安全419對話派拉軟件：身份安全，需要一站式還是差異化？

身份，作為行業(yè)公認(rèn)的，在技術(shù)不斷發(fā)展IT環(huán)境巨變之下新的安全邊界，安全機(jī)構(gòu)的調(diào)研報告顯示，在企業(yè)內(nèi)，多數(shù)大型組織動輒要管理上萬個身份，以便讓員工、合作伙伴共享網(wǎng)絡(luò)資源，然而近90%的企業(yè)在過去一年內(nèi)受到了基于身份的攻擊，這說明身份安全已經(jīng)成為組織必須要解決的首要安全問題之一。

安全419推出《身份安全解決方案》調(diào)研訪談，希望通過探尋不同網(wǎng)安企業(yè)聲音，洞悉本土化可落地的身份安全解決方案，以支撐我國大中小企業(yè)解決好網(wǎng)絡(luò)一側(cè)的身份安全問題。

上海派拉軟件股份有限公司（以下簡稱：派拉軟件），是國內(nèi)最早從事身份安全研發(fā)的原廠商，致力于為企業(yè)和機(jī)構(gòu)提供以“數(shù)字身份”為核心的數(shù)字化能力底座與安全基石。能力主要涵蓋身份安全、應(yīng)用安全、數(shù)據(jù)安全，作為國內(nèi)數(shù)字身份安全的領(lǐng)導(dǎo)廠商，派拉軟件以15年安全實踐獲得全球多行業(yè)超2000家客戶認(rèn)可，先后獲得Gartner《身份治理與管理市場指南》全球代表廠商推薦、中國網(wǎng)安產(chǎn)業(yè)百強(qiáng)企業(yè)、中國數(shù)字安全綜合實力百強(qiáng)企業(yè)、零信任最受行業(yè)歡迎廠商等領(lǐng)域殊榮。

本期訪談，我們采訪到了派拉軟件解決方案負(fù)責(zé)人茆正華，接下來我們將走進(jìn)派拉軟件，來了解一下這家專業(yè)數(shù)字身份安全廠商的全方位身份安全解決方案。 

派拉軟件認(rèn)為，在現(xiàn)代IT基礎(chǔ)架構(gòu)當(dāng)中，身份系統(tǒng)已被視為IT部門管理的基礎(chǔ)設(shè)施，從其技術(shù)本身的發(fā)展和對業(yè)務(wù)側(cè)的影響來看，身份也是新的邊界，由于其全面協(xié)調(diào)人機(jī)確權(quán)對資源的訪問，身份管理和身份安全工作已經(jīng)是企業(yè)IT團(tuán)隊日常重要工作之一。

萬物互聯(lián)時代的到來，線上業(yè)務(wù)依托于各種IT基礎(chǔ)設(shè)施與應(yīng)用之上，其中認(rèn)證技術(shù)的發(fā)展，承載業(yè)務(wù)的IT基礎(chǔ)設(shè)施本身的發(fā)展，都令身份安全從一個技術(shù)階段不斷走向另一個技術(shù)階段。

如今，企業(yè)規(guī)模越大、數(shù)字化轉(zhuǎn)型越成功、對網(wǎng)絡(luò)安全工作重視程度越高，企業(yè)對身份管理和身份安全的工作要求也越復(fù)雜。企業(yè)需要為內(nèi)部員工構(gòu)建統(tǒng)一身份基礎(chǔ)設(shè)施，從統(tǒng)一認(rèn)證到統(tǒng)一管理，身份管理方案越來越深，其管理范圍甚至不斷外延。

派拉軟件指出，隨著數(shù)字化轉(zhuǎn)型的持續(xù)深入，企業(yè)的身份管理將會邁入到全生態(tài)包容范圍，從內(nèi)部員工擴(kuò)展至供應(yīng)鏈上下游，到業(yè)務(wù)層面的企業(yè)級客戶，或是龐大的C端用戶，乃至業(yè)務(wù)出海的全球身份管理，身份管理已經(jīng)是企業(yè)高效、安全、合規(guī)開展業(yè)務(wù)的前提。

