随着工业和信息化部、商务部等五部门联合发布《数字化助力消费品工业“三品”行动方案(2022-2025年)》(以下简称《方案》)逐步推行,加速实施数字化助力消费品工业“三品”战略成为消费行业重点任务,其中三品分别为数字化助力“增品种”“提品质”“创品牌”。同时《方案》围绕六大数字化能力提升工程为“三品”战略提供指导方向,核心目的是以新一代数字化技术为抓手带动企业提质增效。
《方案》明确指出推动企业构建全面的数字化升级,包括但不限于推广实施 CAE(工程设计辅助系统)、CAPP(辅助工艺规划系统)、RMS(智能配方管理系统)、DMP(数据管理系统)、QMS(质量管理系统)、SCM(供应链管理系统)、ERP(企业资源管理系统)等数字化系统建设,以及支持具有生态主导力的龙头企业构建产业链上下游资源、数据互享和业务互联平台和推广云计算等技术落地。
构建全方位的数字化体系并不能一蹴而就,如果没有有效的数字化基础设施支撑,随着企业数字化程度和企业云化的深入,数字应用系统、设备逐步增多,企业的信息安全边界逐步外延,不仅无法实现提质增效,反而会面临数据安全风险、权限管理混乱、身份治理成本高、用户体验差等诸多问题。届时企业需要投入更多人力和资金解决因数字化系统治理混乱而带来的负面影响。
决策者们更应从数字化基础设施入手,提前规划并搭建底层数字化架构来保障企业在不断变化的技术和法规中获取持续适应性,以支持快速增长的业务、保障企业信息安全合规从而实现长期价值。
传统的身份管理无法满足数字化时代身份治理需求
IDaaS 是数字化时代的身份治理的必要产物,如同过去信息化时代 IAM 之于企业的必要性。然而随着企业上云、移动互联、lOT 设备的普及,大量的设备接入让企业的安全边界外延,传统依靠内外网分离的方案和本地化的 IAM 方案已经满足不了数字化时代的身份治理需求。
多应用、混合云等环境,也给企业带来了沉重的管理负担,企业 IT 人员需要花费大量的精力威化每个不同员工在分散系统间的身份信息,并需要手动管理授权信息和审计日志。对于现代化企业而言,传统的管理办法将导致企业面临严重的数据泄漏风险和安全合规风险。
IDaaS 解决方案帮助企业构建统一的身份中台、统一应用集成与管理、统一权限管理、统一安全风控平台,统一审计管理和统一身份认证。通过构建完善的身份基础设施(IDaaS),企业在数字化升级过程中,统一的身份中台可以快速集成企业所有数字化系统,并实现企业员工和用户在所有系统的身份、权限、审计管理等。IDaaS 还提供完善的多租户管理解决方案,帮助企业快速构建上下游分级分权管理体系。
全球知名权威技术研究与咨询机构 Gartner 2023 年《Cool Vendors in Cybersecurity, China》(中国网络安全领域推荐供应商)报告中指出,传统 IAM 平台在中国广泛用于身份与访问管理,然后它们在提供支持现代化云原生应用的规模、速度等能力方面明显不足。建议关注身份和数据安全风险的 CIO 们需要有更灵活地方式支持现代应用程序,并通过开放标准和编排能力作为企业身份治理的首选,而不是通过繁重的定制化开发。Authing 身份云作为国内唯一身份云厂商被 Gartner 推荐
在该《报告》中,Gartner 推荐 Authing 作为现代化企业身份治理的首选平台。Gartner 报告表示 Authing 提供了以开发者为中心的 IDaaS(身份云)平台,支持在云原生环境中构建数字化应用开发的访问管理需求,并提供超过 1000+ API 和 SDK,帮助开发者快速构建身份认证与授权等能力。
同时 Authing 还提供了颠覆式创新的低代码 / 零代码身份自动化解决方案,替代传统 IAM 繁重的交付方式,通过基于事件驱动的身份编排引擎,支撑企业大规模身份数据治理和业务流编排能力。企业基于 Authing 身份自动化平台,实现身份业务全面自动化治理,这将极大提升企业的运营和管理效率,保障企业的数据安全以及大幅降低成本。
当企业数字化程度逐步深化,企业规模逐渐扩张,人员和应用逐渐增多,业务场景越来越复杂。传统的「员工入转调离」「组织架构变动」「各类复杂的业务场景增多」。传统依赖手动运维的身份管理环境中,一次员工的入转调离就需要在多个系统、应用、部门中增删改查该名员工权限、账号等多个信息。一次组织架构调整可能需要多个部门长时间协调配合,低效且耗时耗力。依赖手动运维将带来无数重复低效的工作,这背后隐含的是无数的人力和时间成本。同时企业还需承担因为手动误操作带来的企业数据安全风险。
Authing 提供了国内首个身份自动化平台,Authing 身份自动化平台是基于事件驱动的下一代身份领域业务策略和数据策略的可视化工作流编排平台。旨在满足客户侧多元的针对用户目录、组织架构、登录认证、安全管理等功能灵活性的配置需求,能够进一步以面向变化设计系统架构、敏捷迭代的原则,支撑客户纷繁复杂的身份和组织架构自动化管理需求。
Authing 身份自动化平台的核心设计理念是「事件驱动」架构,从而有效支撑了流程运转的实时性、可靠性和可维护性,并能够保证工作流具备更佳的并发性和稳定性。事件驱动方式可以将事件与流程处理过程有效分离,从而实现灵活的任务调度和执行。
