九州云腾尚红林:云时代,身份管理面临的挑战及发展趋势
日期:2022年04月27日 阅:51
访谈嘉宾:尚红林
记 者:张安媛
分析师:沈 飙
身份认证和权限管理是实现企业内部网络安全防护的基础,企业规模越大,其对内部资产和关键数据的查阅、修改、获取等权限的精细化管理需求就越大,随着数字化转型浪潮的来袭,业务云化后,身份认证和权限管理领域也变得更加复杂和多样化,不同用户对于身份安全的管理不仅要求细粒度,更希望能够满足量身定制的专项需求,这为身份安全厂商带来了巨大的挑战,为了了解身份认证和权限管理技术的发展难点和实际落地情况,我们邀请到了北京九州云腾科技有限公司创始人尚红林,就上述问题以及现阶段业内广泛关注的安全即服务、零信任等话题进行了讨论,以下是访谈内容:
尚红林
北京九州云腾科技有限公司创始人。深耕身份安全领域10多年,有着丰富的国内外IAM行业经验。被阿里云并购后,负责应用身份安全IDaaS及衍生的零信任安全产品线。过去几年带领团队打造了业界知名的多租户IDaaS云服务,基于PKI的移动认证App等,为行业的突破发展贡献了力量。同时作为一个二十多年从业经历的软件行业老兵,有着丰富的传统软件到云服务SaaS的迁移经验。
安全牛:结合您在权限管理和身份认证领域的实际经验,您认为权限管理和身份认证对于企业信息安全管理的核心价值是什么?有什么重要意义?
尚红林:云化和移动化的发展,尤其是现在在疫情影响下,居家办公、远程办公的趋势不断增加,企业的安全边界变得越来越模糊,过去,可能企业员工一定要在线下、企业范围内才能访问开发环境,但在移动化办公趋势影响下,更多的企业希望远程也能访问,有些甚至希望开发测试环境能够整个迁移到云上,但是在迁移的过程中,一个企业所对应的系统(业务系统、财务系统、人事管理系统……)就有很多个,因此这对供应商来说,就要针对企业的实际需求,对这些系统实现集中的管理。但由于这些系统本身都是跨信任域的,比如跨多个云,这时候就需要一个身份服务产品来解决这些跨域信任连接问题,这是权限管理和身份认证对于企业的重要意义。
但结合实际经验,对所有系统的集中管理要实现SaaS化是很难实现的,因为业务云化、移动化后,用户的多样性,应用的多样性,对于身份安全的灵活性要求变得更高。
安全牛:据我了解,国外在SaaS化的身份认证和权限管理方面技术已经发展十分成熟了,两相对比,国内目前在IAM即身份认证和权限管理领域目前发展水平如何?处于一种怎样的发展阶段?
尚红林:其实长期以来,作为安全厂商,九州云腾本身就一直努力把传统的这种身份认证和权限管理模式变得更加现代化、SaaS化,但在实践的过程中,发现面临着很大的挑战。
过去我们在做身份认证和权限管理的时候,可能只要做针对企业内部物理环境下的一个标准就可以了,但是企业上云之后,对于安全厂商来说,需要做一个适用于云上环境的,能够跨企业“即拿即用”的、拥有统一标准的产品,但实际上行业中并没有这种标准,不同的安全厂商按照各自的理解,会按照用户的需求,去做一些非标准化的、定制化的服务和产品,这是现阶段行业内比较普遍的现象。
如何才能做出一个平台化的产品,能够形成一种标准化的云服务,满足不同用户的多样性需求,还需要更多的付出和累积。以九州云腾自身的经验来说,随着我们项目经验的不断累积,尤其是在这些项目上抽象出来的产品标准化能力,身份中台逐渐成为可能。因为只有当产品能力足够丰富后,SaaS化能力才会提升,才不再需要传统的那种线下驻场的服务了,可以基本满足企业用户对于云上身份认证和权限管理的安全需求。
安全牛:身份安全是企业未来网络安全建设的基础保障,我们也看到有越来越多的安全厂商开始涉足身份认证和权限管理领域,目前可以说是一个“群雄割据”的状态,在这种形势下,您认为该领域的实际技术发展水平如何?