構(gòu)建身份系統(tǒng)的必要性在于企業(yè)從安全合規(guī)到業(yè)務(wù)發(fā)展戰(zhàn)略性升級的過程，一方面，身份安全貫穿于各項合規(guī)政策當(dāng)中，圍繞系統(tǒng)身份進(jìn)行管理，進(jìn)行技術(shù)化干預(yù)勢在必行；另一方面從身份維度進(jìn)行全域業(yè)務(wù)系統(tǒng)管理，將有效解決企業(yè)的業(yè)務(wù)系統(tǒng)割裂問題。

從15年安全實踐經(jīng)驗來看，派拉軟件也總結(jié)了當(dāng)前企業(yè)身份管理和身份安全建設(shè)的實現(xiàn)阻礙，其主要歸為以下二點：

其一是企業(yè)需要為全面的身份管理和身份安全戰(zhàn)略配套相應(yīng)的管理制度，比如為不同崗位建立不同的角色畫像，如此才能為不同的身份下放權(quán)限細(xì)粒度管理。此時企業(yè)需要從過去粗放式管理向精細(xì)化管理過渡，粗放式管理將不適應(yīng)企業(yè)即將邁入數(shù)字化管理新階段下的發(fā)展訴求。

其二是理想化的身份管理框架在落地時往往需要向不同環(huán)境或業(yè)務(wù)場景妥協(xié)，此時企業(yè)難以憑借自身的經(jīng)驗來技術(shù)化協(xié)調(diào)解決。這也是為什么派拉軟件在落地身份安全項目時會加入事前咨詢服務(wù)，這一過程將會梳理出身份系統(tǒng)與客戶業(yè)務(wù)系統(tǒng)的交集與流程。

派拉軟件總結(jié)認(rèn)為，身份系統(tǒng)是當(dāng)前企業(yè)進(jìn)行業(yè)務(wù)系統(tǒng)化管理的最佳抓手之一，一套好用的身份管理、身份安全方案可向管理側(cè)（安全合規(guī)）和員工側(cè)（高效便捷）兩端釋放價值。

派拉軟件基于“身份優(yōu)先”的零信任架構(gòu)（Zero Trust），從全域身份治理和安全訪問控制，逐步延伸到特權(quán)訪問管理、API管理、數(shù)據(jù)訪問控制管理等產(chǎn)品和解決方案，不斷擴(kuò)展數(shù)字身份安全能力。即派拉軟件身份安全解決方案由一整套身份管理和體系產(chǎn)品所組成，從而滿足于企業(yè)不同階段和不同業(yè)務(wù)場景下的身份安全建設(shè)需求。

派拉全產(chǎn)品體系架構(gòu)圖

從產(chǎn)品維度來看，派拉軟件在網(wǎng)絡(luò)側(cè)主要以身份優(yōu)先的零信任解決方案作為切入，零信任解決方案的核心優(yōu)勢是對用戶身份、接入設(shè)備均驗證合法性后才能進(jìn)行資源訪問，基于身份的“最小授權(quán)”安全策略以及動態(tài)訪問控制機(jī)制，可全面保障端到端的訪問安全。派拉軟件的身份優(yōu)先的零信任解決方案厚度上大幅增強(qiáng)，幾乎涵蓋派拉軟件多年經(jīng)驗和技術(shù)大成，并以國產(chǎn)化適配，全面參與到企業(yè)的本地與云端資源管理當(dāng)中。

進(jìn)入到網(wǎng)絡(luò)入口之后，派拉軟件可向企業(yè)提供IAM統(tǒng)一身份治理系統(tǒng)，且為滿足企業(yè)精細(xì)化安全控制，系統(tǒng)可拆分為面向企業(yè)內(nèi)部員工的“員工身份與訪問控制eIAM系統(tǒng)”，以及面向渠道、供應(yīng)鏈的“商業(yè)身份與訪問控制bIAM系統(tǒng)”，面向客戶的“客戶身份與訪問控制cIAM系統(tǒng)”。

