安全419對(duì)話派拉軟件：身份安全，需要一站式還是差異化？

身份，作為行業(yè)公認(rèn)的，在技術(shù)不斷發(fā)展IT環(huán)境巨變之下新的安全邊界，安全機(jī)構(gòu)的調(diào)研報(bào)告顯示，在企業(yè)內(nèi)，多數(shù)大型組織動(dòng)輒要管理上萬(wàn)個(gè)身份，以便讓員工、合作伙伴共享網(wǎng)絡(luò)資源，然而近90%的企業(yè)在過去一年內(nèi)受到了基于身份的攻擊，這說明身份安全已經(jīng)成為組織必須要解決的首要安全問題之一。

安全419推出《身份安全解決方案》調(diào)研訪談，希望通過探尋不同網(wǎng)安企業(yè)聲音，洞悉本土化可落地的身份安全解決方案，以支撐我國(guó)大中小企業(yè)解決好網(wǎng)絡(luò)一側(cè)的身份安全問題。

上海派拉軟件股份有限公司（以下簡(jiǎn)稱：派拉軟件），是國(guó)內(nèi)最早從事身份安全研發(fā)的原廠商，致力于為企業(yè)和機(jī)構(gòu)提供以“數(shù)字身份”為核心的數(shù)字化能力底座與安全基石。能力主要涵蓋身份安全、應(yīng)用安全、數(shù)據(jù)安全，作為國(guó)內(nèi)數(shù)字身份安全的領(lǐng)導(dǎo)廠商，派拉軟件以15年安全實(shí)踐獲得全球多行業(yè)超2000家客戶認(rèn)可，先后獲得Gartner《身份治理與管理市場(chǎng)指南》全球代表廠商推薦、中國(guó)網(wǎng)安產(chǎn)業(yè)百?gòu)?qiáng)企業(yè)、中國(guó)數(shù)字安全綜合實(shí)力百?gòu)?qiáng)企業(yè)、零信任最受行業(yè)歡迎廠商等領(lǐng)域殊榮。

本期訪談，我們采訪到了派拉軟件解決方案負(fù)責(zé)人茆正華，接下來我們將走進(jìn)派拉軟件，來了解一下這家專業(yè)數(shù)字身份安全廠商的全方位身份安全解決方案。 

派拉軟件認(rèn)為，在現(xiàn)代IT基礎(chǔ)架構(gòu)當(dāng)中，身份系統(tǒng)已被視為IT部門管理的基礎(chǔ)設(shè)施，從其技術(shù)本身的發(fā)展和對(duì)業(yè)務(wù)側(cè)的影響來看，身份也是新的邊界，由于其全面協(xié)調(diào)人機(jī)確權(quán)對(duì)資源的訪問，身份管理和身份安全工作已經(jīng)是企業(yè)IT團(tuán)隊(duì)日常重要工作之一。

萬(wàn)物互聯(lián)時(shí)代的到來，線上業(yè)務(wù)依托于各種IT基礎(chǔ)設(shè)施與應(yīng)用之上，其中認(rèn)證技術(shù)的發(fā)展，承載業(yè)務(wù)的IT基礎(chǔ)設(shè)施本身的發(fā)展，都令身份安全從一個(gè)技術(shù)階段不斷走向另一個(gè)技術(shù)階段。

如今，企業(yè)規(guī)模越大、數(shù)字化轉(zhuǎn)型越成功、對(duì)網(wǎng)絡(luò)安全工作重視程度越高，企業(yè)對(duì)身份管理和身份安全的工作要求也越復(fù)雜。企業(yè)需要為內(nèi)部員工構(gòu)建統(tǒng)一身份基礎(chǔ)設(shè)施，從統(tǒng)一認(rèn)證到統(tǒng)一管理，身份管理方案越來越深，其管理范圍甚至不斷外延。

派拉軟件指出，隨著數(shù)字化轉(zhuǎn)型的持續(xù)深入，企業(yè)的身份管理將會(huì)邁入到全生態(tài)包容范圍，從內(nèi)部員工擴(kuò)展至供應(yīng)鏈上下游，到業(yè)務(wù)層面的企業(yè)級(jí)客戶，或是龐大的C端用戶，乃至業(yè)務(wù)出海的全球身份管理，身份管理已經(jīng)是企業(yè)高效、安全、合規(guī)開展業(yè)務(wù)的前提。

