以下文章來源于安全419 ,作者閆小川
身份,作為行業(yè)公認的,在技術不斷發(fā)展IT環(huán)境巨變之下新的安全邊界,安全機構的調研報告顯示,在企業(yè)內,多數(shù)大型組織動輒要管理上萬個身份,以便讓員工、合作伙伴共享網(wǎng)絡資源,然而近90%的企業(yè)在過去一年內受到了基于身份的攻擊,這說明身份安全已經(jīng)成為組織必須要解決的首要安全問題之一。
安全419推出《身份安全解決方案》調研訪談,希望通過探尋不同網(wǎng)安企業(yè)聲音,洞悉本土化可落地的身份安全解決方案,以支撐我國大中小企業(yè)解決好網(wǎng)絡一側的身份安全問題。
上海派拉軟件股份有限公司(以下簡稱:派拉軟件),是國內最早從事身份安全研發(fā)的原廠商,致力于為企業(yè)和機構提供以“數(shù)字身份”為核心的數(shù)字化能力底座與安全基石。能力主要涵蓋身份安全、應用安全、數(shù)據(jù)安全,作為國內數(shù)字身份安全的領導廠商,派拉軟件以15年安全實踐獲得全球多行業(yè)超2000家客戶認可,先后獲得Gartner《身份治理與管理市場指南》全球代表廠商推薦、中國網(wǎng)安產(chǎn)業(yè)百強企業(yè)、中國數(shù)字安全綜合實力百強企業(yè)、零信任最受行業(yè)歡迎廠商等領域殊榮。
本期訪談,我們采訪到了派拉軟件解決方案負責人茆正華,接下來我們將走進派拉軟件,來了解一下這家專業(yè)數(shù)字身份安全廠商的全方位身份安全解決方案。
身份管理
是企業(yè)高效、安全、合規(guī)開展業(yè)務的前提
派拉軟件認為,在現(xiàn)代IT基礎架構當中,身份系統(tǒng)已被視為IT部門管理的基礎設施,從其技術本身的發(fā)展和對業(yè)務側的影響來看,身份也是新的邊界,由于其全面協(xié)調人機確權對資源的訪問,身份管理和身份安全工作已經(jīng)是企業(yè)IT團隊日常重要工作之一。
萬物互聯(lián)時代的到來,線上業(yè)務依托于各種IT基礎設施與應用之上,其中認證技術的發(fā)展,承載業(yè)務的IT基礎設施本身的發(fā)展,都令身份安全從一個技術階段不斷走向另一個技術階段。
如今,企業(yè)規(guī)模越大、數(shù)字化轉型越成功、對網(wǎng)絡安全工作重視程度越高,企業(yè)對身份管理和身份安全的工作要求也越復雜。企業(yè)需要為內部員工構建統(tǒng)一身份基礎設施,從統(tǒng)一認證到統(tǒng)一管理,身份管理方案越來越深,其管理范圍甚至不斷外延。
派拉軟件指出,隨著數(shù)字化轉型的持續(xù)深入,企業(yè)的身份管理將會邁入到全生態(tài)包容范圍,從內部員工擴展至供應鏈上下游,到業(yè)務層面的企業(yè)級客戶,或是龐大的C端用戶,乃至業(yè)務出海的全球身份管理,身份管理已經(jīng)是企業(yè)高效、安全、合規(guī)開展業(yè)務的前提。
構建身份系統(tǒng)的必要性在于企業(yè)從安全合規(guī)到業(yè)務發(fā)展戰(zhàn)略性升級的過程,一方面,身份安全貫穿于各項合規(guī)政策當中,圍繞系統(tǒng)身份進行管理,進行技術化干預勢在必行;另一方面從身份維度進行全域業(yè)務系統(tǒng)管理,將有效解決企業(yè)的業(yè)務系統(tǒng)割裂問題。
從15年安全實踐經(jīng)驗來看,派拉軟件也總結了當前企業(yè)身份管理和身份安全建設的實現(xiàn)阻礙,其主要歸為以下二點:
其一是企業(yè)需要為全面的身份管理和身份安全戰(zhàn)略配套相應的管理制度,比如為不同崗位建立不同的角色畫像,如此才能為不同的身份下放權限細粒度管理。此時企業(yè)需要從過去粗放式管理向精細化管理過渡,粗放式管理將不適應企業(yè)即將邁入數(shù)字化管理新階段下的發(fā)展訴求。
其二是理想化的身份管理框架在落地時往往需要向不同環(huán)境或業(yè)務場景妥協(xié),此時企業(yè)難以憑借自身的經(jīng)驗來技術化協(xié)調解決。這也是為什么派拉軟件在落地身份安全項目時會加入事前咨詢服務,這一過程將會梳理出身份系統(tǒng)與客戶業(yè)務系統(tǒng)的交集與流程。
