許多組織以錯誤的方式看待合規(guī)性。他們認(rèn)為如果有到位的技術(shù)工具，流程評審并且實施風(fēng)險評估，就滿足合規(guī)要求。但是合規(guī)遵從不是提供更加安全的流程及技術(shù)，它是確定這些流程和技術(shù)確實提供了一個更為安全的環(huán)境。

提交新的文字合規(guī)性流程并不意味著人們遵循它們。同樣地，部署IAM工具也不意味著它會提升組織合規(guī)遵從的狀態(tài)。在本文中我們會提到那些能夠影響合規(guī)性的IAM問題，以及如何確保IAM技術(shù)和流程有效地支持企業(yè)的合規(guī)遵從。

身份管理有兩種保障機(jī)制，它們被認(rèn)為是許多規(guī)章和行業(yè)安全倡議的支柱。它們是：

1. 最小權(quán)限：這個概念是只能讓用戶的帳號完成用戶必要的工作。

2. 職責(zé)分離(SoD)：這是個概念是要求不止一個人來完成某項任務(wù)。

當(dāng)涉及合規(guī)遵從時這些概念是十分重要的，造成***風(fēng)險的活動是某個人做出的變更危害到受保護(hù)數(shù)據(jù)集的安全性，并且沒有審計或是監(jiān)督能夠偵測和防范此類事件發(fā)生。組織已經(jīng)努力開始解決此類問題，他們求助于身份管理系統(tǒng)來尋找答案。

更準(zhǔn)確地看待身份管理與合規(guī)遵從的關(guān)系，IAM系統(tǒng)可以劃分為兩個域：預(yù)先決定和實時訪問控制。預(yù)先決定的訪問控制提前決定用戶應(yīng)該能有什么訪問權(quán)限、用戶應(yīng)該訪問什么系統(tǒng)以及用戶如何和這些系統(tǒng)上的數(shù)據(jù)交互。實時訪問控制是用戶有了一個帳號，并且可以發(fā)出訪問請求時管理的機(jī)制。理想情況下，在用戶發(fā)出訪問請求時這些技術(shù)應(yīng)該判斷用戶在哪里、他們正在使用什么設(shè)備、是否能夠在請求的時間段訪問這些數(shù)據(jù)、允許執(zhí)行哪些請求以及確保返回正確的數(shù)據(jù)。

預(yù)先決定的訪問策略主要是通過供應(yīng)服務(wù)提供。就合規(guī)性而言，不僅要能夠表明用戶有了帳號，還要知道為用戶提供的帳號是從哪里發(fā)起。是一個自助請求么?如果是這樣的話，應(yīng)用了哪些邏輯條件來確保用戶被授權(quán)發(fā)出請求，并且確實應(yīng)用了SoD規(guī)則?或者是由另外一個人代表這個用戶發(fā)出訪問請求，例如他們的主管?如果是這樣的話，組織怎么知道這個人被授權(quán)來判斷某個用戶的訪問恰當(dāng)?對于合規(guī)遵從來說，只是記錄下用戶被授權(quán)訪問還不夠。如何判斷訪問恰當(dāng)、授權(quán)誰來批準(zhǔn)這種訪問，以及如何驗證請求以便判斷恰當(dāng)?shù)脑L問，這些都是要追溯和保存的重要信息。通過保存這些信息，可以由第三方檢查這些授權(quán)的邏輯性來驗證企業(yè)的合規(guī)性。

實時訪問控制是由IAM系統(tǒng)來控制。這些工具以串聯(lián)的方式存在于發(fā)出訪問請求的用戶和系統(tǒng)/數(shù)據(jù)之間。無論它們是否是基于Web的、基于門戶或是API的，這些服務(wù)詢問用戶的請求以確保憑證是正確的，以及確定發(fā)出請求的系統(tǒng)位置安全，可以讓用戶獲得他想訪問的數(shù)據(jù)。實時訪問控制通過記錄用戶信息、訪問命令和請求返回的數(shù)據(jù)可以滿足合規(guī)性。這些日志***存儲在一個日志管理系統(tǒng)中，在那里可以存儲合規(guī)性規(guī)則、并且第三方能夠評審發(fā)生的事務(wù)以確保它們滿足公司的訪問規(guī)則。

假設(shè)這些活動都正確地運轉(zhuǎn)的話，認(rèn)可是合規(guī)遵從必須維護(hù)的另一個概念。換句話說，采用的訪問方法是用戶唯一可用的方法。組織經(jīng)常在新的IAM系統(tǒng)上投入時間和金錢，但是沒有關(guān)閉原有的人工訪問方法。讓這些“后門”保持大開，數(shù)據(jù)可以通過控制手段以外的途徑訪問，這不僅無法提供滿足合規(guī)的訪問，還存在數(shù)據(jù)丟失或是泄漏的風(fēng)險。只是創(chuàng)造新的“數(shù)據(jù)訪問公路”還不夠，還需要讓“雜草叢生的鐵路”退役并關(guān)閉。大型、地理分布廣泛的組織做到可能不容易，而對于許多滿足合規(guī)性的組織來說這也仍是努力解決的主要問題之一。

安裝新的IAM應(yīng)用無法保證合規(guī)性。所有的IAM必須提供期望交付的服務(wù)。此外，需要分配資源來記錄如何配置系統(tǒng)，并且必須指導(dǎo)操作人員來捕捉和維護(hù)每天產(chǎn)生的日志。在產(chǎn)品部署的末期，必須實行記錄評審以確保舊的訪問及運行系統(tǒng)已經(jīng)關(guān)閉、或是***退役，以便確保不能再使用未經(jīng)批準(zhǔn)的方法來訪問敏感信息。