構(gòu)建身份系統(tǒng)的必要性在于企業(yè)從安全合規(guī)到業(yè)務(wù)發(fā)展戰(zhàn)略性升級(jí)的過程，一方面，身份安全貫穿于各項(xiàng)合規(guī)政策當(dāng)中，圍繞系統(tǒng)身份進(jìn)行管理，進(jìn)行技術(shù)化干預(yù)勢(shì)在必行；另一方面從身份維度進(jìn)行全域業(yè)務(wù)系統(tǒng)管理，將有效解決企業(yè)的業(yè)務(wù)系統(tǒng)割裂問題。

從15年安全實(shí)踐經(jīng)驗(yàn)來看，派拉軟件也總結(jié)了當(dāng)前企業(yè)身份管理和身份安全建設(shè)的實(shí)現(xiàn)阻礙，其主要?dú)w為以下二點(diǎn)：

其一是企業(yè)需要為全面的身份管理和身份安全戰(zhàn)略配套相應(yīng)的管理制度，比如為不同崗位建立不同的角色畫像，如此才能為不同的身份下放權(quán)限細(xì)粒度管理。此時(shí)企業(yè)需要從過去粗放式管理向精細(xì)化管理過渡，粗放式管理將不適應(yīng)企業(yè)即將邁入數(shù)字化管理新階段下的發(fā)展訴求。

其二是理想化的身份管理框架在落地時(shí)往往需要向不同環(huán)境或業(yè)務(wù)場(chǎng)景妥協(xié)，此時(shí)企業(yè)難以憑借自身的經(jīng)驗(yàn)來技術(shù)化協(xié)調(diào)解決。這也是為什么派拉軟件在落地身份安全項(xiàng)目時(shí)會(huì)加入事前咨詢服務(wù)，這一過程將會(huì)梳理出身份系統(tǒng)與客戶業(yè)務(wù)系統(tǒng)的交集與流程。

派拉軟件總結(jié)認(rèn)為，身份系統(tǒng)是當(dāng)前企業(yè)進(jìn)行業(yè)務(wù)系統(tǒng)化管理的最佳抓手之一，一套好用的身份管理、身份安全方案可向管理側(cè)（安全合規(guī)）和員工側(cè)（高效便捷）兩端釋放價(jià)值。

派拉軟件基于“身份優(yōu)先”的零信任架構(gòu)（Zero Trust），從全域身份治理和安全訪問控制，逐步延伸到特權(quán)訪問管理、API管理、數(shù)據(jù)訪問控制管理等產(chǎn)品和解決方案，不斷擴(kuò)展數(shù)字身份安全能力。即派拉軟件身份安全解決方案由一整套身份管理和體系產(chǎn)品所組成，從而滿足于企業(yè)不同階段和不同業(yè)務(wù)場(chǎng)景下的身份安全建設(shè)需求。

派拉全產(chǎn)品體系架構(gòu)圖

從產(chǎn)品維度來看，派拉軟件在網(wǎng)絡(luò)側(cè)主要以身份優(yōu)先的零信任解決方案作為切入，零信任解決方案的核心優(yōu)勢(shì)是對(duì)用戶身份、接入設(shè)備均驗(yàn)證合法性后才能進(jìn)行資源訪問，基于身份的“最小授權(quán)”安全策略以及動(dòng)態(tài)訪問控制機(jī)制，可全面保障端到端的訪問安全。派拉軟件的身份優(yōu)先的零信任解決方案厚度上大幅增強(qiáng)，幾乎涵蓋派拉軟件多年經(jīng)驗(yàn)和技術(shù)大成，并以國(guó)產(chǎn)化適配，全面參與到企業(yè)的本地與云端資源管理當(dāng)中。

進(jìn)入到網(wǎng)絡(luò)入口之后，派拉軟件可向企業(yè)提供IAM統(tǒng)一身份治理系統(tǒng)，且為滿足企業(yè)精細(xì)化安全控制，系統(tǒng)可拆分為面向企業(yè)內(nèi)部員工的“員工身份與訪問控制eIAM系統(tǒng)”，以及面向渠道、供應(yīng)鏈的“商業(yè)身份與訪問控制bIAM系統(tǒng)”，面向客戶的“客戶身份與訪問控制cIAM系統(tǒng)”。

