以下文章來源于安全419 ,作者閆小川
身份,作為行業(yè)公認(rèn)的,在技術(shù)不斷發(fā)展IT環(huán)境巨變之下新的安全邊界,安全機(jī)構(gòu)的調(diào)研報(bào)告顯示,在企業(yè)內(nèi),多數(shù)大型組織動(dòng)輒要管理上萬個(gè)身份,以便讓員工、合作伙伴共享網(wǎng)絡(luò)資源,然而近90%的企業(yè)在過去一年內(nèi)受到了基于身份的攻擊,這說明身份安全已經(jīng)成為組織必須要解決的首要安全問題之一。
安全419推出《身份安全解決方案》調(diào)研訪談,希望通過探尋不同網(wǎng)安企業(yè)聲音,洞悉本土化可落地的身份安全解決方案,以支撐我國大中小企業(yè)解決好網(wǎng)絡(luò)一側(cè)的身份安全問題。
上海派拉軟件股份有限公司(以下簡稱:派拉軟件),是國內(nèi)最早從事身份安全研發(fā)的原廠商,致力于為企業(yè)和機(jī)構(gòu)提供以“數(shù)字身份”為核心的數(shù)字化能力底座與安全基石。能力主要涵蓋身份安全、應(yīng)用安全、數(shù)據(jù)安全,作為國內(nèi)數(shù)字身份安全的領(lǐng)導(dǎo)廠商,派拉軟件以15年安全實(shí)踐獲得全球多行業(yè)超2000家客戶認(rèn)可,先后獲得Gartner《身份治理與管理市場指南》全球代表廠商推薦、中國網(wǎng)安產(chǎn)業(yè)百強(qiáng)企業(yè)、中國數(shù)字安全綜合實(shí)力百強(qiáng)企業(yè)、零信任最受行業(yè)歡迎廠商等領(lǐng)域殊榮。
本期訪談,我們采訪到了派拉軟件解決方案負(fù)責(zé)人茆正華,接下來我們將走進(jìn)派拉軟件,來了解一下這家專業(yè)數(shù)字身份安全廠商的全方位身份安全解決方案。
身份管理
是企業(yè)高效、安全、合規(guī)開展業(yè)務(wù)的前提
派拉軟件認(rèn)為,在現(xiàn)代IT基礎(chǔ)架構(gòu)當(dāng)中,身份系統(tǒng)已被視為IT部門管理的基礎(chǔ)設(shè)施,從其技術(shù)本身的發(fā)展和對(duì)業(yè)務(wù)側(cè)的影響來看,身份也是新的邊界,由于其全面協(xié)調(diào)人機(jī)確權(quán)對(duì)資源的訪問,身份管理和身份安全工作已經(jīng)是企業(yè)IT團(tuán)隊(duì)日常重要工作之一。
萬物互聯(lián)時(shí)代的到來,線上業(yè)務(wù)依托于各種IT基礎(chǔ)設(shè)施與應(yīng)用之上,其中認(rèn)證技術(shù)的發(fā)展,承載業(yè)務(wù)的IT基礎(chǔ)設(shè)施本身的發(fā)展,都令身份安全從一個(gè)技術(shù)階段不斷走向另一個(gè)技術(shù)階段。
如今,企業(yè)規(guī)模越大、數(shù)字化轉(zhuǎn)型越成功、對(duì)網(wǎng)絡(luò)安全工作重視程度越高,企業(yè)對(duì)身份管理和身份安全的工作要求也越復(fù)雜。企業(yè)需要為內(nèi)部員工構(gòu)建統(tǒng)一身份基礎(chǔ)設(shè)施,從統(tǒng)一認(rèn)證到統(tǒng)一管理,身份管理方案越來越深,其管理范圍甚至不斷外延。
派拉軟件指出,隨著數(shù)字化轉(zhuǎn)型的持續(xù)深入,企業(yè)的身份管理將會(huì)邁入到全生態(tài)包容范圍,從內(nèi)部員工擴(kuò)展至供應(yīng)鏈上下游,到業(yè)務(wù)層面的企業(yè)級(jí)客戶,或是龐大的C端用戶,乃至業(yè)務(wù)出海的全球身份管理,身份管理已經(jīng)是企業(yè)高效、安全、合規(guī)開展業(yè)務(wù)的前提。
