随着数字化时代的到来,网络安全已成为企业和组织面临的一项重要挑战。传统的网络安全方法已经无法满足不断演变的威胁和技术环境。近期,中国信息通信研究院(简称“中国信通院”)发布了《零信任发展研究报告( 2023 年)》。在报告指出,云计算、大数据等新一代信息技术与实体经济加速融合,产业数字化转型迎来发展新浪潮,企业 IT 架构从建设到运营也发生了极大的改变。传统边界安全架构的身份管理系统已不可靠,防护机制必须从原有的网络边界为核心转向以身份为核心的零信任机制转变。
01.数字化转型深化后企业所面临的挑战
近年来,国家对数字经济的重视和支持达到了空前的高度,积极推动各行业的产业数字化转型。与此同时,用户的需求也在不断升级,促使企业积极参与数字化转型,推动了数字化经济生态系统的蓬勃发展。然而,在这一数字化浪潮的背后,传统的企业安全架构却逐渐显露出脆弱,基于网络边界和信任域的构建已不再适应日益复杂的数字化环境。随着边界的逐渐消失,企业面临着更加复杂和多样化的安全挑战:
数据中心内部安全防护薄弱
随着远程办公的普及和数字工作环境的扩大,企业的数据中心内部安全面临了新的薄弱环节。过去,员工主要使用由企业分发的固定设备进行工作,这使得终端管理相对简单且可控。然而,随着越来越多的员工采用移动设备进行工作,企业数据与个人应用程序共享同一设备空间,导致关键数据的所有权变得模糊不清。与此同时,移动设备的安全状态变得更加难以预测,传统的终端管控手段变得难以应对这种新形势。这种情况引发了一系列安全挑战,包括数据泄漏、设备丢失或被盗、恶意软件感染等问题。因此,企业需要采取更加综合和创新的安全措施,以确保数据中心内部的资源和信息受到充分的保护。
安全策略仍需细化
现在云计算、虚拟化和容器技术的广泛应用,企业面临的安全挑战变得更加复杂和多样化。企业的资源管理粒度越来越精细,传统的通用性安全策略已经不再足够,企业需要更为精细化和差异化的安全措施。这要求对各种资源、数据、应用程序和用户权限进行深入审查,以根据其风险特征和重要性量身定制相应的安全保护。企业必须不断更新和改进其安全策略,以适应不断变化的威胁景观,并确保资源和数据在所有层面都得到充分的、精细化的安全保障,包括数据加密、身份验证、权限管理、威胁检测和响应等多个方面,同时满足法规合规性要求,提升整体安全性水平。
跨云的连接、数据传输增加资源暴露面
5G 和分布式云的融合让用户得以在任何时间使用任何设备从任何位置快速获取资源。这意味着企业的数字资产和数据分散存储在不同云服务提供商的基础设施中,需要在各个层面加强安全措施。从网络连接、身份验证、数据传输到合规性管理都需要精心规划和执行,以确保资源不会受到未经授权的访问、数据泄漏或不当使用的威胁。因此,跨云环境需要综合的安全策略,以应对资源暴露面的扩大所带来的风险,同时保障业务的稳定性和数据的保密性。
02.零信任价值日益凸显,保障数据资源安全可信
零信任相关政策涌现,驱动产业发展
零信任已经从一个新兴安全理念发展成为全球网络安全的关键技术,商业模式逐渐走向成熟,成为企业数字化转型的首选安全战略。我国也在加大政策保障,推动零信任落地。在《网络安全产业高质量发展三年行动计划 (2021-2023年)》中,重点围绕“加快开展基于开发安全运营、主动免疫、零信任等框架,推动创新技术发展与网络安全体系研发。加快发展动态边界防护技术,鼓励企业深化为隔离、软件定义边界、安全访问服务边缘框架等技术产品应用”等内容展开。
零信任弥补传统安全防护机制缺陷
