以下文章來(lái)源于安全419 ,作者閆小川
身份,作為行業(yè)公認(rèn)的,在技術(shù)不斷發(fā)展IT環(huán)境巨變之下新的安全邊界,安全機(jī)構(gòu)的調(diào)研報(bào)告顯示,在企業(yè)內(nèi),多數(shù)大型組織動(dòng)輒要管理上萬(wàn)個(gè)身份,以便讓員工、合作伙伴共享網(wǎng)絡(luò)資源,然而近90%的企業(yè)在過(guò)去一年內(nèi)受到了基于身份的攻擊,這說(shuō)明身份安全已經(jīng)成為組織必須要解決的首要安全問(wèn)題之一。
安全419推出《身份安全解決方案》調(diào)研訪談,希望通過(guò)探尋不同網(wǎng)安企業(yè)聲音,洞悉本土化可落地的身份安全解決方案,以支撐我國(guó)大中小企業(yè)解決好網(wǎng)絡(luò)一側(cè)的身份安全問(wèn)題。
上海派拉軟件股份有限公司(以下簡(jiǎn)稱:派拉軟件),是國(guó)內(nèi)最早從事身份安全研發(fā)的原廠商,致力于為企業(yè)和機(jī)構(gòu)提供以“數(shù)字身份”為核心的數(shù)字化能力底座與安全基石。能力主要涵蓋身份安全、應(yīng)用安全、數(shù)據(jù)安全,作為國(guó)內(nèi)數(shù)字身份安全的領(lǐng)導(dǎo)廠商,派拉軟件以15年安全實(shí)踐獲得全球多行業(yè)超2000家客戶認(rèn)可,先后獲得Gartner《身份治理與管理市場(chǎng)指南》全球代表廠商推薦、中國(guó)網(wǎng)安產(chǎn)業(yè)百?gòu)?qiáng)企業(yè)、中國(guó)數(shù)字安全綜合實(shí)力百?gòu)?qiáng)企業(yè)、零信任最受行業(yè)歡迎廠商等領(lǐng)域殊榮。
本期訪談,我們采訪到了派拉軟件解決方案負(fù)責(zé)人茆正華,接下來(lái)我們將走進(jìn)派拉軟件,來(lái)了解一下這家專業(yè)數(shù)字身份安全廠商的全方位身份安全解決方案。
身份管理
是企業(yè)高效、安全、合規(guī)開展業(yè)務(wù)的前提
派拉軟件認(rèn)為,在現(xiàn)代IT基礎(chǔ)架構(gòu)當(dāng)中,身份系統(tǒng)已被視為IT部門管理的基礎(chǔ)設(shè)施,從其技術(shù)本身的發(fā)展和對(duì)業(yè)務(wù)側(cè)的影響來(lái)看,身份也是新的邊界,由于其全面協(xié)調(diào)人機(jī)確權(quán)對(duì)資源的訪問(wèn),身份管理和身份安全工作已經(jīng)是企業(yè)IT團(tuán)隊(duì)日常重要工作之一。
萬(wàn)物互聯(lián)時(shí)代的到來(lái),線上業(yè)務(wù)依托于各種IT基礎(chǔ)設(shè)施與應(yīng)用之上,其中認(rèn)證技術(shù)的發(fā)展,承載業(yè)務(wù)的IT基礎(chǔ)設(shè)施本身的發(fā)展,都令身份安全從一個(gè)技術(shù)階段不斷走向另一個(gè)技術(shù)階段。
如今,企業(yè)規(guī)模越大、數(shù)字化轉(zhuǎn)型越成功、對(duì)網(wǎng)絡(luò)安全工作重視程度越高,企業(yè)對(duì)身份管理和身份安全的工作要求也越復(fù)雜。企業(yè)需要為內(nèi)部員工構(gòu)建統(tǒng)一身份基礎(chǔ)設(shè)施,從統(tǒng)一認(rèn)證到統(tǒng)一管理,身份管理方案越來(lái)越深,其管理范圍甚至不斷外延。
派拉軟件指出,隨著數(shù)字化轉(zhuǎn)型的持續(xù)深入,企業(yè)的身份管理將會(huì)邁入到全生態(tài)包容范圍,從內(nèi)部員工擴(kuò)展至供應(yīng)鏈上下游,到業(yè)務(wù)層面的企業(yè)級(jí)客戶,或是龐大的C端用戶,乃至業(yè)務(wù)出海的全球身份管理,身份管理已經(jīng)是企業(yè)高效、安全、合規(guī)開展業(yè)務(wù)的前提。