Authing 身份自动化平台可以帮助企业免除身份和账号管理过程中繁杂的定制化开发过程,基于下一代「低代码、无代码」的设计理念和可视化、拖拉拽的编排方式,快速构建和管理您的身份管理工作流程,大幅降低企业内部身份管理成本及身份安全风险。
「持续自适应信任」在微观层面类似生物自身的免疫系统,在宏观层面类似一套完整的生态系统。生物的免疫系统可以对新的安全威胁自主地快速做出反应并进行调整,而生态系统则是孵化生物的基本条件,丰富多元的生态系统可以帮助生物适应更复杂的环境以及造就更强大的免疫系统能力。
换言之,依靠丰富多元的 IT 基础设施能帮助自适应信任构建更强大完善的自适应信任体系,所以持续自适应信任并非单一的产品或解决方案,它需要一套完善的全场景用户访问认证功能以及权限管理等能力,才能更全面的保护企业信息安全。
过去传统组织依赖预防和基于策略的安全控制,部署防病毒软件、防火墙、入侵防御系统(IDS/DPS)等产品,而这种办法已经不能适应如今和未来的安全环境。
Gartner 提倡为了实现对更复杂威胁的防控,建议将安全思维方式从“应急响应”到“持续响应”转变。下一代的安全保护流程的核心是持续、普遍的监控和可见性,企业的安全监控应该无处不在,并尽可能多的包含 IT 堆栈层,包括网络活动、端点、系统交互、应用程序事务和用户活动监控。
从传统零信任到持续自适应信任
零信任的三个主要原则“默认不信任任何实体(人、设备、软件等)”“始终持续验证”“执行最小特权”,在零信任架构中最主要的两个点:
从企业安全的角度来看,身份认证是实体证明其可信的过程,需要基于丰富、持续、准确的数据源为基础。而从用户体验的角度来看,无体感/弱体感的身份认证能保障用户的留存率和员工的工作效率。
在没有有效的零信任方案前,很多组织为认证过程添加弱因素认证,有技术能力的组织会在一些敏感节点添加多因素认证以及单点登录来试图保障安全和用户体验的平衡,但由于无法实现在用户会话过程中持续动态的评估和认证,通常会采取设置长会话计时器来减少多因素认证的频次。
无论是在各类敏感会话场景中增加多因素认证流程或者是添加会话计时器等方式,本质上都不能有效解决安全和用户体验的问题,反而会增加企业安全支出并且影响用户体验。
这些问题都是组织在实施零信任过程中将零信任三个原则简单的理解为增加更多的认证流程或者对每个认证环节增加因素认证。事实上,将“零信任”的理念换个角度思考就是“持续获得信任”,只有持续获得信任的身份才被允许进行下一步操作。某个身份需要持续获得信任的条件是需要系统持续对其进行风险评估,而为了要保障用户体验,这些评估需要用户无体感的执行,这时,就需要持续的自适应信任(CAT)。本质上,持续自适应信任是基于零信任理念的最佳范式。
「持续自适应多因素认证(Continuous Adaptive Multi-Factor Authentication,CAMFA)」是一种安全身份验证方法,它在自适应多因素认证(基于上下文属性判断当前安全状况以增加因素认证)的基础上增加了实时风险评估技术对用户进行动态评估安全系数。在时间维度上,持续自适应多因素认证在用户整个使用旅程中持续不断的对其进行信任评估,以决定是否需要增加额外的认证流程。这样做的好处就是企业的安全得到实时监控,而用户只会在进行风险操作时被提示需要进行额外的认证。
身份认证是企业安全的基础,在安全监管要求下,从传统的账密登录转向多因素认证(MFA)是必然的趋势。然而根据微软的网络信号报告显示,只有 22% 的 AD 身份使用了 MFA,其最主要的原因是,传统 MFA 为客户和组织内部员工提供了糟糕的用户体验。在用户流失和生产力阻碍面前,企业通常选择关闭 MFA 来承担额外的安全风险。
而自适应多因素认证(AMFA)是平衡安全和用户体验有效方案,然而和传统多因素认证(MFA)一样,对于面临更复杂的安全环境和有特殊安全监管需求的企业来说,仅用一次性的身份认证来控制对敏感系统的访问已经不再足够,用户的安全状况可能在系统会话期间动态变化。此时企业需要有持续评估安全风险技术来对用户进行动态安全系数评估,并基于该评估来决定是否需要增加额外的因素认证。
统一权限管理与风控平台,完善的审计日志,保障企业安全合规 Authing IDaaS 解决方案还提供统一权限管理与安全风控平台以及完善的用户和管理员审计日志,帮助企业实现员工、用户、下游企业或子公司全生命周期自动化管理。基于 Authing 身份自动化平台和元数据 UEBA(用户行为分析)技术,实现企业全面的零信任环境。帮助企业实现提质增效以及构建面向未来的数字化身份基础设施。
Authing 满足多项国际安全资质,包括 ISO 9001 信息安全认证、信息安全等级保护三级认证、欧盟 GDPR 数据保护条例、国家商用密码管理局商用密码产品认证等。同时 Authing 还获得多项国内外权威机构认证,包括但不限于金融新创实验室优秀解决方案、共同制定中国信通院牵头的《身份治理能力成熟度模型》标准、加入万维网联盟,将共同制定应用安全、身份验证等国际标准等。