派拉IAM統(tǒng)一身份治理平臺以用戶身份數(shù)據(jù)為中心，針對企業(yè)全場景的數(shù)字身份進(jìn)行整合管理，通過構(gòu)建集中用戶管理中心，打通各異構(gòu)系統(tǒng)之間的用戶身份數(shù)據(jù)通道，實現(xiàn)用戶全生命周期自動化管理、SSO多業(yè)務(wù)系統(tǒng)單點登錄、MFA強(qiáng)認(rèn)證、UEBA智能風(fēng)險監(jiān)測、細(xì)粒度權(quán)限、審計管理及自助服務(wù)，基于安全提供更高效、便捷的管理能力和業(yè)務(wù)能力。

身份安全已經(jīng)成為一個重要領(lǐng)域，派拉軟件可以提供多款產(chǎn)品組合形成的解決方案，對于不同需求的甲方客戶而言，這些單點能力，比如SSO、IDaaS、MFA、細(xì)粒度權(quán)限管理、智能身份認(rèn)證等不同子產(chǎn)品也可以獨立提供。派拉軟件產(chǎn)品線上將API安全和數(shù)據(jù)安全獨立，其對應(yīng)的獨立產(chǎn)品如API安全網(wǎng)關(guān)、API管理平臺，PAM特權(quán)訪問管理系統(tǒng)、數(shù)據(jù)庫訪問管理系統(tǒng)等，都可以納入到身份安全方案當(dāng)中。

以上可以看到，由不同產(chǎn)品組合或拆分而成的派拉軟件身份安全解決方案，可以劃分為統(tǒng)一身份安全方案，認(rèn)證類身份安全方案，治理類身份安全方案，權(quán)限管控類身份安全方案，風(fēng)險管控類身份安全方案，門戶特權(quán)類身份安全方案等等，從而全面覆蓋了大中小企業(yè)不同IT建設(shè)階段，企業(yè)數(shù)字化業(yè)務(wù)全覆蓋，甚至跨區(qū)域乃至全球化業(yè)務(wù)下的身份安全建設(shè)訴求。

舉例而言，企業(yè)最常用的還是認(rèn)證類身份安全方案，其通常由SSO+MFA等產(chǎn)品組成，單點登錄系統(tǒng)可實現(xiàn)一套系統(tǒng)無阻礙對接企業(yè)的所有業(yè)務(wù)系統(tǒng)，讓員工不再困于管理大量賬密，實現(xiàn)安全便捷的無密碼辦公，并且通過多因素認(rèn)證加強(qiáng)方案的安全性。

對于已經(jīng)建立身份系統(tǒng)的企業(yè)客戶而言，如對系統(tǒng)權(quán)限管控不滿意，就可以采用派拉軟件的權(quán)限治理類身份安全解決方案，該方案可以從應(yīng)用級訪問控制，到以角色崗位級權(quán)限管控，再到細(xì)粒度權(quán)限控制，比如用戶權(quán)限管控到每一個菜單、按鈕，甚至到數(shù)據(jù)庫的行列級權(quán)限控制。

又如風(fēng)險管控類身份安全方案，最近幾年企業(yè)內(nèi)鬼事件頻發(fā)，當(dāng)監(jiān)管趨嚴(yán)，對于企業(yè)來說必須提升相應(yīng)的風(fēng)險發(fā)現(xiàn)能力。風(fēng)險管控類身份安全方案可提供基于用戶身份維度上的安全運營工作，運維人員可實時看到企業(yè)內(nèi)部的身份風(fēng)險情況，其基于UEBA智能風(fēng)險檢測系統(tǒng)實現(xiàn)了用戶行為的智能分析，過程通過大數(shù)據(jù)和AI技術(shù)生成多級別風(fēng)險策略，時刻檢測用戶風(fēng)險行為。

據(jù)了解，派拉軟件已成功為全球范圍內(nèi)的金融、制造、醫(yī)療、教育、零售、政府、地產(chǎn)、科研院所等多行業(yè)2000余家企業(yè)和機(jī)構(gòu)提供極致體驗的“全域數(shù)字身份統(tǒng)一安全管控”專業(yè)服務(wù)，覆蓋五百強(qiáng)客戶300余家。