構(gòu)建身份系統(tǒng)的必要性在于企業(yè)從安全合規(guī)到業(yè)務(wù)發(fā)展戰(zhàn)略性升級(jí)的過(guò)程,一方面,身份安全貫穿于各項(xiàng)合規(guī)政策當(dāng)中,圍繞系統(tǒng)身份進(jìn)行管理,進(jìn)行技術(shù)化干預(yù)勢(shì)在必行;另一方面從身份維度進(jìn)行全域業(yè)務(wù)系統(tǒng)管理,將有效解決企業(yè)的業(yè)務(wù)系統(tǒng)割裂問(wèn)題。
從15年安全實(shí)踐經(jīng)驗(yàn)來(lái)看,派拉軟件也總結(jié)了當(dāng)前企業(yè)身份管理和身份安全建設(shè)的實(shí)現(xiàn)阻礙,其主要?dú)w為以下二點(diǎn):
其一是企業(yè)需要為全面的身份管理和身份安全戰(zhàn)略配套相應(yīng)的管理制度,比如為不同崗位建立不同的角色畫像,如此才能為不同的身份下放權(quán)限細(xì)粒度管理。此時(shí)企業(yè)需要從過(guò)去粗放式管理向精細(xì)化管理過(guò)渡,粗放式管理將不適應(yīng)企業(yè)即將邁入數(shù)字化管理新階段下的發(fā)展訴求。
其二是理想化的身份管理框架在落地時(shí)往往需要向不同環(huán)境或業(yè)務(wù)場(chǎng)景妥協(xié),此時(shí)企業(yè)難以憑借自身的經(jīng)驗(yàn)來(lái)技術(shù)化協(xié)調(diào)解決。這也是為什么派拉軟件在落地身份安全項(xiàng)目時(shí)會(huì)加入事前咨詢服務(wù),這一過(guò)程將會(huì)梳理出身份系統(tǒng)與客戶業(yè)務(wù)系統(tǒng)的交集與流程。
方案適應(yīng)企業(yè)
不同IT建設(shè)階段及數(shù)字化業(yè)務(wù)場(chǎng)景
派拉軟件總結(jié)認(rèn)為,身份系統(tǒng)是當(dāng)前企業(yè)進(jìn)行業(yè)務(wù)系統(tǒng)化管理的最佳抓手之一,一套好用的身份管理、身份安全方案可向管理側(cè)(安全合規(guī))和員工側(cè)(高效便捷)兩端釋放價(jià)值。
派拉軟件基于“身份優(yōu)先”的零信任架構(gòu)(Zero Trust),從全域身份治理和安全訪問(wèn)控制,逐步延伸到特權(quán)訪問(wèn)管理、API管理、數(shù)據(jù)訪問(wèn)控制管理等產(chǎn)品和解決方案,不斷擴(kuò)展數(shù)字身份安全能力。即派拉軟件身份安全解決方案由一整套身份管理和體系產(chǎn)品所組成,從而滿足于企業(yè)不同階段和不同業(yè)務(wù)場(chǎng)景下的身份安全建設(shè)需求。
派拉全產(chǎn)品體系架構(gòu)圖
從產(chǎn)品維度來(lái)看,派拉軟件在網(wǎng)絡(luò)側(cè)主要以身份優(yōu)先的零信任解決方案作為切入,零信任解決方案的核心優(yōu)勢(shì)是對(duì)用戶身份、接入設(shè)備均驗(yàn)證合法性后才能進(jìn)行資源訪問(wèn),基于身份的“最小授權(quán)”安全策略以及動(dòng)態(tài)訪問(wèn)控制機(jī)制,可全面保障端到端的訪問(wèn)安全。派拉軟件的身份優(yōu)先的零信任解決方案厚度上大幅增強(qiáng),幾乎涵蓋派拉軟件多年經(jīng)驗(yàn)和技術(shù)大成,并以國(guó)產(chǎn)化適配,全面參與到企業(yè)的本地與云端資源管理當(dāng)中。
進(jìn)入到網(wǎng)絡(luò)入口之后,派拉軟件可向企業(yè)提供IAM統(tǒng)一身份治理系統(tǒng),且為滿足企業(yè)精細(xì)化安全控制,系統(tǒng)可拆分為面向企業(yè)內(nèi)部員工的“員工身份與訪問(wèn)控制eIAM系統(tǒng)”,以及面向渠道、供應(yīng)鏈的“商業(yè)身份與訪問(wèn)控制bIAM系統(tǒng)”,面向客戶的“客戶身份與訪問(wèn)控制cIAM系統(tǒng)”。
派拉IAM統(tǒng)一身份治理平臺(tái)以用戶身份數(shù)據(jù)為中心,針對(duì)企業(yè)全場(chǎng)景的數(shù)字身份進(jìn)行整合管理,通過(guò)構(gòu)建集中用戶管理中心,打通各異構(gòu)系統(tǒng)之間的用戶身份數(shù)據(jù)通道,實(shí)現(xiàn)用戶全生命周期自動(dòng)化管理、SSO多業(yè)務(wù)系統(tǒng)單點(diǎn)登錄、MFA強(qiáng)認(rèn)證、UEBA智能風(fēng)險(xiǎn)監(jiān)測(cè)、細(xì)粒度權(quán)限、審計(jì)管理及自助服務(wù),基于安全提供更高效、便捷的管理能力和業(yè)務(wù)能力。
