在描述 IBM CIO 办公室正在努力应对的两大挑战时,我会想到“进退两难”这个成语。首先想象一下,必须使用高度定制的单租户本地部署平台,为全球超过 50 万 IBM 员工提供身份和访问身份验证服务。与此同时,必须使用单独、过时的第一代身份即服务 (IDaaS) 解决方案,为全球超过 2600 万 IBM 客户提供类似的身份和访问服务。
现在您可能开始看到 IBM CIO 办公室面临的挑战:两个独立的身份和访问管理 (IAM) 平台提供不同的技术以及不同的成熟度、可靠性和功能级别。
这种挑战的规模难以想象。IBM Assured Identity and Cybersecurity Operations 团队支持 5,000 个应用程序、600 余家联合客户公司及其员工以及超过 150,000 个授权群组。仅在 2021 年的一个季度,IBM 身份验证服务就支持了 3570 万次登录。
在当今的竞争环境中,赛场变化多端。Assured Identity and Cybersecurity Operations 团队主管 Daniel Opoku-Frempong 指出,“IBM CIO 组织为整个 IBM 员工队伍、数百万客户以及现在的 Kyndryl 提供关键的身份服务。”
转型 IBM 的身份验证服务需要对基础设施进行重大现代化和整合,以有效地提供大规模的可靠性和安全性。Opoku-Frempong 描述了这一困难:“我们需要在捕获、参与和管理全球数百万用户的用户身份和访问方式方面进行根本性变革。我们再也无法为投资回报率低和上市速度慢找借口,这些问题困扰着旧解决方案所涉及的每个工作流程。
可扩展到超过 2700 万个内部和外部身份
自迁移以来,为超过 800000 次身份验证提供无密码 QR 或 FIDO2 功能
Assured Identity 架构师 Ed Klenotiz 及同事开始行动。“我们完成了对领先供应商的竞争分析,推动企业对员工和企业对企业的身份服务。”他说。“利用标准的、基于云的身份验证平台是为 IBM 员工和客户大规模实现身份服务现代化的关键性第一步。”
正如 IBM 向客户推荐的那样,Assured Identity and Cybersecurity Operations 团队收集了他们的所有身份和访问需求,并对比了市场上的多种解决方案。
在收集需求并考虑所有选项后,Assured Identity and Cybersecurity Operations 团队为数百万内外部用户选择了 IBM Security verify (SaaS)。首要原因?首先是因为这些 API 支持了应用程序的无缝迁移。第二个?它们能够自定义用户界面以满足确切要求,而不会耗尽开发资源。
通过采用 IBM Security verify 作为所有 B2E 和 B2B 身份的标准云 IAM 服务平台,IBM 准备部署更现代的身份功能,增强安全性、扩大规模、改善用户体验。
“借助新的解决方案,我们可以扩大内部用户的身份验证选择,”Opoku-Frempong 说。“双因子验证 (2FA) 可以显著防止密码泄露,但对用户来说通常很麻烦。因此,我们实现了 2FA 的自适应功能,使用后端分析确定何时何地需要额外的身份验证。转向 IBM Security Verify 2FA 功能为 IBM 员工提供了更多选择,可以通过无密码选项(例如用于 TouchID 和 Windows Hello 的 QR 码和 FIDO2)进行身份验证。这本身就是一场巨变。”
但其他压力依然存在。以往资料显示,IBM CIO 团队曾投资开发其公司名录,以遵守《国际武器贸易条例》(ITAR)。ITAR 是一项美国监管制度,用于限制并控制国防和军事相关技术的出口。在全球范围内一次性淘汰并替换旧的 IAM 解决方案是不可能的。IBM Security verify 工程师早已预料到这一需求。Security Verify Bridge与 Bridge for Directory Sync 相结合,使 IBM CIO 团队能够应用旧版投资和相关流程。另一个好处是,这使他们能够以最小的影响制定一个谨慎的交错迁移计划。
Opoku-Frempong 继续说道:“还有其他一些迁移功能可以确保过渡更加平稳。IBM Security verify 的增强型 API 库支持我们的应用程序所有者进行自助应用程序迁移,从而最大限度地减少对其他工作负载的影响。此外,围绕特权 API 访问的增强控制层使我们能够进行更严格的环境安全控制,进而最大限度地减少攻击向量。这对我们来说绝对是双赢。”
Opoku-Frempong 及其团队有很多值得庆祝的事情。通过采用 IBM Security Verify,他们能够改善用户体验,同时大规模加强用户以及公司网络、数据和应用程序的安全性。IBMid 项目经理 Lee Ann Rodgers 说:“IBM Security Verify 功能使我们能够为客户提供可扩展的功能,借助灵活的 MFA 方法、密码管理增强、用户 ID 生命周期管理和自我关怀、应用程序管理、灵活的用户变更通知和事件通知服务等增强安全性。”
此外,还有对未来的愿景,对更多价值的承诺。随着 IBM 身份和访问身份验证之旅的继续,IBM 员工和客户可以期待更多惊喜:
Assured Identity 高级经理 Gary Schmader 总结道:“我们依靠自己的商用解决方案来大规模满足关键任务需求。借助 IBM Security verify,我们可以向与 IBM 交互的任何人提供无缝、安全、最先进的信息资源访问权限......而且我们才刚刚开始。”
IBM 是混合云和 AI 领域的全球领导者,为 170 多个国家或地区的客户提供服务。 超过 3,500 家客户使用我们的混合云平台加速数字化转型之旅,其中总共有超过 30,000 家客户转向使用 IBM 服务,释放其数据价值 — 该客户名单包括全球十大银行中的九家。在此基础上,我们继续利用 Red Hat OpenShift 作为领先平台来满足客户的业务需求:开放、灵活且安全的混合云平台。在信任、透明和支持更具包容性社会的原则指导下,IBM 还致力于成为负责任的技术管理者和世界向善的力量。
© Copyright IBM Corporation 2022。IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
2022 年 1 月在美国制作。
IBM、IBM 徽标、ibm.com 以及 IBM Security 是 International Business Machines Corp. 在世界各地司法辖区的注册商标。其他产品和服务名称可能是 IBM 或其他公司的商标。以下网站上的“Copyright and trademark information”部分中包含了 IBM 商标的最新列表:https://www.ibm.com/cn-zh/legal/copytrade。
Red Hat® 和 OpenShift® 是 Red Hat, Inc. 或其子公司在美国和其他国家/地区的商标或注册商标。
本文档为自最初公布日期起的最新版本,IBM 可能随时对其进行更改。IBM 并不一定在开展业务的所有国家或地区提供所有产品或服务。
文中引用的性能数据和客户示例仅作演示说明之用。实际性能结果可能因具体配置和操作条件而异。本文档中的信息均“按原样”提供,不涉及任何明示或暗示的保证,包括适销性、特定用途适用性的任何保证,以及不侵权的任何保证或条件。IBM 产品根据其提供时所依据的协议条款和条件获得保证。
良好安全实践声明:IT 系统安全涉及通过预防、检测和响应企业内部和外部的不当访问来保护系统和信息。不正当访问可导致信息被更改、破坏、盗用或滥用,也可能导致系统被损坏或滥用,包括用于攻击他人。任何 IT 系统或产品都不应被视为完全安全,任何单一产品、服务或安全措施都不能完全有效防止不正当使用或访问。IBM 系统、产品和服务旨在成为合法、全面的安全措施的一部分,这必然涉及其他操作程序,且可能需要借助其他系统、产品或服务才能发挥最大作用。IBM 不保证任何系统、产品或服务可免于或使您的企业免于受到任何一方恶意或非法行为的影响