专访 | 竹云副总裁刘可:基于云原生构建的 IAM 身份云服务能力
日前,全球知名信息技术与咨询机构 Gartner 发布《我们正在关注的八大安全风险和趋势》,为企业的网络安全和监管合规建设进一步指明了方向。Gartner 认为,每一个趋势都有望产生广泛的行业影响和巨大的变革潜力。
值得一提的是,在这 8 个趋势中,有两个都是关于“身份”。分别是“身份优先安全”和“管理机器身份已成为一项关键的安全功能”。而这两个趋势又和另一个趋势息息相关,那就是“’远程办公’成为工作常态”。Gartner 认为,对企业 CEO 来说,2022 年有三大优先事项,分别是增长、数字化和效率。远程办公常态化,意味着组织的网络边界越来越模糊。传统基于网络或设备边界的网络安全防御技术已经不能应对新型威胁,这使得很多组织必须重新建立安全管理边界,以确保组织的数据安全。
“零信任”架构是近两年最热门的安全解决方案。知名研究机构 Forrester 分析师 Steve Turner 指出:目前有两种开启零信任之旅的方法:安全方面和身份管理方面。一些企业从身份管理开始,并迅速部署多因素身份验证,从而获得最简单、最快速的胜利。IAM 身份管理与访问控制技术是部署零信任架构的核心支撑技术。因此,我们特邀竹云科技副总裁刘可先生,就 IAM 和 IDaaS 的相关话题展开探讨。
以下为专访实录:
Q 1:随着目前国内企业对数字化转型、信息安全的愈发重视,身份安全、零信任这些也越来越被大家关注。可以大致介绍一下身份管理 IAM 这个领域的相关背景和主要帮助企业解决了什么问题吗?
A 1:竹云是国内专注在 IAM 领域的科技企业,IAM,英文全称是 Identity and Access Management 即身份管理和访问控制,主要包括 IM 和 AM 两部分。
IM 也就是身份管理,主要解决企业中员工或者内外部用户的实名身份和在企业各个应用系统中虚拟身份的有机衔接,以及用户身份随着在组织机构内的入离调转变化而产生的整个身份标识生命周期管理的问题。
客户场景中经常出现的多个应用系统中身份生命周期无法联动、HR 部门的“入转调离”动作执行后无法和 IT 部门、业务部门应用系统中的身份数据进行自动衔接等问题。这方面举个最典型的例子,有些公司员工离职后,对原公司的邮箱、CRM、甚至核心业务数据还能够访问,导致群发邮件、窃取公司业务数据、关键图纸资料、甚至留下黑客后门等事件。其实就是因为 HR 部门办理完离职后,只是通过电话、邮件或 OA 系统、甚至口头通知给 IT 部门,而 IT 部门有时未能及时处理导致的身份数据处理脱节,从而造成了安全隐患。
IM 的核心价值在于,解决企业身份数据从上游到下游能否及时传递的问题,实现 HR 系统/AD/钉钉企业微信等核心上游身份源中人事数据入转调离变动后,身份数据自动传递到下游的业务应用中,以此帮助企业业务的顺利开通和高效流转,并确保在人员变动后的状态和权限信息等可以自动的触及和同步更新到各个业务应用,保障效率的同时,大幅提升安全。
AM 也就是访问控制或者叫访问管理,主要解决企业员工在各系统中多套账号密码登录复杂、记忆困难等问题。有时即使企业实现了一套用户名密码登录各系统,但又无法支持登录一个系统后即可访问其他权限系统,需要再次登录带来困难。有时候还因为各系统的安全策略要求,密码策略也会有所区别,例如密码复杂度要求不一,导致用户经常忘记自己的密码,由此造成访问困扰。在这个问题上,我们从很多客户的 IT 部门了解到,日常工作中经常接到员工电话,因为忘记密码需要帮助他们改密。
AM 的核心价值在于,通过统一的认证及访问控制中台,来对企业业务应用的访问进行管控。业务应用置于 AM 中台保护之下,AM 中台对外提供统一认证、多因素认证、单点登录、访问控制策略、风险识别、风险控制策略、访问审计等能力,由 AM 中台对所有用户的应用访问进行保护和管控。既保障用户的访问体验,又在其访问的过程中保障数字身份的安全。
所以 IM 和 AM 分别是解决两个不同侧向的问题,一个偏身份数据的流转和保护,一个偏身份数据的鉴别和保护。一个侧向在管理、一个侧向在使用,两者解决的问题域互有区隔,但又紧密相关。
Q 2:随着云计算的应用,包括疫情、简本增效等原因,很多企业在远程办公、云服务、SaaS 的应用也越来越广泛。市场上出现了身份管理的云服务,IDaaS。有人认为 IDaaS 不同于 IAM、甚至说 IDaaS 是替换 IAM 的,优于传统 IAM 厂商的产品,对这个说法您有什么看法?