派拉IAM統(tǒng)一身份治理平臺(tái)以用戶身份數(shù)據(jù)為中心，針對(duì)企業(yè)全場(chǎng)景的數(shù)字身份進(jìn)行整合管理，通過構(gòu)建集中用戶管理中心，打通各異構(gòu)系統(tǒng)之間的用戶身份數(shù)據(jù)通道，實(shí)現(xiàn)用戶全生命周期自動(dòng)化管理、SSO多業(yè)務(wù)系統(tǒng)單點(diǎn)登錄、MFA強(qiáng)認(rèn)證、UEBA智能風(fēng)險(xiǎn)監(jiān)測(cè)、細(xì)粒度權(quán)限、審計(jì)管理及自助服務(wù)，基于安全提供更高效、便捷的管理能力和業(yè)務(wù)能力。

身份安全已經(jīng)成為一個(gè)重要領(lǐng)域，派拉軟件可以提供多款產(chǎn)品組合形成的解決方案，對(duì)于不同需求的甲方客戶而言，這些單點(diǎn)能力，比如SSO、IDaaS、MFA、細(xì)粒度權(quán)限管理、智能身份認(rèn)證等不同子產(chǎn)品也可以獨(dú)立提供。派拉軟件產(chǎn)品線上將API安全和數(shù)據(jù)安全獨(dú)立，其對(duì)應(yīng)的獨(dú)立產(chǎn)品如API安全網(wǎng)關(guān)、API管理平臺(tái)，PAM特權(quán)訪問管理系統(tǒng)、數(shù)據(jù)庫(kù)訪問管理系統(tǒng)等，都可以納入到身份安全方案當(dāng)中。

以上可以看到，由不同產(chǎn)品組合或拆分而成的派拉軟件身份安全解決方案，可以劃分為統(tǒng)一身份安全方案，認(rèn)證類身份安全方案，治理類身份安全方案，權(quán)限管控類身份安全方案，風(fēng)險(xiǎn)管控類身份安全方案，門戶特權(quán)類身份安全方案等等，從而全面覆蓋了大中小企業(yè)不同IT建設(shè)階段，企業(yè)數(shù)字化業(yè)務(wù)全覆蓋，甚至跨區(qū)域乃至全球化業(yè)務(wù)下的身份安全建設(shè)訴求。

舉例而言，企業(yè)最常用的還是認(rèn)證類身份安全方案，其通常由SSO+MFA等產(chǎn)品組成，單點(diǎn)登錄系統(tǒng)可實(shí)現(xiàn)一套系統(tǒng)無阻礙對(duì)接企業(yè)的所有業(yè)務(wù)系統(tǒng)，讓員工不再困于管理大量賬密，實(shí)現(xiàn)安全便捷的無密碼辦公，并且通過多因素認(rèn)證加強(qiáng)方案的安全性。

對(duì)于已經(jīng)建立身份系統(tǒng)的企業(yè)客戶而言，如對(duì)系統(tǒng)權(quán)限管控不滿意，就可以采用派拉軟件的權(quán)限治理類身份安全解決方案，該方案可以從應(yīng)用級(jí)訪問控制，到以角色崗位級(jí)權(quán)限管控，再到細(xì)粒度權(quán)限控制，比如用戶權(quán)限管控到每一個(gè)菜單、按鈕，甚至到數(shù)據(jù)庫(kù)的行列級(jí)權(quán)限控制。

又如風(fēng)險(xiǎn)管控類身份安全方案，最近幾年企業(yè)內(nèi)鬼事件頻發(fā)，當(dāng)監(jiān)管趨嚴(yán)，對(duì)于企業(yè)來說必須提升相應(yīng)的風(fēng)險(xiǎn)發(fā)現(xiàn)能力。風(fēng)險(xiǎn)管控類身份安全方案可提供基于用戶身份維度上的安全運(yùn)營(yíng)工作，運(yùn)維人員可實(shí)時(shí)看到企業(yè)內(nèi)部的身份風(fēng)險(xiǎn)情況，其基于UEBA智能風(fēng)險(xiǎn)檢測(cè)系統(tǒng)實(shí)現(xiàn)了用戶行為的智能分析，過程通過大數(shù)據(jù)和AI技術(shù)生成多級(jí)別風(fēng)險(xiǎn)策略，時(shí)刻檢測(cè)用戶風(fēng)險(xiǎn)行為。

據(jù)了解，派拉軟件已成功為全球范圍內(nèi)的金融、制造、醫(yī)療、教育、零售、政府、地產(chǎn)、科研院所等多行業(yè)2000余家企業(yè)和機(jī)構(gòu)提供極致體驗(yàn)的“全域數(shù)字身份統(tǒng)一安全管控”專業(yè)服務(wù)，覆蓋五百?gòu)?qiáng)客戶300余家。

