公司如何在云平台上管理与第三方共享的资源？

Question

多年来，我公司的人在云平台上与第三大团体共享资源。这可以是Google上的文件，Confluence上的文章，Github上的存储库，松弛的通道，实际上是云平台上允许协作的任何东西。第三方包括前雇员、客户和前客户、合作伙伴和供应商。随着时间的推移，这将成为一种重大的安全风险，因为数据如包含商业机密的文件或与外部实体共享的个人数据，这些实体对这些数据不再有合法的需要。这些文档中的一些仍在不时地被公司中不知道还有谁拥有访问权的人更新！这是一个常见的情况吗？公司通常如何管理云资源？这都是因为帐户管理员有多勤奋(或者不那么勤奋)吗？

以Google为例。该平台允许您与组织以外的人共享文件。随着客户、供应商和员工的来来去去，我们在这些平台上积累了大量的文件，这些文件与那些不再需要访问这些文件的人共享。查看我们所有的文件，并确定谁需要访问，谁不需要的过程是非常痛苦的，需要定期进行。有更好的办法吗？其他公司是如何管理的呢？

Answer 1

当您拥有一个拥有多种IT基础设施的大型组织时，您就必须适应身份管理成为一项全职工作的事实。您需要一个(甚至整个部门)负责管理您拥有的所有IT资源上的用户帐户。他们(只有他们)负责：

• 为IT系统创建帐户
• 分配权限
• 当人的功能发生变化时撤销权限
• 定期检查帐户是否仍在积极使用，并在未使用时锁定帐户
• 定期检查具有关键权限的帐户，并评估是否仍然需要这些帐户
• 维护所有这些活动的记录，这样您就可以随时知道谁拥有在哪个时间段内的权限(在发生数据泄露时至关重要)。
• 对那些将公司数据放在云服务上而不是由他们管理的人打耳光。

当您希望将工作开销降到最低时，您可能需要考虑集中和巩固您的IT基础结构。与其将IT基础设施分布在整个网络上，不如考虑自己托管更多的it基础设施。对于问题中提到的每一个产品，都有一个可以在前提下安装的解决方案。这给了你对公司数据的更多控制(你真的读过你允许谷歌对你上传到谷歌硬盘的公司机密做些什么？)。它还使您能够集中在您的公司的帐户管理。许多产品支持Kerberos这样的协议，这些协议允许他们使用集中系统中的用户帐户。当每个员工和商业伙伴在公司里只有一个账户时，管理起来就容易多了(对你和他们来说也是如此)。

“查看我们所有的文件，确定谁需要访问，谁不需要访问”是您不应该做的事情。适当的企业规模许可制度应以角色为基础。如果您不能访问/project_x/business_plan_V14.67.docx，您将得到"projectx参与者“角色，它允许您访问/project_x/*。

Answer 2

我还没有看到任何优雅的解决方案来解决你的问题。我见过以下情况：

1. 确定每一个有权限的实体的负责联络点，每季度或6个月向他们提供该实体用户的名单，并要求他们确认用户正在进行的访问要求。
2. 自动撤消对未访问任何资源的用户的访问权限，访问时间为“值X”，并根据请求重新启用。
3. 请HR或供应商管理部门联系您，以便在合同终止后撤销承包商或供应商的权限，或允许HR对平台进行某种级别的管理访问。

您的企业是否有可能发布一个双因素身份验证软令牌(例如Google身份验证)，该令牌必须用于访问任何资源，并且您可以为冗余用户集中重新激活令牌？