三种IAM部署模式：哪种最适合你的公司？

每个身份及访问管理平台部署模式，无论是现场部署还是云端部署，都有各自的取舍和不同资源要求。

身份及访问管理(IAM)平台已成为企业网络安全项目的重要组成部分。它们帮助公司企业管理数字身份和用户对公司里系统、网络和关键平台的访问——通过基于角色的控制。

希望利用IAM的公司企业面对的一个关键问题是，IAM最佳部署模式是什么?每个IAM部署都是独特的，但仍有3个主要模式：现场部署、云端部署、混合环境部署。

每种方式都有其自身的挑战，但也有相应的最佳实践可以解决这些挑战。

现场部署IAM

现场部署模式下，大多数IAM解决方案都要求占用大量基础设施和平台。提供持续的可用性及支持，以及从一家提供商的产品切换到另一家，都没那么容易。

IAM解决方案升级也未必会是安全人员的首要考虑，而且现场解决方案往往需要大量专业人员来运营。

在过去，所有商业应用都惯于安置在企业防火墙内。如今，很多公司藉由公共云使用多种软件即服务(SaaS)产品，将自身数据暴露给面向Web的应用，并允许用户使用各种设备远程访问。

于是，身份验证解决方案面临着安全与性能上的巨大压力。现场部署解决方案中，硬件扩充、容量规划与管理，以及数据库管理，都是特别重要的工作。

如果公司在这方面人手充足、准备充分，那现场部署就是个不错的选择。如若不然，仅仅为了身份验证需求就投入这么多，并不是最佳实践。

解决现场部署难题的最佳方法，是投入时间精力全面收集公司需求，并由下至上地创建一套周密严谨的方法，该方法考虑到公司所有利益相关者、当前及未来的集成、用例及功能。

其中应包含数据中心容量规划，以及对业务的地理分布及性能方面的深入理解。

公司企业还应考虑实现私有云基础设施即服务(IaaS)和平台即服务(PaaS)功能。这能令公司在保证控制及资产完全自有的基础上，还享有混合方法的种种好处。

云端部署IAM

基于云的IAM所面临的挑战，主要是资深云系统安全专家的缺乏。如果没做对，信息安全风险增加就是可能遇到的非预期结果。

而且，采用SaaS访问控制系统需要现场协调符合当前安全身份验证及授权标准。公司还需清楚如何配置与集成现场系统和云IAM系统。

如果公司有保证生产数据不被非生产环境云租户访问的策略和操作，某些SaaS应用可能会要求公司的策略稍作调整。如果SaaS产品允许自定义，你怎么开发、测试和部署?它适应你的当前部署和自动化团队的过程及工具吗?

采用云模式，必须要清楚自己在做什么，以及为什么这么做。单纯采纳云优先策略，必将迎来痛苦的体验和悔不当初的感受。应对IAM云挑战最重要的方法，是构建与IAM需求、预算、人力资源要求、技术及人力限制，以及IAM架构协调一致的云策略。

公司企业必须要能根据期望衡量结果，并愿意基于自己的指标接受方向上的变化。IAM云策略必须公司的IAM目标，并能在企业文化的约束下存活。

云部署是最安全最无缝的模式，但保证有效集成却存在一些困难。困难之一就是得确保公司正确设计并实现了安全及合规控制，比如访问控制、日志记录和监视。现场部署中的所有控制目标都可以在云部署中达成，但往往需要一套不同的方法和工具。

另一个困难是跨多个独立公司的身份管理。这有可能导致一家企业中存在多种身份，造成安全和管理上的复杂化。

可靠的身份即服务(IDaaS)平台可以解决云系统相关的身份挑战。将单独的平台服务引入公司环境，就可以接过容量规划、硬件、核心功能开发等事务，将公司人员解脱出来，去处理实现和终端用户体验等问题。

还能让管理层专注于公司整体战略中最有价值的专业技能和知识产权的核心领域，将复杂的IAM交给外部专家。

混合IAM平台部署

混合IT模式是想要数字化转型的公司企业常会采取的第一步。相比完全私有云，混合模式对资金和资源的要求都没那么高，所以在技术人员中很是流行。

混合部署能帮助公司弥合现场部署和云部署之间的差距，既保留现场部署情况下企业安全部门的业务熟练度，又提供云环境的可扩展性和其他功能。

不过，管理成本和技术复杂度会相对高一些，还会要求有全面的架构以无缝工作。想要获得混合部署的成功，就需要有全面细致的设计和对选择混合模式想要达到的目标的深入理解。