力论坛、首席信息官峰会、C-Engage新加坡、云亚洲论坛、国际刑警组织新加坡世界和东盟城市未来峰会。