身份治理正迅速成为 CISO 的首要考虑因素。二十年前，当萨班斯-奥克斯利法案(SoX) 和其他监管指令在互联网泡沫破灭后诞生时，身份治理要求就出现了。合规性控制，例如用户访问审查和有效管理员工访问生命周期的需要，是当时身份治理的驱动力。近年来，云的快速采用使得身份识别对业务的重要性显着提高。如今，云数据泄露的根源在于身份暴露，主动的身份安全比身份合规性和生命周期管理更为重要。大多数组织比以往任何时候都更需要身份治理，但整理混乱的供应商消息、新的安全要求和组织所有权问题可能很困难。

什么是身份治理？

身份治理是为了确保正确的身份始终拥有正确的企业范围权限。为了支持这一点，必须为所有用户、机器和 API 适当配置企业基础设施和应用程序中的所有帐户、组、角色和细粒度权利。对于用户身份，这些权限需要适合工作。对于机器身份和 API，权限需要适合技术或业务要求。

组织的不断变化、新的应用程序、动态数据资源和云工作负载、新员工和离职员工以及不断变化的工作职责使身份治理变得更加复杂。需要根据各种变更事件以及合规性和安全策略来持续监控、审查、配置和取消配置权限。

身份识别作为云中新的安全边界正在推动一系列新的治理要求。 AWS、Azure 或 GCP 等平台以及 Okta、Snowflake、NetSuite 或 Workday 等关键应用程序需要主动监控访问暴露情况。需要预先修复的访问风险包括未使用的孤立帐户、不必要的服务帐户以及缺乏业务理由的第三方或 API 权限。此外，变更监控也变得至关重要；对安全设置的每一次更改和每一项新权限都是需要仔细检查和验证的风险。

流程和所有权

由于身份涉及企业运营的各个方面，因此身份治理流程涉及许多利益相关者，从主管和系统所有者到合规、安全、IT 和审计人员。 通过 SaaS 应用程序的分散管理，组织中通常有数百个应用程序所有者，他们做出特定于应用程序的访问决策，但不对安全性和合规性负责。

身份治理部署通常由企业内的身份团队或 IT 服务交付团队支持。这些团队了解合规性和生命周期流程，但很少参与威胁补救和响应。企业安全运营团队负责安全态势以及威胁检测和响应，但该团队通常不了解身份管理流程和特定于应用程序的访问的复杂性。对 CISO 和 CIO 来说，跨这些所有权孤岛全面管理身份和访问是一项挑战。许多企业很难在系统所有者和身份、IT 和安全团队之间就谁拥有什么以及如何将所有这些利益相关者纳入适当的技术驱动流程进行协调。

遗留身份治理

第一代身份治理产品侧重于合规性和生命周期管理，而不是企业安全。这些本地遗留解决方案旨在与本地应用程序和基础设施集成，需要大量的手动关注来进行部署和维护。供应商试图将其遗留产品“提升并转移”到云端，但移植的产品缺乏重要的功能，并且与本地版本非常相似，需要长期且昂贵的专业服务参与。Gartner 估计，此类身份治理部署中有 50% 陷入困境。传统解决方案在支持与 SaaS 和云应用程序的集成方面也存在不足。也许最重要的是，这些解决方案不能满足围绕态势管理和身份威胁的新兴安全要求。

身份提供商

近年来出现了一种更新的身份治理方式。作为提供目录、身份验证和单点登录服务的云业务推动者而获得巨大关注的身份提供商供应商也添加了一些身份治理功能。这些供应商可以跟踪谁可以登录系统以及映射到组成员身份的任何系统权限，但他们无法轻松处理未映射到组的权限。身份提供者使用的权限模型限制太多，并且其应用程序和基础设施的连接器无法在粒度级别上读取和写入权限。围绕审计、合规性和安全性的用例需要完整、准确的权限视图，而这些供应商无法提供。

身份安全：身份治理的新视角

现代身份治理方法是安全第一、以自动化为中心。市场新进入者支持主动安全控制和威胁检测，以及合规性和生命周期管理，使身份和安全运营团队能够在整个企业攻击面上共同构建强大的访问状态。新的解决方案基于 SaaS，提供更简单的用户体验和部署模型。他们还提供自动化功能，以便更轻松地与组织中使用的所有系统集成，显着减少利益相关者期望的手动工作，并量化跟踪治理流程的进度。因此，新一代解决方案能够非常有效地推动快速实现价值并快速交付业务成果，而无需长时间的专业服务参与。随着机器学习和人工智能日益推动自动化治理，这些解决方案前景光明。

身份是业务运营的基础，这使得身份治理成为必备条件。新的安全要求和云规模正在推动组织重新思考技术驱动因素和解决方案选择，并考虑使用新的、专门构建的自动化方法来解决身份治理问题，该方法可以快速、可预测地提供价值。