身份安全已經(jīng)成為一個(gè)重要領(lǐng)域,派拉軟件可以提供多款產(chǎn)品組合形成的解決方案,對(duì)于不同需求的甲方客戶而言,這些單點(diǎn)能力,比如SSO、IDaaS、MFA、細(xì)粒度權(quán)限管理、智能身份認(rèn)證等不同子產(chǎn)品也可以獨(dú)立提供。派拉軟件產(chǎn)品線上將API安全和數(shù)據(jù)安全獨(dú)立,其對(duì)應(yīng)的獨(dú)立產(chǎn)品如API安全網(wǎng)關(guān)、API管理平臺(tái),PAM特權(quán)訪問(wèn)管理系統(tǒng)、數(shù)據(jù)庫(kù)訪問(wèn)管理系統(tǒng)等,都可以納入到身份安全方案當(dāng)中。
以上可以看到,由不同產(chǎn)品組合或拆分而成的派拉軟件身份安全解決方案,可以劃分為統(tǒng)一身份安全方案,認(rèn)證類身份安全方案,治理類身份安全方案,權(quán)限管控類身份安全方案,風(fēng)險(xiǎn)管控類身份安全方案,門戶特權(quán)類身份安全方案等等,從而全面覆蓋了大中小企業(yè)不同IT建設(shè)階段,企業(yè)數(shù)字化業(yè)務(wù)全覆蓋,甚至跨區(qū)域乃至全球化業(yè)務(wù)下的身份安全建設(shè)訴求。
舉例而言,企業(yè)最常用的還是認(rèn)證類身份安全方案,其通常由SSO+MFA等產(chǎn)品組成,單點(diǎn)登錄系統(tǒng)可實(shí)現(xiàn)一套系統(tǒng)無(wú)阻礙對(duì)接企業(yè)的所有業(yè)務(wù)系統(tǒng),讓員工不再困于管理大量賬密,實(shí)現(xiàn)安全便捷的無(wú)密碼辦公,并且通過(guò)多因素認(rèn)證加強(qiáng)方案的安全性。
對(duì)于已經(jīng)建立身份系統(tǒng)的企業(yè)客戶而言,如對(duì)系統(tǒng)權(quán)限管控不滿意,就可以采用派拉軟件的權(quán)限治理類身份安全解決方案,該方案可以從應(yīng)用級(jí)訪問(wèn)控制,到以角色崗位級(jí)權(quán)限管控,再到細(xì)粒度權(quán)限控制,比如用戶權(quán)限管控到每一個(gè)菜單、按鈕,甚至到數(shù)據(jù)庫(kù)的行列級(jí)權(quán)限控制。
又如風(fēng)險(xiǎn)管控類身份安全方案,最近幾年企業(yè)內(nèi)鬼事件頻發(fā),當(dāng)監(jiān)管趨嚴(yán),對(duì)于企業(yè)來(lái)說(shuō)必須提升相應(yīng)的風(fēng)險(xiǎn)發(fā)現(xiàn)能力。風(fēng)險(xiǎn)管控類身份安全方案可提供基于用戶身份維度上的安全運(yùn)營(yíng)工作,運(yùn)維人員可實(shí)時(shí)看到企業(yè)內(nèi)部的身份風(fēng)險(xiǎn)情況,其基于UEBA智能風(fēng)險(xiǎn)檢測(cè)系統(tǒng)實(shí)現(xiàn)了用戶行為的智能分析,過(guò)程通過(guò)大數(shù)據(jù)和AI技術(shù)生成多級(jí)別風(fēng)險(xiǎn)策略,時(shí)刻檢測(cè)用戶風(fēng)險(xiǎn)行為。
服務(wù)客戶超2000家
優(yōu)勢(shì)客戶實(shí)踐展現(xiàn)差異化優(yōu)勢(shì)
據(jù)了解,派拉軟件已成功為全球范圍內(nèi)的金融、制造、醫(yī)療、教育、零售、政府、地產(chǎn)、科研院所等多行業(yè)2000余家企業(yè)和機(jī)構(gòu)提供極致體驗(yàn)的“全域數(shù)字身份統(tǒng)一安全管控”專業(yè)服務(wù),覆蓋五百?gòu)?qiáng)客戶300余家。
派拉軟件在身份安全解決方案的全域管理、高性能、高安全性等方面收獲了客戶的高度認(rèn)可,特別是在大型企業(yè)客戶方面擁有諸多成功實(shí)踐。