A 2:疫情为企业带来了很多的压力和不便,所以很多企业都在寻求更好、更节约、管理效能更高的方式来运营业务。SaaS 和云服务在疫情期间也得到了客户的广泛认可,就像竹云的身份云服务 IDaaS 一样。
IDaaS,全称即 Identity as a Service(身份即服务),这是云服务市场的一种商业叫法,实质就是 IAM Cloud,即云化的 IAM。这是从私有化部署到云服务的转变或形态,也就是我们给客户提供的 IAM 服务,从私有云本地模式改成了在线运营的云服务模式。
结合行业发展,云服务模式必定是未来发展的大趋势,无论对于用户方,还是云服务提供方都会要求更高效、更便捷和低成本。但结合国内环境和发展阶段,都需要根据不同客户群体的实际需求和环境来选择不同的部署方式。比如竹云会对大型央企、政府或军工企业等采用私有云或者混合云部署方式,对已开始使用 SaaS 等云资源的企业和机构采用公有云订阅的方式。
当前“竹云城堡”在线运营平台(https://bccastle.com),为客户提供 IDaaS 公有云订阅服务,有很多知名企业如一汽解放、壳牌、卡特彼勒、德琪医药、汉朔科技等选择了竹云身份云服务。
所以,类似于“IDaaS 是替换 IAM,或优于 IAM”的说法是有偏差的。这里,用一个简单公式来形象表述这个关系,就是“IDaaS = 云化的 IAM = 以云原生为基础构建的 IAM 身份云服务能力”。简言之,IDaaS 只是 IAM 其中的一种服务形态,它面向的是要解决客户所面临的身份管理和访问控制问题。在这个点上,本质意义是相同的。
Q 3:对于“IDaaS是面向开发者”这个问题,您怎么看?
A 3:对这个话题,可以回到 IAM 服务的最终用户类型上来。对于 IAM 或 IDaaS 平台,在一个企业里,我们表相上能看到的最终用户会有企业的信息科技部、IT 部、合规审计部这些管理部门或管理员,他们会用 IAM 系统来帮助解决身份数据安全的问题。另外,企业员工、临时用户、外包用户等等最终使用 IAM 解决完现有问题后,可以安全便捷访问应用的使用者。
IAM/IDaaS 平台它是一套身份管理的中台,它会衔接和串联上游业务系统,并让这些动作生效。我们常举的一个例子,IAM 就好似一个插线板,它支持各种协议,类似国标、美标、德标的插口,而应用和业务系统就类似各种插头,业务系统中如果支持相应标准就可以即插即用,不支持就需要选择某个标准做少量的改造。
所以,除了前面提到的两类典型客户外,这些需要改造应用来适配,或者希望能够充分应用 IAM 平台各种能力的应用开发者,也是 IAM 平台的一类重要用户。对这类用户,IAM/IDaaS 平台肯定会为他们提供相应的 API、SDK 等接入集成手段,以快速将应用接驳到平台上,解决 IAM 的问题,实现身份数据的保护和安全的访问。否则,平台功能再强大也没有意义。所以,所有的 IAM 或 IDaaS 服务同样也是要面向开发者的。如果有提到“IDaaS 只是唯一面对开发者的”,这只能是在面对某一种客户群体的广告语。
Q 4:除了针对解决企业内部员工有关身份效率和安全的问题,是否可以分享下对外部用户应用的一些其他场景?
A 4:这个话题可以从 IAM 领域,业内的一个通用分类来说明一下。回到 Identity 身份这个词,站在一个企业自身的视角,它包含内部员工、上游供应商、下游经销商、合作伙伴、以及企业产品的外部消费者。所以我们通常会把 IAM 领域根据这些用户类型再划分为两个领域,一个是 EIAM(面向Employee),一个是 CIAM(面向 Consumer 或 Customer)。
企业内部员工的日常工作中使用到的,例如 HR、OA、邮箱、CRM、MES、ERP 等等这些应用系统的身份安全管理问题,属于 EIAM 要解决的问题域。而一个企业或多或少都会有官网、APP、公众号、小程序,来投放给它的最终用户或消费者使用,这里面经常出现在某一个渠道千辛万苦进行注册后,其他的渠道载体无法识别出来,需要重新注册或重新登录的情况。这对于最终用户而言,会带来及其不好的体验,甚至出现不再使用的后果。当然多个渠道的 ID 无法归并合一,对企业的运营部门来说也是极大的浪费,无法将这不同载体中的用户行为进行标识联系、无法准确识别一个用户的连续动作,这都属于我们 CIAM 要解决的问题域。
竹云提供了全栈的身份安全管理产品,既有 EIAM 产品和服务,也有 CIAM 产品和服务。同时我们也提供公有云、私有云、混合云的解决方案,用于解决企业端 toE、toB、toC、toIoT 的各种场景问题。
Q 5:提到竹云的 IDaaS 公有云服务,请介绍一下竹云在 IDaaS 产品方面有哪些特点?