構(gòu)建身份系統(tǒng)的必要性在于企業(yè)從安全合規(guī)到業(yè)務(wù)發(fā)展戰(zhàn)略性升級(jí)的過程,一方面,身份安全貫穿于各項(xiàng)合規(guī)政策當(dāng)中,圍繞系統(tǒng)身份進(jìn)行管理,進(jìn)行技術(shù)化干預(yù)勢在必行;另一方面從身份維度進(jìn)行全域業(yè)務(wù)系統(tǒng)管理,將有效解決企業(yè)的業(yè)務(wù)系統(tǒng)割裂問題。
從15年安全實(shí)踐經(jīng)驗(yàn)來看,派拉軟件也總結(jié)了當(dāng)前企業(yè)身份管理和身份安全建設(shè)的實(shí)現(xiàn)阻礙,其主要?dú)w為以下二點(diǎn):
其一是企業(yè)需要為全面的身份管理和身份安全戰(zhàn)略配套相應(yīng)的管理制度,比如為不同崗位建立不同的角色畫像,如此才能為不同的身份下放權(quán)限細(xì)粒度管理。此時(shí)企業(yè)需要從過去粗放式管理向精細(xì)化管理過渡,粗放式管理將不適應(yīng)企業(yè)即將邁入數(shù)字化管理新階段下的發(fā)展訴求。
其二是理想化的身份管理框架在落地時(shí)往往需要向不同環(huán)境或業(yè)務(wù)場景妥協(xié),此時(shí)企業(yè)難以憑借自身的經(jīng)驗(yàn)來技術(shù)化協(xié)調(diào)解決。這也是為什么派拉軟件在落地身份安全項(xiàng)目時(shí)會(huì)加入事前咨詢服務(wù),這一過程將會(huì)梳理出身份系統(tǒng)與客戶業(yè)務(wù)系統(tǒng)的交集與流程。
方案適應(yīng)企業(yè)
不同IT建設(shè)階段及數(shù)字化業(yè)務(wù)場景
派拉軟件總結(jié)認(rèn)為,身份系統(tǒng)是當(dāng)前企業(yè)進(jìn)行業(yè)務(wù)系統(tǒng)化管理的最佳抓手之一,一套好用的身份管理、身份安全方案可向管理側(cè)(安全合規(guī))和員工側(cè)(高效便捷)兩端釋放價(jià)值。
派拉軟件基于“身份優(yōu)先”的零信任架構(gòu)(Zero Trust),從全域身份治理和安全訪問控制,逐步延伸到特權(quán)訪問管理、API管理、數(shù)據(jù)訪問控制管理等產(chǎn)品和解決方案,不斷擴(kuò)展數(shù)字身份安全能力。即派拉軟件身份安全解決方案由一整套身份管理和體系產(chǎn)品所組成,從而滿足于企業(yè)不同階段和不同業(yè)務(wù)場景下的身份安全建設(shè)需求。
派拉全產(chǎn)品體系架構(gòu)圖
從產(chǎn)品維度來看,派拉軟件在網(wǎng)絡(luò)側(cè)主要以身份優(yōu)先的零信任解決方案作為切入,零信任解決方案的核心優(yōu)勢是對(duì)用戶身份、接入設(shè)備均驗(yàn)證合法性后才能進(jìn)行資源訪問,基于身份的“最小授權(quán)”安全策略以及動(dòng)態(tài)訪問控制機(jī)制,可全面保障端到端的訪問安全。派拉軟件的身份優(yōu)先的零信任解決方案厚度上大幅增強(qiáng),幾乎涵蓋派拉軟件多年經(jīng)驗(yàn)和技術(shù)大成,并以國產(chǎn)化適配,全面參與到企業(yè)的本地與云端資源管理當(dāng)中。
進(jìn)入到網(wǎng)絡(luò)入口之后,派拉軟件可向企業(yè)提供IAM統(tǒng)一身份治理系統(tǒng),且為滿足企業(yè)精細(xì)化安全控制,系統(tǒng)可拆分為面向企業(yè)內(nèi)部員工的“員工身份與訪問控制eIAM系統(tǒng)”,以及面向渠道、供應(yīng)鏈的“商業(yè)身份與訪問控制bIAM系統(tǒng)”,面向客戶的“客戶身份與訪問控制cIAM系統(tǒng)”。
派拉IAM統(tǒng)一身份治理平臺(tái)以用戶身份數(shù)據(jù)為中心,針對(duì)企業(yè)全場景的數(shù)字身份進(jìn)行整合管理,通過構(gòu)建集中用戶管理中心,打通各異構(gòu)系統(tǒng)之間的用戶身份數(shù)據(jù)通道,實(shí)現(xiàn)用戶全生命周期自動(dòng)化管理、SSO多業(yè)務(wù)系統(tǒng)單點(diǎn)登錄、MFA強(qiáng)認(rèn)證、UEBA智能風(fēng)險(xiǎn)監(jiān)測、細(xì)粒度權(quán)限、審計(jì)管理及自助服務(wù),基于安全提供更高效、便捷的管理能力和業(yè)務(wù)能力。