传统安全架构失效的根本原因是因为过度信任,零信任不给予任何因素预置信任条件。通过动态的、可持续的验证,判断主客体之间是否存在信任关系,以对主体到客体的资源访问进行实时防护。
面向资源管理在市场寒冬的困局中,小微企业为谋求生存,则希望加快 PMF 进程以抓住市场先机。同时受制于资源、人力等因素,选择采购 SaaS 服务迅速补强产品能力以及提升人效成为数字化的主要考量。而中型企业在此困局中,希望依托数字化以求业务增长、人员增效、企业扩张以及产品核心竞争力的稳固。
构建身份管理平台是实施零信任的关键步骤模型下,身份验证变得至关重要,强调通过身份信息对每一个访问行为进行信任评估,动态赋予相应权限,能够对内部访问以及人员、设备等安全把控。通过身份验证后,权限将根据具体的上下文和访问需求进行动态分配。这意味着不再预先授予访问主体广泛的权限,而是根据实际需要仅赋予其访问特定资源所需的最低权限水平,确保资源访问受到最小化的原则约束。这种方法大大提高了安全性,减少了潜在的风险,确保了资源的高度保护。
03.构建身份管理平台是实施零信任的关键步骤
零信任秉持“永不信任,持续验证”,打破了网络位置和信任间的潜在默认关系,降低了企业资源访问过程中的安全风险。但在没有实施有效的零信任方案前,很多企业在认证过程中添加弱因素认证,有技术能力的组织会在敏感节点添加多因素认证以及单点登录来保障安全和用户体验的平衡,但由于无法实现用户会话过程中持续动态评估和认证,通常会采取设置会话计时器来减少多因素认证的频次。这些从本质上都不能有效解决安全和用户体验的问题。
下一代多因素安全认证平台——持续自适应 MFA。而持续自适应多因素作为下一代多因素安全认证平台被推出,能够分析用户登录和使用行为,有效识别风险,自动配置合适的 MFA 策略,在风险出现时拉起二次认证,全面提升安全风控能力。它在自适应多因素认证(基于上下文属性判断当前安全状况以增加因素认证)的基础上增加了实时风险评估技术对用户进行动态评估安全系数。在时间维度上,持续自适应多因素认证在用户整个使用旅程中持续不断的对其进行信任评估,以决定是否需要增加额外的认证流程。这样做的好处就是企业的安全得到实时监控,而用户只会在进行风险操作时被提示需要进行额外的认证。
04.金融行业身份治理现状洞察
企业权限管理场景复杂,涉及多个系统、应用程序和数据资源,各个部门的业务需求和用户权限都存在不确定性和易变的特性,这导致了权限结构的多层次、多角色和多样化,使得整体管理过程变得极为繁重。同时,随着企业的增长,维护这种复杂的权限结构变得困难,需要不断的更新和调整,以确保安全和合规性。但企业开发和维护自有权限管理系统需要巨额的资金投入,尤其是对中小型企业而言,可能无法承受这一负担。随着时间推移,人员培训、安全更新和技术升级等方面的持续成本,这使得自研系统的总体成本变得更为昂贵。许多企业倾向于选择采用成熟的第三方权限管理解决方案,以在更经济高效的条件下满足其权限管理需求。
Authing 提供统一权限管理与安全风控平台以及完善的用户和管理员审计日志,助力企业统一管理分散的在各应用中的权限系统,实现细致到某一行、某一按钮的授权策略,无需大量开发成本。并且 Authing 支持企业根据自己的需求创建 API、菜单、按钮等资源,定义对应资源操作(如读取、编辑等),以及被赋予权限的主体角色 (职位、项目组、部门等),几乎能涵盖市面上所有权限管理的场景,帮助企业实现员工、用户、下游企业或子公司全生命周期自动化管理。结合基于 Authing 身份自动化平台和元数据 UEBA(用户行为分析)技术,实现企业全面的零信任环境。帮助企业实现提质增效以及构建面向未来的数字化身份基础设施。