A 5:基于竹云在 IAM 领域的技术沉淀和超过上千个项目实践的积累,获取了大量的需求样本,通过不断的归集分析和经验总结,转化到公有云 IDaaS 不断成长的服务能力中。同时,竹云拥有一套成熟的研发管理体系,以市场为导向,需求经过分析后汇入到产研团队,从产品中心、到研发中心、到质控中心、到数据中心,经历了一个完整的流程。
在产品功能方面,在产品功能方面,竹云 IDaaS从 企业用户视角,覆盖的是企业的 2E、2B、2C 等全栈场景。客户可以根据自己的业务和投资偏重,选择不同的场景切入,选择不同的产品功能集来满足所需。
在 EIAM 方面,围绕着企业客户经常提到的需求点:统一身份管理、统一身份认证、多因素认证、单点登录、联邦认证 Federation、风险管理、自适应的访问控制等等。同时,为了最大化的减少客户的接入成本实现快速上线,竹云在产品中提前预集成了很多的商业应用和 SaaS 应用。
例如上游身份源里,集成了北森、薪人薪事、钉钉、企业微信、飞书、AD/LDAP;认证源里,我们预集成了钉钉、企业微信、飞书、云之家、WeLink、AD/LDAP 等等,包括支持客户原有的 CAS、Kerboros、甚至包括 Okta、Pingidentity 等其他厂商的 IAM 系统;下游应用里,预集成了 1000 多个应用模板,例如 3大OA:泛微、蓝凌、致远;5大邮箱:网易邮箱、腾讯邮箱、阿里云邮箱、coremail;3大ERP:SAP、金蝶、用友;2大培训:云学堂、魔学院等等各个不同领域和侧向的应用。
当客户现有环境中遇到以上应用,只需要通过简单的参数配置,即可完成与竹云 IDaaS 的集成,0 成本快速接入。
在 CIAM 方面,我们围绕各种渠道的整合,提供用户注册、登录认证、无密码认证、生物特征、自适应的 MFA、社交认证、隐私协议、使用协议管理等等方面。同时,我们开放了完整的 API 和 SDK 接口,对WEB类、IOS/安卓、公众号、小程序等等不同的 C 端应用形态提供了丰富的 API 和 SDK,让开发者能够快速选择所需,来将竹云 IDaaS 提供的能力附着到他们的业务和产品上。
Q 6:对于云服务、SaaS应用,客户除了考察产品功能外,也会特别注重高可用、安全性等方面能力,在这方面竹云的身份云服务有哪些技术积累?
A 6:竹云的 IDaaS 产品在技术特性上包含几个关键点:云原生、多租户、微服务、多云节点、高 SLA、高安全性、高开放性。这些关键点也是竹云为客户提供高质量、高可靠性身份云服务的核心基础。
竹云 IDaaS 是在公有云为千行百业提供 SaaS 化服务,我们在这方面采用了很多技术来进行保障,例如多云节点、弹性扩展、灰度发布、实时监控、熔断隔离等等。安全方面,竹云一直采用高标准的要求。在产研和系统安全管控的全流程中,制定高标准安全基线、采用 DevSecOps,在研发过程中对安全进行控制和防范。
此外,竹云与战略伙伴建立了深入合作,不断强化整个体系的安全级别。例如竹云和华为云合作的 OneAccess 产品,在华为云上架发布前,经过了华为云安全实施室 ICSL 的高强度安全测试并顺利发布上线,这也是对竹云产品能力安全性方面的一个验证。
Q 7:竹云的 IDaaS 除了产品能力外,还有哪些优势能够帮助客户应用的落地?
A 7:一个成功 IAM 项目的落地,需要同时具备产品力、方案力、实施交付力。竹云也始终围绕这三个方面来修炼内功,并以此为客户提供最佳实践。
对客户而言,首先需要的是解决业务问题,例如业务身份数据如何流转、业务间如何衔接、哪种使用体验更能满足企业自身的需要等等。因为更懂客户需求,在谈产品和技术的同时,竹云会更注意结合客户的场景现状,通过在领域内的成功实践,将最适应客户业务场景的方案和落地路径提供给客户,并一起沟通解决方案和实际价值。最后才是“抓药”,用具体的技术产品来帮助客户实现最终落地。所以,除了产品力外,在客户业务理解、方案设计和实施交付方面所具备的能力,也是竹云的核心优势。
有别于云服务上只能以工单的方式得到反馈,竹云提供的贴身服务会为每个客户建立团队,并持续地提供专业服务。竹云的 IDaaS 也因此得到了客户很高的评价和反馈,并在国内外多家技术产品与服务选型中得到认可。
Q 8:目前竹云的 IDaaS 服务覆盖哪些领域?
A 8:目前,竹云 IDaaS 已经成功为全球 10 多个国家、4000 多万用户提供 EIAM 和 CIAM 方面的服务,包括国内外大型集团客户、中小型企业客户等,服务内容包含内部员工场景、合作伙伴场景、以及外部消费者场景。
比如能源/交通行业的中石化、中海油、中外运、壳牌中国等;工业/制造行业的一汽解放、卡特彼勒、利星行机械等;生物/医药/医疗行业的国药工程、德琪医药、纽福斯生物、博圣生物等;零售/消费行业的名创优品、曼伦商贸等;以及在科技/游戏/互联网行业的汉朔科技、鼎桥通信、与光科技、梅里互动等等。
目前竹云产品的兼容性、易用性和可靠性,以及多年积累的业务和安全经验,能够为不同类型客户的差异化场景,在数字身份领域提供更全面、更安全的最佳实践。