身份安全已經(jīng)成為一個(gè)重要領(lǐng)域,派拉軟件可以提供多款產(chǎn)品組合形成的解決方案,對(duì)于不同需求的甲方客戶而言,這些單點(diǎn)能力,比如SSO、IDaaS、MFA、細(xì)粒度權(quán)限管理、智能身份認(rèn)證等不同子產(chǎn)品也可以獨(dú)立提供。派拉軟件產(chǎn)品線上將API安全和數(shù)據(jù)安全獨(dú)立,其對(duì)應(yīng)的獨(dú)立產(chǎn)品如API安全網(wǎng)關(guān)、API管理平臺(tái),PAM特權(quán)訪問管理系統(tǒng)、數(shù)據(jù)庫訪問管理系統(tǒng)等,都可以納入到身份安全方案當(dāng)中。
以上可以看到,由不同產(chǎn)品組合或拆分而成的派拉軟件身份安全解決方案,可以劃分為統(tǒng)一身份安全方案,認(rèn)證類身份安全方案,治理類身份安全方案,權(quán)限管控類身份安全方案,風(fēng)險(xiǎn)管控類身份安全方案,門戶特權(quán)類身份安全方案等等,從而全面覆蓋了大中小企業(yè)不同IT建設(shè)階段,企業(yè)數(shù)字化業(yè)務(wù)全覆蓋,甚至跨區(qū)域乃至全球化業(yè)務(wù)下的身份安全建設(shè)訴求。
舉例而言,企業(yè)最常用的還是認(rèn)證類身份安全方案,其通常由SSO+MFA等產(chǎn)品組成,單點(diǎn)登錄系統(tǒng)可實(shí)現(xiàn)一套系統(tǒng)無阻礙對(duì)接企業(yè)的所有業(yè)務(wù)系統(tǒng),讓員工不再困于管理大量賬密,實(shí)現(xiàn)安全便捷的無密碼辦公,并且通過多因素認(rèn)證加強(qiáng)方案的安全性。
對(duì)于已經(jīng)建立身份系統(tǒng)的企業(yè)客戶而言,如對(duì)系統(tǒng)權(quán)限管控不滿意,就可以采用派拉軟件的權(quán)限治理類身份安全解決方案,該方案可以從應(yīng)用級(jí)訪問控制,到以角色崗位級(jí)權(quán)限管控,再到細(xì)粒度權(quán)限控制,比如用戶權(quán)限管控到每一個(gè)菜單、按鈕,甚至到數(shù)據(jù)庫的行列級(jí)權(quán)限控制。
又如風(fēng)險(xiǎn)管控類身份安全方案,最近幾年企業(yè)內(nèi)鬼事件頻發(fā),當(dāng)監(jiān)管趨嚴(yán),對(duì)于企業(yè)來說必須提升相應(yīng)的風(fēng)險(xiǎn)發(fā)現(xiàn)能力。風(fēng)險(xiǎn)管控類身份安全方案可提供基于用戶身份維度上的安全運(yùn)營工作,運(yùn)維人員可實(shí)時(shí)看到企業(yè)內(nèi)部的身份風(fēng)險(xiǎn)情況,其基于UEBA智能風(fēng)險(xiǎn)檢測系統(tǒng)實(shí)現(xiàn)了用戶行為的智能分析,過程通過大數(shù)據(jù)和AI技術(shù)生成多級(jí)別風(fēng)險(xiǎn)策略,時(shí)刻檢測用戶風(fēng)險(xiǎn)行為。
服務(wù)客戶超2000家
優(yōu)勢客戶實(shí)踐展現(xiàn)差異化優(yōu)勢
據(jù)了解,派拉軟件已成功為全球范圍內(nèi)的金融、制造、醫(yī)療、教育、零售、政府、地產(chǎn)、科研院所等多行業(yè)2000余家企業(yè)和機(jī)構(gòu)提供極致體驗(yàn)的“全域數(shù)字身份統(tǒng)一安全管控”專業(yè)服務(wù),覆蓋五百強(qiáng)客戶300余家。
派拉軟件在身份安全解決方案的全域管理、高性能、高安全性等方面收獲了客戶的高度認(rèn)可,特別是在大型企業(yè)客戶方面擁有諸多成功實(shí)踐。
