En 400-6655-581
5
返回列表
> 資源中心 > 文章>產(chǎn)品>IAM(身份與訪問控制)> 企業(yè)統(tǒng)一門戶之后,才是真正的安全危機(jī)開啟時(shí)……

企業(yè)統(tǒng)一門戶之后,才是真正的安全危機(jī)開啟時(shí)……

文章

2023-08-09瀏覽次數(shù):404

說到企業(yè)門戶,大家都很熟悉。無論是各大企業(yè)官方網(wǎng)站門戶,還是企業(yè)各系統(tǒng)應(yīng)用的登錄門戶,隨時(shí)隨地,你都不可避免的要和門戶打交道。

 

隨著企業(yè)信息化與數(shù)字化發(fā)展的不斷深入演進(jìn),企業(yè)系統(tǒng)應(yīng)用越來越多,門戶也隨之越來越多,而你需要記憶的網(wǎng)址、用戶名、密碼也變得越來越多了。

 

 

處理一個(gè)業(yè)務(wù),你需要頻繁切換不同系統(tǒng)門戶;忘記賬號(hào)、密碼、網(wǎng)址等現(xiàn)象時(shí)有發(fā)生;系統(tǒng)各自獨(dú)立,信息孤島叢生,跨部門協(xié)作與知識(shí)共享難;IT系統(tǒng)架構(gòu)和操作、運(yùn)維、管理越來越復(fù)雜……

 

 

這時(shí)候,你發(fā)現(xiàn)曾經(jīng)被設(shè)計(jì)用來輔助企業(yè)和員工的軟件應(yīng)用,在不斷地新增累積下,逐漸變成了另一種負(fù)累。

 

這時(shí)候,怎么辦?統(tǒng)一門戶來辦!

這年頭,已經(jīng)很難再找出一家沒有統(tǒng)一辦公門戶的企業(yè)了。如果有,那要么在統(tǒng)一門戶建設(shè)中,要么在計(jì)劃中。

 

而往往當(dāng)企業(yè)統(tǒng)一辦公門戶建成之時(shí),也就是企業(yè)真正的安全危機(jī)開啟時(shí)。

 

首先,統(tǒng)一門戶對(duì)企業(yè)肯定是有利的,甚至就是大勢所趨。但是,如果沒有安全基礎(chǔ)的統(tǒng)一門戶,那就會(huì)變成一個(gè)“漏洞百出、危機(jī)四伏”的集中地,成為企業(yè)安全防護(hù)中最大的漏洞之一。比如:

1、統(tǒng)一門戶,卻未做好身份管理

 

很多企業(yè)完成了門戶的統(tǒng)一,但是在身份管理上依然停留在過去的各系統(tǒng)分散管理。

 

也就是說在門戶中有一套身份,在各大業(yè)務(wù)系統(tǒng)應(yīng)用中又各自有一套身份,不同系統(tǒng)身份管理的技術(shù)標(biāo)準(zhǔn)、規(guī)則還不統(tǒng)一。

 

這樣分散的身份管理體系,隨著企業(yè)業(yè)務(wù)系統(tǒng)的不斷增加將會(huì)越來越難以有效管控,還會(huì)滋生孤兒賬號(hào)、弱口令賬號(hào)、僵尸賬號(hào)、幽靈賬號(hào)等高危賬號(hào)。

 

而派拉軟件提供的統(tǒng)一身份與訪問控制管理(IAM)平臺(tái)可以有效的滿足企業(yè)多重需求。

 

若企業(yè)還未建設(shè)統(tǒng)一門戶,IAM平臺(tái)可以為企業(yè)提供統(tǒng)一門戶,基于IAM平臺(tái)功能,提供新聞公告、消息待辦、應(yīng)用中心、工作日歷、常用鏈接、BI看板等功能;

 

若企業(yè)已建立了門戶,為不改變用戶習(xí)慣,IAM平臺(tái)可以集成企業(yè)已有門戶,為門戶提供身份賬號(hào)管理和應(yīng)用系統(tǒng)集成、單點(diǎn)登錄等功能。

 

IAM平臺(tái)作為企業(yè)統(tǒng)一認(rèn)證管理中心,負(fù)責(zé)所有應(yīng)用認(rèn)證集成、身份賬號(hào)與權(quán)限統(tǒng)一管理等。

 

 

 

2、單點(diǎn)登錄,卻沒有強(qiáng)安全認(rèn)證

 

當(dāng)然,很多企業(yè)為了便利性,在統(tǒng)一門戶同時(shí),往往會(huì)結(jié)合單點(diǎn)登錄,解決多賬號(hào)、多密碼問題。

 

但是,普通專一做門戶的企業(yè)在單點(diǎn)登錄上往往沒有很好的安全認(rèn)證能力。如果門戶不具備認(rèn)證安全,那門戶就極易被不法分子攻破。

 

此外,如果有重要系統(tǒng)需要加強(qiáng)保護(hù),風(fēng)險(xiǎn)人員的訪問更需要強(qiáng)管控,此時(shí)在安全認(rèn)證基礎(chǔ)上還需引入二次認(rèn)證,加強(qiáng)關(guān)鍵系統(tǒng)與訪問人員的安全認(rèn)證。

 

甚至結(jié)合UEBA能力,通過收集大量用戶和實(shí)體登錄行為數(shù)據(jù)和復(fù)雜的邏輯分析,進(jìn)行智能化安全認(rèn)證。

 