如為某知名合資車企構(gòu)建的全域身份認(rèn)證管理系統(tǒng),系統(tǒng)管理用戶近3000萬(wàn)個(gè),這也是國(guó)內(nèi)身份安全廠商實(shí)踐超過(guò)千萬(wàn)級(jí)用戶的極少數(shù)案例。另外一家國(guó)內(nèi)某知名新能源企業(yè)通過(guò)派拉軟件構(gòu)建了全球化的身份治理解決方案,方案滿足了全球不同地區(qū)對(duì)于數(shù)據(jù)安全方面的差異化合規(guī)監(jiān)管要求,并提供了全球用戶的高效協(xié)同辦公。
訪談過(guò)程中我們了解到了派拉軟件身份安全解決方案的諸多差異化能力,總結(jié)重點(diǎn)如下:
●在認(rèn)證類身份安全方案方面,方案完全做到了開箱即用,且認(rèn)證方式可覆蓋客戶當(dāng)前場(chǎng)景下的任何業(yè)務(wù)數(shù)據(jù)源,并通過(guò)協(xié)議加固實(shí)現(xiàn)了更好的網(wǎng)絡(luò)安全性;
●治理類身份安全方案方面,方案可提供覆蓋到員工、供應(yīng)商、C端等多用戶維度,全域全生態(tài)化覆蓋,企業(yè)可實(shí)現(xiàn)用戶的精細(xì)化治理;
●權(quán)限管控類身份安全方案方面,其方案可以做到用戶身份深度匹配業(yè)務(wù)與流程,同時(shí)根據(jù)大量客戶實(shí)踐和技術(shù)稽查不斷優(yōu)化權(quán)限管控精準(zhǔn)度和高安全性;
● 風(fēng)險(xiǎn)管控類身份安全方案方面,可根據(jù)用戶行為建立全鏈路風(fēng)險(xiǎn)因子收緊機(jī)制,結(jié)合其它子產(chǎn)品,形成集中式的智能風(fēng)險(xiǎn)分析引擎,分析捕捉用戶風(fēng)險(xiǎn)方面的全面性和精準(zhǔn)性更高。
對(duì)于行業(yè)客戶而言,派拉軟件還能提供豐富多樣的國(guó)產(chǎn)化替代方案,一方面通過(guò)國(guó)產(chǎn)化自研平臺(tái)且對(duì)國(guó)產(chǎn)操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件全面適配,可為客戶提供全面的國(guó)產(chǎn)化身份安全解決方案,同時(shí)可根據(jù)客戶不同的訴求和階段化替代目標(biāo),制定階段性遷移策略,如利用平臺(tái)融合架構(gòu)實(shí)現(xiàn)雙系統(tǒng)并行,再到全面升級(jí)為國(guó)家化新平臺(tái)應(yīng)用,為行業(yè)客戶提供了合規(guī)的靈活的可選建設(shè)方案。
尾聲
數(shù)字化轉(zhuǎn)型讓企業(yè)管理的數(shù)字身份數(shù)量不斷上升,調(diào)研顯示,成功實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型的企業(yè),其管理的數(shù)字身份已呈倍數(shù)激增,當(dāng)前大型企業(yè)管理超過(guò)1萬(wàn)個(gè)數(shù)字身份的數(shù)量已經(jīng)過(guò)半(52%),安全的管理身份,已經(jīng)成為企業(yè)保護(hù)數(shù)字資產(chǎn),避免數(shù)據(jù)泄露、員工違規(guī)操作的重要手段。
派拉軟件已經(jīng)成長(zhǎng)為一家一站式身份安全解決方案提供商,企業(yè)客戶可以根據(jù)不同的需求,選擇派拉軟件豐富的方案打包或單點(diǎn)能力,其能力范圍涵蓋從內(nèi)到外的全域、全生態(tài)身份維度,這對(duì)于企業(yè)數(shù)字化身份應(yīng)用的多元化時(shí)代來(lái)說(shuō)彌足珍貴。
以上為此次我們對(duì)派拉軟件身份安全解決方案系統(tǒng)能力進(jìn)行的全面了解,希望能為相關(guān)企業(yè)做出針對(duì)身份維度的安全建設(shè)起到借鑒和幫助作用。同時(shí),安全419《身份安全解決方案》調(diào)研訪談還將持續(xù)更新,我們還將持續(xù)走進(jìn)更多的網(wǎng)絡(luò)安全企業(yè),來(lái)觀察他們針對(duì)不同行業(yè)、不同用戶和不同環(huán)境之間的身份安全解決方案能力之間的細(xì)節(jié)與區(qū)別,敬請(qǐng)持續(xù)關(guān)注。