許多組織以錯(cuò)誤的方式看待合規(guī)性。他們認(rèn)為如果有到位的技術(shù)工具，流程評(píng)審并且實(shí)施風(fēng)險(xiǎn)評(píng)估，就滿足合規(guī)要求。但是合規(guī)遵從不是提供更加安全的流程及技術(shù)，它是確定這些流程和技術(shù)確實(shí)提供了一個(gè)更為安全的環(huán)境。

提交新的文字合規(guī)性流程并不意味著人們遵循它們。同樣地，部署IAM工具也不意味著它會(huì)提升組織合規(guī)遵從的狀態(tài)。在本文中我們會(huì)提到那些能夠影響合規(guī)性的IAM問(wèn)題，以及如何確保IAM技術(shù)和流程有效地支持企業(yè)的合規(guī)遵從。

身份管理有兩種保障機(jī)制，它們被認(rèn)為是許多規(guī)章和行業(yè)安全倡議的支柱。它們是：

1. 最小權(quán)限：這個(gè)概念是只能讓用戶的帳號(hào)完成用戶必要的工作。

2. 職責(zé)分離(SoD)：這是個(gè)概念是要求不止一個(gè)人來(lái)完成某項(xiàng)任務(wù)。

當(dāng)涉及合規(guī)遵從時(shí)這些概念是十分重要的，造成***風(fēng)險(xiǎn)的活動(dòng)是某個(gè)人做出的變更危害到受保護(hù)數(shù)據(jù)集的安全性，并且沒(méi)有審計(jì)或是監(jiān)督能夠偵測(cè)和防范此類事件發(fā)生。組織已經(jīng)努力開始解決此類問(wèn)題，他們求助于身份管理系統(tǒng)來(lái)尋找答案。

更準(zhǔn)確地看待身份管理與合規(guī)遵從的關(guān)系，IAM系統(tǒng)可以劃分為兩個(gè)域：預(yù)先決定和實(shí)時(shí)訪問(wèn)控制。預(yù)先決定的訪問(wèn)控制提前決定用戶應(yīng)該能有什么訪問(wèn)權(quán)限、用戶應(yīng)該訪問(wèn)什么系統(tǒng)以及用戶如何和這些系統(tǒng)上的數(shù)據(jù)交互。實(shí)時(shí)訪問(wèn)控制是用戶有了一個(gè)帳號(hào)，并且可以發(fā)出訪問(wèn)請(qǐng)求時(shí)管理的機(jī)制。理想情況下，在用戶發(fā)出訪問(wèn)請(qǐng)求時(shí)這些技術(shù)應(yīng)該判斷用戶在哪里、他們正在使用什么設(shè)備、是否能夠在請(qǐng)求的時(shí)間段訪問(wèn)這些數(shù)據(jù)、允許執(zhí)行哪些請(qǐng)求以及確保返回正確的數(shù)據(jù)。

預(yù)先決定的訪問(wèn)策略主要是通過(guò)供應(yīng)服務(wù)提供。就合規(guī)性而言，不僅要能夠表明用戶有了帳號(hào)，還要知道為用戶提供的帳號(hào)是從哪里發(fā)起。是一個(gè)自助請(qǐng)求么?如果是這樣的話，應(yīng)用了哪些邏輯條件來(lái)確保用戶被授權(quán)發(fā)出請(qǐng)求，并且確實(shí)應(yīng)用了SoD規(guī)則?或者是由另外一個(gè)人代表這個(gè)用戶發(fā)出訪問(wèn)請(qǐng)求，例如他們的主管?如果是這樣的話，組織怎么知道這個(gè)人被授權(quán)來(lái)判斷某個(gè)用戶的訪問(wèn)恰當(dāng)?對(duì)于合規(guī)遵從來(lái)說(shuō)，只是記錄下用戶被授權(quán)訪問(wèn)還不夠。如何判斷訪問(wèn)恰當(dāng)、授權(quán)誰(shuí)來(lái)批準(zhǔn)這種訪問(wèn)，以及如何驗(yàn)證請(qǐng)求以便判斷恰當(dāng)?shù)脑L問(wèn)，這些都是要追溯和保存的重要信息。通過(guò)保存這些信息，可以由第三方檢查這些授權(quán)的邏輯性來(lái)驗(yàn)證企業(yè)的合規(guī)性。

實(shí)時(shí)訪問(wèn)控制是由IAM系統(tǒng)來(lái)控制。這些工具以串聯(lián)的方式存在于發(fā)出訪問(wèn)請(qǐng)求的用戶和系統(tǒng)/數(shù)據(jù)之間。無(wú)論它們是否是基于Web的、基于門戶或是API的，這些服務(wù)詢問(wèn)用戶的請(qǐng)求以確保憑證是正確的，以及確定發(fā)出請(qǐng)求的系統(tǒng)位置安全，可以讓用戶獲得他想訪問(wèn)的數(shù)據(jù)。實(shí)時(shí)訪問(wèn)控制通過(guò)記錄用戶信息、訪問(wèn)命令和請(qǐng)求返回的數(shù)據(jù)可以滿足合規(guī)性。這些日志***存儲(chǔ)在一個(gè)日志管理系統(tǒng)中，在那里可以存儲(chǔ)合規(guī)性規(guī)則、并且第三方能夠評(píng)審發(fā)生的事務(wù)以確保它們滿足公司的訪問(wèn)規(guī)則。

假設(shè)這些活動(dòng)都正確地運(yùn)轉(zhuǎn)的話，認(rèn)可是合規(guī)遵從必須維護(hù)的另一個(gè)概念。換句話說(shuō)，采用的訪問(wèn)方法是用戶唯一可用的方法。組織經(jīng)常在新的IAM系統(tǒng)上投入時(shí)間和金錢，但是沒(méi)有關(guān)閉原有的人工訪問(wèn)方法。讓這些“后門”保持大開，數(shù)據(jù)可以通過(guò)控制手段以外的途徑訪問(wèn)，這不僅無(wú)法提供滿足合規(guī)的訪問(wèn)，還存在數(shù)據(jù)丟失或是泄漏的風(fēng)險(xiǎn)。只是創(chuàng)造新的“數(shù)據(jù)訪問(wèn)公路”還不夠，還需要讓“雜草叢生的鐵路”退役并關(guān)閉。大型、地理分布廣泛的組織做到可能不容易，而對(duì)于許多滿足合規(guī)性的組織來(lái)說(shuō)這也仍是努力解決的主要問(wèn)題之一。

安裝新的IAM應(yīng)用無(wú)法保證合規(guī)性。所有的IAM必須提供期望交付的服務(wù)。此外，需要分配資源來(lái)記錄如何配置系統(tǒng)，并且必須指導(dǎo)操作人員來(lái)捕捉和維護(hù)每天產(chǎn)生的日志。在產(chǎn)品部署的末期，必須實(shí)行記錄評(píng)審以確保舊的訪問(wèn)及運(yùn)行系統(tǒng)已經(jīng)關(guān)閉、或是***退役，以便確保不能再使用未經(jīng)批準(zhǔn)的方法來(lái)訪問(wèn)敏感信息。