派拉軟件在身份安全解決方案的全域管理、高性能、高安全性等方面收獲了客戶的高度認(rèn)可，特別是在大型企業(yè)客戶方面擁有諸多成功實(shí)踐。

如為某知名合資車企構(gòu)建的全域身份認(rèn)證管理系統(tǒng)，系統(tǒng)管理用戶近3000萬(wàn)個(gè)，這也是國(guó)內(nèi)身份安全廠商實(shí)踐超過千萬(wàn)級(jí)用戶的極少數(shù)案例。另外一家國(guó)內(nèi)某知名新能源企業(yè)通過派拉軟件構(gòu)建了全球化的身份治理解決方案，方案滿足了全球不同地區(qū)對(duì)于數(shù)據(jù)安全方面的差異化合規(guī)監(jiān)管要求，并提供了全球用戶的高效協(xié)同辦公。

●在認(rèn)證類身份安全方案方面，方案完全做到了開箱即用，且認(rèn)證方式可覆蓋客戶當(dāng)前場(chǎng)景下的任何業(yè)務(wù)數(shù)據(jù)源，并通過協(xié)議加固實(shí)現(xiàn)了更好的網(wǎng)絡(luò)安全性；

●治理類身份安全方案方面，方案可提供覆蓋到員工、供應(yīng)商、C端等多用戶維度，全域全生態(tài)化覆蓋，企業(yè)可實(shí)現(xiàn)用戶的精細(xì)化治理；

●權(quán)限管控類身份安全方案方面，其方案可以做到用戶身份深度匹配業(yè)務(wù)與流程，同時(shí)根據(jù)大量客戶實(shí)踐和技術(shù)稽查不斷優(yōu)化權(quán)限管控精準(zhǔn)度和高安全性；

● 風(fēng)險(xiǎn)管控類身份安全方案方面，可根據(jù)用戶行為建立全鏈路風(fēng)險(xiǎn)因子收緊機(jī)制，結(jié)合其它子產(chǎn)品，形成集中式的智能風(fēng)險(xiǎn)分析引擎，分析捕捉用戶風(fēng)險(xiǎn)方面的全面性和精準(zhǔn)性更高。

對(duì)于行業(yè)客戶而言，派拉軟件還能提供豐富多樣的國(guó)產(chǎn)化替代方案，一方面通過國(guó)產(chǎn)化自研平臺(tái)且對(duì)國(guó)產(chǎn)操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件全面適配，可為客戶提供全面的國(guó)產(chǎn)化身份安全解決方案，同時(shí)可根據(jù)客戶不同的訴求和階段化替代目標(biāo)，制定階段性遷移策略，如利用平臺(tái)融合架構(gòu)實(shí)現(xiàn)雙系統(tǒng)并行，再到全面升級(jí)為國(guó)家化新平臺(tái)應(yīng)用，為行業(yè)客戶提供了合規(guī)的靈活的可選建設(shè)方案。

數(shù)字化轉(zhuǎn)型讓企業(yè)管理的數(shù)字身份數(shù)量不斷上升，調(diào)研顯示，成功實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型的企業(yè)，其管理的數(shù)字身份已呈倍數(shù)激增，當(dāng)前大型企業(yè)管理超過1萬(wàn)個(gè)數(shù)字身份的數(shù)量已經(jīng)過半（52%），安全的管理身份，已經(jīng)成為企業(yè)保護(hù)數(shù)字資產(chǎn)，避免數(shù)據(jù)泄露、員工違規(guī)操作的重要手段。

派拉軟件已經(jīng)成長(zhǎng)為一家一站式身份安全解決方案提供商，企業(yè)客戶可以根據(jù)不同的需求，選擇派拉軟件豐富的方案打包或單點(diǎn)能力，其能力范圍涵蓋從內(nèi)到外的全域、全生態(tài)身份維度，這對(duì)于企業(yè)數(shù)字化身份應(yīng)用的多元化時(shí)代來說彌足珍貴。

以上為此次我們對(duì)派拉軟件身份安全解決方案系統(tǒng)能力進(jìn)行的全面了解，希望能為相關(guān)企業(yè)做出針對(duì)身份維度的安全建設(shè)起到借鑒和幫助作用。同時(shí)，安全419《身份安全解決方案》調(diào)研訪談還將持續(xù)更新，我們還將持續(xù)走進(jìn)更多的網(wǎng)絡(luò)安全企業(yè)，來觀察他們針對(duì)不同行業(yè)、不同用戶和不同環(huán)境之間的身份安全解決方案能力之間的細(xì)節(jié)與區(qū)別，敬請(qǐng)持續(xù)關(guān)注。