首页   >  关于我们   >  新闻中心   >  派拉软件葛臻彧:后疫情时代下的数字身份治理
返回
派拉软件葛臻彧:后疫情时代下的数字身份治理
  • 2021.01.09
  • 606

葛臻彧,现任上海派拉软件股份有限公司副总裁。从事身份安全领域已有十多年的经验,在身份管理、统一认证、安全审计等方面有多年的实践。近年来主要研究零信任安全架构技术、结合AI的风险评估和持续认证、动态细粒度授权等,致力于通过身份安全方案为企业降低安全风险.

今年遭受新冠疫情的影响,办公方式发生了众多改变。而经历多年的技术磨练,派拉软件已然成为众多信息系统身份治理的支撑服务商。当今IT技术环境下,满足业务和安全能力的双需求成为重中之重,也是摆在我们面前的重要问题。明确新时代安全建设需求,构建完善的身份治理体系,统一为组织提供安全的身份管理服务。近日,CSA大中华区以“数字身份治理”为主题,邀请派拉软件副总裁葛臻彧就身份治理的方式方法和实践情况做了深入讨论。

后疫情时代身份治理走向何方?

新冠疫情席卷全球的一年时间中,身份访问管理与控制呈现出非接触式远程服务趋势。而这不仅限于远程办公,还包括远程教育、远程医疗。在未来的很长一段时间内,远程服务会成为一些行业组织机构的常态。核心考量点在现有基于边界的网络安全防护体系,它可能无法满足目前场景下企业安全性的需求。因此,企业需要构建全新的以身份安全为核心的零信任身份安全体系。针对市场的需求变化,结合现有产品和研发优势,自主研发了基于零信任安全架构的新一代身份安全管理系统。以适应远程服务、远程办公的场景,旨在协助企业解决在此类场景下面各类新旧交替的安全风险。

强化基于零信任安全框架的数字身份治理
 
建设身份访问控制管理平台分几步?
首先,建设完善的身份访问与控制管理平台,初始阶段是将用户账号进行统一管理,包括统一身份认证和授权、安全审计等。然后以此为基础进一步发展中台化的安全能力,比如打通线上线下身份信息,利用身份信息完善用户画像、用户行为分析等,构建更为多元化的身份管理平台,不但实现内部员工的身份管理,而且扩展到对于C端用户、供应商、合作伙伴的身份管理。另外,身份会成为整个企业基础服务能力,涵盖了所有企业应用,派拉软件全线安全产品除了原有安全能力外,核心产品已将零信任机制纳入其中。重点涉及一些基于属性的授权机制、动态授权、持续认证,针对身份账号进行风险评估分析,即根据资源访问者行为上下文,比如判断用户地理位置、时间、使用设备等各种上下文的关系,动态评估所需认证强度和安全风险性。

零信任中派拉软件选择了哪些安全组件加以实施?重点聚焦哪些行业用户?
零信任核心内容是将以前从网络为中心转向以身份为中心的安全架构,而派拉软件在身份治理领域已有十余年经验。派拉软件主要聚焦央企、国企、大型制造业,以及像像政府金融、地产、医药、医疗、教育零售这样一些主要的行业,产品主要围绕着数字身份管理这一核心主题展开,包括企业内部员工、客户、供应商的身份管理,特权用户的身份管理,互联网身份治理IDaaS、IoT物联网身份管理等,逐步涉足更广泛的安全领域,如业务安全、数据安全等。目前主要关注的零信任相关的安全技术包括从可信终端的访问控制、持续动态的身份认证和授权、多因子身份认证和细粒度授权等。

另一层面是业务安全,因为业务边界变化引发身份认证权限管理的众多变化。业务访问请求包括用户对业务访问,以及业务之间通过API接口调用等都是需经过认证和授权的。这里也会涉及ABAC、细粒度授权、自适应风险评估和分析等,这些都是派拉软件在零信任机制里主要选择的安全组件来规划企业的安全解决方案。

建立零信任风险评估模型从哪些就是执行点或是控制的方式吗?
风险评估模型的建立中会用到各类算法模型,而针对身份验证和授权不是一次性的过程,它是一个动态持续性的过程。静态访问行为、用户使用习惯均可通过大数据分析手段进行用户行为分析,基于用户访问的上下文进行分析来判断是否需要加强验证手段,如生物特征识别认证,或者进一步调整权限。传统IAM与零信任最主要差异是传统身份认证机制在验证成功后即可登入系统获得相应权限,相较之下是比较静态的。而零信任体系强调的所有人都不可信,所有身份必须做持续性认证和授权。当用户在系统中横向移动,要重新基于访问上下文进行认证,并根据新的认证结果进行授权,从而提供了更强大的安全保护能力。

典型场景应用:
在后疫情时代,企业需要打破远程办公身份数据孤岛,实现身份数据共享。从基础的角度,首先需要统一远程办公认证入口,实现应用单点登录;统一远程办公授权管理,实现权限一体化;集中远程办公审计管理,实现安全合规;远程运维集中管理,实现安全运维;远程办公应用API安全防护,保障应用安全。更进一步的就可以从动态访问控制、自适应风险评估、细粒度授权等方面去构建可信、高效、智能化的身份治理平台,逐步建成零信任安全网络体系。

后疫情时代的网络安全常态化
 
面向社会公共治理的数字身份应用场景现在十分广泛,逐渐渗透了政府、教育、民生、医疗等各个行业。身份治理从单一能力模式,转变成开放综合的一种服务模式。之中囊括内部用户、外部用户、线上线下用户间的身份层面的打通,整体上既要涵盖人的身份,也要涵盖物的身份应用的身份。另一个趋势是服务化、中台化,融合大数据人工智等新兴技术,提供更多满足各类企业需求的安全能力。

零信任的安全优势与价值
1)提升安全能力以应对实时风险,数字化的身份治理主要目的是实现访问用户身份的全面认证,加以细粒度和动态授权方式、满足实时安全性需求,根据用户行为上下文获取环境安全状态、行为数据、动态分析安全风险,及时随即调整访问控制策略;
2)帮助组织降低安全运维成本,以自动化身份管理、认证、授权,减少员工在安全运维的工作量,使得安全工程师摆脱基础的安全运维工作,从安全架构层面解决安全源头问题;
3)克服基于边界信用体系固有的安全隐患,原本边界一旦突破进入内网会产生高风险,甚至不乏出现钓鱼攻击、其他社会工程学攻击。此类场景中暴露出传统边界网络安全时有很大的问题,零信任则是默认不信任,持续性辨别认身份、动态授权,提升用户使用效率。

整体零信任安全框架体系建设是一个长效化建设、逐步演进的过程。身份管理是零信任架构的核心和起点,IAM的实施和身份治理能够给企业带来立竿见影的收益和安全性能保障。

结论与思考

在迈向数字化时代的大环境下,派拉软件强化身份治理、建立用户身份管理中心,针对用户全生命周期进行管理,并且结合大数据和AI技术实现动态持续认证和访问控制,构建以身份为基础、细粒度授权、动态访问控制策略为主要内容,为企业数字化转型的整体安全架构提供技术和安全能力支撑、提供安全、便捷、智能化的统一身份治理服务。