派拉軟件在身份安全解決方案的全域管理、高性能、高安全性等方面收獲了客戶的高度認(rèn)可，特別是在大型企業(yè)客戶方面擁有諸多成功實踐。

如為某知名合資車企構(gòu)建的全域身份認(rèn)證管理系統(tǒng)，系統(tǒng)管理用戶近3000萬個，這也是國內(nèi)身份安全廠商實踐超過千萬級用戶的極少數(shù)案例。另外一家國內(nèi)某知名新能源企業(yè)通過派拉軟件構(gòu)建了全球化的身份治理解決方案，方案滿足了全球不同地區(qū)對于數(shù)據(jù)安全方面的差異化合規(guī)監(jiān)管要求，并提供了全球用戶的高效協(xié)同辦公。

●在認(rèn)證類身份安全方案方面，方案完全做到了開箱即用，且認(rèn)證方式可覆蓋客戶當(dāng)前場景下的任何業(yè)務(wù)數(shù)據(jù)源，并通過協(xié)議加固實現(xiàn)了更好的網(wǎng)絡(luò)安全性；

●治理類身份安全方案方面，方案可提供覆蓋到員工、供應(yīng)商、C端等多用戶維度，全域全生態(tài)化覆蓋，企業(yè)可實現(xiàn)用戶的精細(xì)化治理；

●權(quán)限管控類身份安全方案方面，其方案可以做到用戶身份深度匹配業(yè)務(wù)與流程，同時根據(jù)大量客戶實踐和技術(shù)稽查不斷優(yōu)化權(quán)限管控精準(zhǔn)度和高安全性；

● 風(fēng)險管控類身份安全方案方面，可根據(jù)用戶行為建立全鏈路風(fēng)險因子收緊機(jī)制，結(jié)合其它子產(chǎn)品，形成集中式的智能風(fēng)險分析引擎，分析捕捉用戶風(fēng)險方面的全面性和精準(zhǔn)性更高。

對于行業(yè)客戶而言，派拉軟件還能提供豐富多樣的國產(chǎn)化替代方案，一方面通過國產(chǎn)化自研平臺且對國產(chǎn)操作系統(tǒng)、數(shù)據(jù)庫、中間件全面適配，可為客戶提供全面的國產(chǎn)化身份安全解決方案，同時可根據(jù)客戶不同的訴求和階段化替代目標(biāo)，制定階段性遷移策略，如利用平臺融合架構(gòu)實現(xiàn)雙系統(tǒng)并行，再到全面升級為國家化新平臺應(yīng)用，為行業(yè)客戶提供了合規(guī)的靈活的可選建設(shè)方案。

數(shù)字化轉(zhuǎn)型讓企業(yè)管理的數(shù)字身份數(shù)量不斷上升，調(diào)研顯示，成功實現(xiàn)數(shù)字化轉(zhuǎn)型的企業(yè)，其管理的數(shù)字身份已呈倍數(shù)激增，當(dāng)前大型企業(yè)管理超過1萬個數(shù)字身份的數(shù)量已經(jīng)過半（52%），安全的管理身份，已經(jīng)成為企業(yè)保護(hù)數(shù)字資產(chǎn)，避免數(shù)據(jù)泄露、員工違規(guī)操作的重要手段。

派拉軟件已經(jīng)成長為一家一站式身份安全解決方案提供商，企業(yè)客戶可以根據(jù)不同的需求，選擇派拉軟件豐富的方案打包或單點能力，其能力范圍涵蓋從內(nèi)到外的全域、全生態(tài)身份維度，這對于企業(yè)數(shù)字化身份應(yīng)用的多元化時代來說彌足珍貴。

以上為此次我們對派拉軟件身份安全解決方案系統(tǒng)能力進(jìn)行的全面了解，希望能為相關(guān)企業(yè)做出針對身份維度的安全建設(shè)起到借鑒和幫助作用。同時，安全419《身份安全解決方案》調(diào)研訪談還將持續(xù)更新，我們還將持續(xù)走進(jìn)更多的網(wǎng)絡(luò)安全企業(yè)，來觀察他們針對不同行業(yè)、不同用戶和不同環(huán)境之間的身份安全解決方案能力之間的細(xì)節(jié)與區(qū)別，敬請持續(xù)關(guān)注。