如為某知名合資車企構(gòu)建的全域身份認(rèn)證管理系統(tǒng),系統(tǒng)管理用戶近3000萬個(gè),這也是國內(nèi)身份安全廠商實(shí)踐超過千萬級(jí)用戶的極少數(shù)案例。另外一家國內(nèi)某知名新能源企業(yè)通過派拉軟件構(gòu)建了全球化的身份治理解決方案,方案滿足了全球不同地區(qū)對(duì)于數(shù)據(jù)安全方面的差異化合規(guī)監(jiān)管要求,并提供了全球用戶的高效協(xié)同辦公。
訪談過程中我們了解到了派拉軟件身份安全解決方案的諸多差異化能力,總結(jié)重點(diǎn)如下:
●在認(rèn)證類身份安全方案方面,方案完全做到了開箱即用,且認(rèn)證方式可覆蓋客戶當(dāng)前場景下的任何業(yè)務(wù)數(shù)據(jù)源,并通過協(xié)議加固實(shí)現(xiàn)了更好的網(wǎng)絡(luò)安全性;
●治理類身份安全方案方面,方案可提供覆蓋到員工、供應(yīng)商、C端等多用戶維度,全域全生態(tài)化覆蓋,企業(yè)可實(shí)現(xiàn)用戶的精細(xì)化治理;
●權(quán)限管控類身份安全方案方面,其方案可以做到用戶身份深度匹配業(yè)務(wù)與流程,同時(shí)根據(jù)大量客戶實(shí)踐和技術(shù)稽查不斷優(yōu)化權(quán)限管控精準(zhǔn)度和高安全性;
● 風(fēng)險(xiǎn)管控類身份安全方案方面,可根據(jù)用戶行為建立全鏈路風(fēng)險(xiǎn)因子收緊機(jī)制,結(jié)合其它子產(chǎn)品,形成集中式的智能風(fēng)險(xiǎn)分析引擎,分析捕捉用戶風(fēng)險(xiǎn)方面的全面性和精準(zhǔn)性更高。
對(duì)于行業(yè)客戶而言,派拉軟件還能提供豐富多樣的國產(chǎn)化替代方案,一方面通過國產(chǎn)化自研平臺(tái)且對(duì)國產(chǎn)操作系統(tǒng)、數(shù)據(jù)庫、中間件全面適配,可為客戶提供全面的國產(chǎn)化身份安全解決方案,同時(shí)可根據(jù)客戶不同的訴求和階段化替代目標(biāo),制定階段性遷移策略,如利用平臺(tái)融合架構(gòu)實(shí)現(xiàn)雙系統(tǒng)并行,再到全面升級(jí)為國家化新平臺(tái)應(yīng)用,為行業(yè)客戶提供了合規(guī)的靈活的可選建設(shè)方案。
尾聲
數(shù)字化轉(zhuǎn)型讓企業(yè)管理的數(shù)字身份數(shù)量不斷上升,調(diào)研顯示,成功實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型的企業(yè),其管理的數(shù)字身份已呈倍數(shù)激增,當(dāng)前大型企業(yè)管理超過1萬個(gè)數(shù)字身份的數(shù)量已經(jīng)過半(52%),安全的管理身份,已經(jīng)成為企業(yè)保護(hù)數(shù)字資產(chǎn),避免數(shù)據(jù)泄露、員工違規(guī)操作的重要手段。
派拉軟件已經(jīng)成長為一家一站式身份安全解決方案提供商,企業(yè)客戶可以根據(jù)不同的需求,選擇派拉軟件豐富的方案打包或單點(diǎn)能力,其能力范圍涵蓋從內(nèi)到外的全域、全生態(tài)身份維度,這對(duì)于企業(yè)數(shù)字化身份應(yīng)用的多元化時(shí)代來說彌足珍貴。
以上為此次我們對(duì)派拉軟件身份安全解決方案系統(tǒng)能力進(jìn)行的全面了解,希望能為相關(guān)企業(yè)做出針對(duì)身份維度的安全建設(shè)起到借鑒和幫助作用。同時(shí),安全419《身份安全解決方案》調(diào)研訪談還將持續(xù)更新,我們還將持續(xù)走進(jìn)更多的網(wǎng)絡(luò)安全企業(yè),來觀察他們針對(duì)不同行業(yè)、不同用戶和不同環(huán)境之間的身份安全解決方案能力之間的細(xì)節(jié)與區(qū)別,敬請持續(xù)關(guān)注。