方案適應企業(yè)
不同IT建設階段及數(shù)字化業(yè)務場景
派拉軟件總結認為,身份系統(tǒng)是當前企業(yè)進行業(yè)務系統(tǒng)化管理的最佳抓手之一,一套好用的身份管理、身份安全方案可向管理側(安全合規(guī))和員工側(高效便捷)兩端釋放價值。
派拉軟件基于“身份優(yōu)先”的零信任架構(Zero Trust),從全域身份治理和安全訪問控制,逐步延伸到特權訪問管理、API管理、數(shù)據(jù)訪問控制管理等產(chǎn)品和解決方案,不斷擴展數(shù)字身份安全能力。即派拉軟件身份安全解決方案由一整套身份管理和體系產(chǎn)品所組成,從而滿足于企業(yè)不同階段和不同業(yè)務場景下的身份安全建設需求。
派拉全產(chǎn)品體系架構圖
從產(chǎn)品維度來看,派拉軟件在網(wǎng)絡側主要以身份優(yōu)先的零信任解決方案作為切入,零信任解決方案的核心優(yōu)勢是對用戶身份、接入設備均驗證合法性后才能進行資源訪問,基于身份的“最小授權”安全策略以及動態(tài)訪問控制機制,可全面保障端到端的訪問安全。派拉軟件的身份優(yōu)先的零信任解決方案厚度上大幅增強,幾乎涵蓋派拉軟件多年經(jīng)驗和技術大成,并以國產(chǎn)化適配,全面參與到企業(yè)的本地與云端資源管理當中。
進入到網(wǎng)絡入口之后,派拉軟件可向企業(yè)提供IAM統(tǒng)一身份治理系統(tǒng),且為滿足企業(yè)精細化安全控制,系統(tǒng)可拆分為面向企業(yè)內部員工的“員工身份與訪問控制eIAM系統(tǒng)”,以及面向渠道、供應鏈的“商業(yè)身份與訪問控制bIAM系統(tǒng)”,面向客戶的“客戶身份與訪問控制cIAM系統(tǒng)”。
派拉IAM統(tǒng)一身份治理平臺以用戶身份數(shù)據(jù)為中心,針對企業(yè)全場景的數(shù)字身份進行整合管理,通過構建集中用戶管理中心,打通各異構系統(tǒng)之間的用戶身份數(shù)據(jù)通道,實現(xiàn)用戶全生命周期自動化管理、SSO多業(yè)務系統(tǒng)單點登錄、MFA強認證、UEBA智能風險監(jiān)測、細粒度權限、審計管理及自助服務,基于安全提供更高效、便捷的管理能力和業(yè)務能力。
身份安全已經(jīng)成為一個重要領域,派拉軟件可以提供多款產(chǎn)品組合形成的解決方案,對于不同需求的甲方客戶而言,這些單點能力,比如SSO、IDaaS、MFA、細粒度權限管理、智能身份認證等不同子產(chǎn)品也可以獨立提供。派拉軟件產(chǎn)品線上將API安全和數(shù)據(jù)安全獨立,其對應的獨立產(chǎn)品如API安全網(wǎng)關、API管理平臺,PAM特權訪問管理系統(tǒng)、數(shù)據(jù)庫訪問管理系統(tǒng)等,都可以納入到身份安全方案當中。
以上可以看到,由不同產(chǎn)品組合或拆分而成的派拉軟件身份安全解決方案,可以劃分為統(tǒng)一身份安全方案,認證類身份安全方案,治理類身份安全方案,權限管控類身份安全方案,風險管控類身份安全方案,門戶特權類身份安全方案等等,從而全面覆蓋了大中小企業(yè)不同IT建設階段,企業(yè)數(shù)字化業(yè)務全覆蓋,甚至跨區(qū)域乃至全球化業(yè)務下的身份安全建設訴求。
舉例而言,企業(yè)最常用的還是認證類身份安全方案,其通常由SSO+MFA等產(chǎn)品組成,單點登錄系統(tǒng)可實現(xiàn)一套系統(tǒng)無阻礙對接企業(yè)的所有業(yè)務系統(tǒng),讓員工不再困于管理大量賬密,實現(xiàn)安全便捷的無密碼辦公,并且通過多因素認證加強方案的安全性。
對于已經(jīng)建立身份系統(tǒng)的企業(yè)客戶而言,如對系統(tǒng)權限管控不滿意,就可以采用派拉軟件的權限治理類身份安全解決方案,該方案可以從應用級訪問控制,到以角色崗位級權限管控,再到細粒度權限控制,比如用戶權限管控到每一個菜單、按鈕,甚至到數(shù)據(jù)庫的行列級權限控制。