而這些安全能力都已經(jīng)在派拉軟件多因素認(rèn)證平臺(tái)上實(shí)現(xiàn)。通過采用豐富的API和SDK,快速接入應(yīng)用、系統(tǒng)和設(shè)備,保障企業(yè)單點(diǎn)登錄需求。

 

與此同時(shí),內(nèi)置動(dòng)態(tài)口令認(rèn)證、二維碼認(rèn)證(如微信、釘釘?shù)纫苿?dòng)端掃碼登錄),并集成短信認(rèn)證、生物識(shí)別認(rèn)證,第三方數(shù)字證書、RSA認(rèn)證等十幾種認(rèn)證方式來驗(yàn)證用戶身份,可根據(jù)不同用戶維度自定義登錄策略、二次認(rèn)證和風(fēng)險(xiǎn)策略。

 

結(jié)合UEBA能力,對(duì)用戶訪問行為進(jìn)行動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估,并基于策略與智能化模型快速風(fēng)險(xiǎn)識(shí)別,隨需響應(yīng)并匹配相應(yīng)的安全等級(jí)認(rèn)證方式,提高用戶認(rèn)證的安全性,加強(qiáng)登錄認(rèn)證的安全性、可靠性。

 

 

 

3、破除孤島,卻未做好權(quán)限管控

 

企業(yè)做好了統(tǒng)一門戶,那也就意味著底層數(shù)據(jù)的打通,過去隔離各部門的信息墻被打破,部門間的協(xié)同變得高效、快速、便捷。但與此同時(shí),安全問題日漸凸顯。

 

以權(quán)限管控為例,統(tǒng)一門戶讓企業(yè)所有業(yè)務(wù)系統(tǒng)暴露在每個(gè)身份賬號(hào)面前。如果企業(yè)未做好權(quán)限管控,那任意一個(gè)賬號(hào)被攻破都可能造成所有業(yè)務(wù)數(shù)據(jù)信息被泄露風(fēng)險(xiǎn)。

 

因此,采取最小權(quán)限原則,把每個(gè)用戶、身份、賬號(hào)的權(quán)限細(xì)化到業(yè)務(wù)、到菜單欄、到行列等等,將每個(gè)賬號(hào)關(guān)聯(lián)到對(duì)應(yīng)的身份與對(duì)應(yīng)的實(shí)體人,結(jié)合視頻、日志等審計(jì)能力,讓每一次賬號(hào)的訪問全流程都能被控制、被審計(jì)。

 

一旦出現(xiàn)異常情況能快速及時(shí)的告警,并通過審計(jì)追溯到賬號(hào)、身份以及實(shí)際的責(zé)任人。

 

 

4、系統(tǒng)集成,卻缺少統(tǒng)一API安全

 

數(shù)字時(shí)代,企業(yè)統(tǒng)一門戶正是希望將越來越多的業(yè)務(wù)系統(tǒng)應(yīng)用統(tǒng)一集成、數(shù)據(jù)互聯(lián)互通,高效協(xié)同共享。然而,隨著企業(yè)在業(yè)務(wù)應(yīng)用需求變得日趨復(fù)雜,企業(yè)的IT基礎(chǔ)設(shè)施也變得復(fù)雜且難以有效管控。

 

如果只顧及不斷地將各系統(tǒng)應(yīng)用集成、信息共享,構(gòu)建統(tǒng)一門戶,而忽略了對(duì)各個(gè)系統(tǒng)應(yīng)用的及時(shí)有效安全管控,勢必會(huì)讓這個(gè)門戶充滿了安全漏洞。

 

比如,企業(yè)信息化程度不斷提升,越來越多的API被開放給內(nèi)部門戶、C端門戶、合作伙伴門戶等,風(fēng)險(xiǎn)暴露面不斷增加……

 

而對(duì)于企業(yè)系統(tǒng)應(yīng)用安全運(yùn)維而言,沒有統(tǒng)一的安全運(yùn)維平臺(tái),也會(huì)導(dǎo)致系統(tǒng)應(yīng)用管理運(yùn)維的混亂無序與低效。

 

例如,某集團(tuán)有上百個(gè)業(yè)務(wù)系統(tǒng)應(yīng)用,哪些系統(tǒng)應(yīng)用需要互相連接協(xié)同、有多少API資產(chǎn)、某個(gè)系統(tǒng)對(duì)外開放了多少接口等等,這些如果沒有一個(gè)統(tǒng)一管理平臺(tái)是很難掌控管理的。

 

因此,借助類似派拉軟件API安全管理平臺(tái)是每個(gè)企業(yè)在數(shù)字化轉(zhuǎn)型、云化過程中必須要采取的安全防護(hù)手段之一。而實(shí)際調(diào)研數(shù)據(jù)也顯示,企業(yè)API安全防護(hù)迫在眉睫。

 

據(jù)Gartner的研究,2022年,超過90%web應(yīng)用程序遭到的攻擊來自API。國際權(quán)威調(diào)查顯示,API攻擊流量在一年中增長了 681%,94%的所有失竊數(shù)據(jù)涉及API暴露安全。

 

所以無論是從企業(yè)實(shí)際需求還是安全現(xiàn)狀來看,加強(qiáng)企業(yè)API安全都至關(guān)重要。