IAM安全：通用电气(GE)对身份和访问管理基础架构的实践

多年来，通用电气一直致力于整合IAM功能，这显著节省了成本，优化了管理流程，更好地满足了监管要求。

通用电气(GE)通过集中整合一度支离破碎的身份和访问管理(IAM)基础架构，收获了可观的成本效益和性能优势。从2014年开始的近5年时间里，该公司已将7个独立的跨越多个业务部门身份管理系统集成到一个单一的平台上，这个平台目前管理着200万名员工和承包商对通用电气应用程序的访问。

通用电气身份管理服务主管Paul Bailey表示，新系统节省了昂贵的成本，使GE能为企业范围的应用程序访问建立一套标准化规则。进行整合的基础架构使GE能够将运行IAM系统所需的人员从250人减少到其一半。GE还将其全球访问审计管理团队的员工人数从25名精简至2名。

Bailey表示，重要的是GE的新身份管理平台使公司更容易搭载新的应用程序，授予、管理和终止用户访问，并确保身份管理符合监管要求。

是什么驱使GE改变其身份管理基础架构？

GE的大型任务（现在几乎已经完成）是一个例子，说明了企业如何发展其IAM，以跟上不断变化的业务需求和其他趋势。

据分析机构Gartner称，云计算和微服务架构的采用、数字化程度的提高以及随之而来的网络威胁激增，促使了更多优秀的IAM整合方法的出现。Gartner认为，未来几年IT行业的领导者需要将他们的身份系统与安全和欺诈系统更紧密地联系起来，在IAM模块之间实现更高水平的自动化和通信，并实施更尊重客户同意的数据管理策略。

Gartner指出: 现代身份环境变得日益复杂，已经很难以常规方式去进行管理了。这种趋势要求IT领导者升级他们的身份和访问管理环境。

Bailey表示，GE的身份整合系统源于对更高的可扩展性、灵活性和速度的需求。身为一家全球性企业，GE在多个行业开展业务，包括航空、医疗、能源、资本、石油和天然气以及电力。GE经营的几个领域都受到严格的监管，对IAM有严格的要求。

例如，GE的航空和能源业务需要遵守美国的出口管制规定，限制在美国之外销售或转让受到控制的软件、技术和服务。这样做的一部分原因包括确保只有拥有权限的人才能访问包含国防部数据的系统。GE必须在其业务涉及的其他领域遵守类似的要求，包括与SOX、HIPAA和FDA相关的规定。

分散的身份管理基础架构和其他挑战

五年前，GE的身份管理基础架构基于甲骨文(Oracle)的技术。该平台已接近使用寿命，不具备扩展性和灵活性来支持GE对其身份管理系统不断发展的需求。

当时，GE的每个业务部门都有独立的身份管理系统，总共有7个，不同的团队使用不同的流程管理这些系统。

我们有一个庞大的团队横跨这七个系统，处理很多相同的底层功能，这么做没有成本效益。

因为GE当时没有标准的IAM配置，所以公司没有办法定义和利用中央规则。

Bailey表示，GE在寻找新的身份管理系统时的主要要求之一是可扩展性。公司希望能够将所有7个独立的身份管理系统合并到一个可以集中管理的单一平台上。

GE还想要一个系统，可以使管理员更容易根据个人身份配置特定业务规则。Bailey指出，公司需要灵活性来满足不同业务的独特访问要求，例如航空部门需要遵守国防部的访问限制。在Oracle中，要把这些业务规则构建到身份中，需要大量的硬编码。

五年前，由于GE的身份管理系统的高度分散性，在全企业范围内推出新的应用程序也颇具挑战性。这个过程有时可能需要长达5个月的时间。因此，GE希望其下一代身份识别平台能够支持快速搭载新应用程序的能力。

新版身份管理平台

GE新版IAM基础架构基于SailPoint技术。Bailey表示，该公司的IdentityIQ平台支持GE在寻找整合平台时考虑的所有要求。它具有可扩展性，能够轻松配置访问规则，而且重要的是，它能满足GE的需求，即通过所谓的 “连接器” 快速安装应用程序，快速连接到企业应用程序、云托管应用程序、数据库和目录。在Oracle环境中，GE常常需要构建自己的连接器和Web服务来使用的新的应用程序，这导致了应用程序上线需要很长时间。

新版身份管理平台还带来了其他优势。GE现在可以更好地了解人们如何、何时、何地访问应用程序和服务。GE管理人员可以快速验证访问应用程序的人员是否以合规且可审计的方式访问应用程序。

例如，GE医疗业务的员工必须接受FDA监管的培训，才能访问某些受保护的数据。过去身份管理工作人员很难核实访问数据的人员是否真的接受了必要的培训，或者他们是否在没有完成这项要求的情况下访问数据。Bailey表示，GE现在可以插入一个基于API的框架，能够使IAM团队直接连接到GE的培训环境，去验证这些人员是否完成了相应的课程。

将来，Bailey和他的团队希望能够利用SailPoint的身份分析功能来进行角色管理、角色挖掘、访问审计、风险管理和其他用例工作。Bailey表示，GE还希望逐渐转向自助服务模式，即应用程序以自动化的方式使用身份管理服务。

SailPoint的首席产品官Paul Trulov表示，业务增长、企业数字化转型和合规要求，已经超出了传统IAM系统的能力。很多组织机构正在被迫升级。

我们有一个庞大的团队横跨这七个系统，处理很多相同的底层功能，这么做没有成本效益。