又如風險管控類身份安全方案,最近幾年企業(yè)內鬼事件頻發(fā),當監(jiān)管趨嚴,對于企業(yè)來說必須提升相應的風險發(fā)現(xiàn)能力。風險管控類身份安全方案可提供基于用戶身份維度上的安全運營工作,運維人員可實時看到企業(yè)內部的身份風險情況,其基于UEBA智能風險檢測系統(tǒng)實現(xiàn)了用戶行為的智能分析,過程通過大數(shù)據(jù)和AI技術生成多級別風險策略,時刻檢測用戶風險行為。
服務客戶超2000家
優(yōu)勢客戶實踐展現(xiàn)差異化優(yōu)勢
據(jù)了解,派拉軟件已成功為全球范圍內的金融、制造、醫(yī)療、教育、零售、政府、地產(chǎn)、科研院所等多行業(yè)2000余家企業(yè)和機構提供極致體驗的“全域數(shù)字身份統(tǒng)一安全管控”專業(yè)服務,覆蓋五百強客戶300余家。
派拉軟件在身份安全解決方案的全域管理、高性能、高安全性等方面收獲了客戶的高度認可,特別是在大型企業(yè)客戶方面擁有諸多成功實踐。
如為某知名合資車企構建的全域身份認證管理系統(tǒng),系統(tǒng)管理用戶近3000萬個,這也是國內身份安全廠商實踐超過千萬級用戶的極少數(shù)案例。另外一家國內某知名新能源企業(yè)通過派拉軟件構建了全球化的身份治理解決方案,方案滿足了全球不同地區(qū)對于數(shù)據(jù)安全方面的差異化合規(guī)監(jiān)管要求,并提供了全球用戶的高效協(xié)同辦公。
訪談過程中我們了解到了派拉軟件身份安全解決方案的諸多差異化能力,總結重點如下:
●在認證類身份安全方案方面,方案完全做到了開箱即用,且認證方式可覆蓋客戶當前場景下的任何業(yè)務數(shù)據(jù)源,并通過協(xié)議加固實現(xiàn)了更好的網(wǎng)絡安全性;
●治理類身份安全方案方面,方案可提供覆蓋到員工、供應商、C端等多用戶維度,全域全生態(tài)化覆蓋,企業(yè)可實現(xiàn)用戶的精細化治理;
●權限管控類身份安全方案方面,其方案可以做到用戶身份深度匹配業(yè)務與流程,同時根據(jù)大量客戶實踐和技術稽查不斷優(yōu)化權限管控精準度和高安全性;
● 風險管控類身份安全方案方面,可根據(jù)用戶行為建立全鏈路風險因子收緊機制,結合其它子產(chǎn)品,形成集中式的智能風險分析引擎,分析捕捉用戶風險方面的全面性和精準性更高。
對于行業(yè)客戶而言,派拉軟件還能提供豐富多樣的國產(chǎn)化替代方案,一方面通過國產(chǎn)化自研平臺且對國產(chǎn)操作系統(tǒng)、數(shù)據(jù)庫、中間件全面適配,可為客戶提供全面的國產(chǎn)化身份安全解決方案,同時可根據(jù)客戶不同的訴求和階段化替代目標,制定階段性遷移策略,如利用平臺融合架構實現(xiàn)雙系統(tǒng)并行,再到全面升級為國家化新平臺應用,為行業(yè)客戶提供了合規(guī)的靈活的可選建設方案。
尾聲
數(shù)字化轉型讓企業(yè)管理的數(shù)字身份數(shù)量不斷上升,調研顯示,成功實現(xiàn)數(shù)字化轉型的企業(yè),其管理的數(shù)字身份已呈倍數(shù)激增,當前大型企業(yè)管理超過1萬個數(shù)字身份的數(shù)量已經(jīng)過半(52%),安全的管理身份,已經(jīng)成為企業(yè)保護數(shù)字資產(chǎn),避免數(shù)據(jù)泄露、員工違規(guī)操作的重要手段。
派拉軟件已經(jīng)成長為一家一站式身份安全解決方案提供商,企業(yè)客戶可以根據(jù)不同的需求,選擇派拉軟件豐富的方案打包或單點能力,其能力范圍涵蓋從內到外的全域、全生態(tài)身份維度,這對于企業(yè)數(shù)字化身份應用的多元化時代來說彌足珍貴。
以上為此次我們對派拉軟件身份安全解決方案系統(tǒng)能力進行的全面了解,希望能為相關企業(yè)做出針對身份維度的安全建設起到借鑒和幫助作用。同時,安全419《身份安全解決方案》調研訪談還將持續(xù)更新,我們還將持續(xù)走進更多的網(wǎng)絡安全企業(yè),來觀察他們針對不同行業(yè)、不同用戶和不同環(huán)境之間的身份安全解決方案能力之間的細節(jié)與區(qū)別,敬請持續(xù)關注。