尚红林:我认为现阶段身份认证和权限管理厂商的数量非常大的一个重要原因就是,很多软件企业认为身份管理领域的技术门槛非常低。但实际情况是,简单的身份管理比如单点登录的入门门槛确实很低,但是想要做好,做精,做强是非常难的,不少人低估了这个难度。另外,现阶段零信任理念非常火,很多企业涉足身份管理领域和盲目追逐热点也有关系。
企业对身份安全产品在实际应用场景中的适配性需求是很高的。对于一个集团企业来说,涉及到身份安全的场景非常丰富,小到企业员工访问公司官网,大到企业管理员通过授权在官网上发售应用程序,可能对于百人内的小企业来说,诸如上述的身份安全管理需求很好实现,但是对于几千人甚至上万人的大型集团企业来说,要满足它们对身份安全问题的全场景需求挑战是非常大的。在实施的过程中会发现功能需求非常多,且没有统一的标准,可能需要对不同场景逐一定制化开发。所以我认为很多转型过来的厂商,它的局部能力肯定是没问题的,但在解决这种全场景的用户需求时,技术水平还尚待提高。
安全牛:安全即服务(SaaS)是目前业内比较热的话题,您认为安全即服务的出现对身份认证和权限管理有哪些影响?有哪些重要意义?
尚红林:安全即服务与业务云化息息相关,而云安全主要包括两个方面,一个是云本身的安全,还有一种是通过云技术来实现安全。所以对于安全即服务这个概念,我是这样理解的。
这些年,我们耗费了很大的精力在做两件事:
第一件事,就是努力将一个复杂产品的易用性提到最高。让软件产品能够通过一些智能的交互方式动态的联动相关功能,并通过可视化的图形和数据来管理身份安全,展示潜在的风险,当攻击发生时,用户只需点击按钮或选择某项服务就可以解决相应的问题,并直观便捷的查阅到攻击来源和攻击类型,掌握攻击者通过哪些手段非法登录了这个平台。总之用户不需要复杂的使用说明或者培训,只要通过产品的可视化界面,就可以简洁明了地知道自己获得了哪些服务收益和管理效果。所以我认为安全即服务这个概念的出现,最大的重要意义就是降低了用户在复杂安全系统,比如身份认证和权限管理领域的综合使用门槛,更加友好。
第二件事,除了使用方式更加便捷之外,商业模式也发生了改变。过去,用户可能会花费几十万或几百万的只能采购一个功能较为单一的安全产品,安全即服务理念的出现,让用户可以通过更低廉的成本获得一套更加全面、体系化的服务,且是一种自助的、无人式的安全服务,这也免去了传统模式下,安全厂商在线下驻场上的成本投入。
可以说我们在自身产品服务上过去几年的历程,尤其是经验教训对整个安全即服务在国内的落地都有借鉴意义。
安全牛:您认为现阶段,行业内的身份认证和权限管理领域的技术发展水平如何?面临着怎样的挑战?
尚红林:整体来说,身份管理所要面临的场景是非常复杂多样的,仅根据九州云腾的实际市场经验,盘点下来就有几百种,由此可见,安全厂商如果想要把所有身份安全场景全部囊括下来是一项艰巨的任务,且需要丰富的经验积累。
零信任兴起后,提倡的是最小化权限,第一如何能默认赋予用户最小权限,后续结合企业的审批流得到工作需要的更多权限;第二,在前面的静态授权基础上,又如何能做到在使用过程中不断根据环境的变化进行动态调整,也就是动态授权的过程。
上述这些不同用户对身份权限场景的细粒度要求,需要大量的前期投入,即身份厂商需要拥有一个专业的技术团队在项目开展的前期将用户的抽象需求具象化,另外,即使能够将这些抽象的需求具体化,安全厂商还需要有足够的人力成本和物力成本把这些具象化的需求通过软件开发设计出来,并成功落地,能看到趋势,并能提前落地,这其中的挑战不言而喻。
安全牛:我有个疑问,对于身份认证和权限管理用户来说,管理系统可能越封闭就会越安全,但是身份安全服务产品本身,又是第三方的、开放式的,这两者之间的平衡如何实现?
尚红林:其实在我看来,越开放的产品越经得住挑战。举个例子,现在很少有企业自行开发操作系统了,大家都开始选用开源的产品,这些开源产品的代码都是暴露在互联网上的,但这些产品的安全性都是很高的,而且产品放到市场上,让更多的人看到和使用,越开放,越有助于产品的升级改造。
而且企业对产品的研发投入也是相对的,即使是一个超大型的企业,假设它每年有几个亿的IT投入,也不一定有能力去单独开发一套“闭源”的身份体系。更多的都是基于一些比较成熟的方案,结合自身的一些需求,通过定制化开发,来获取一些针对性服务。
软件开发是一个非常艰辛的行业。很多情况下,即使发现了问题所在,想要开发出一套流畅、易用的解决方案也是非常难的,在用户看来解决一个问题,可能只需要几步操作,但是发散到整个企业的业务流程之中就会变得非常难以操控,发现问题非常简单,但是解决问题充满挑战。
我举一个实际案例。阿里云的控制台RAM,这项产品在研发之初,开发者肯定是希望产品的受众越多、普惠价值越高越好,但是很多保密性要求较高的企业如金融行业等用户会认为这非常不安全,因为如果企业员工到了企业外部也能访问控制台,其安全风险很大,所以,企业用户就提出希望利用身份认证实现对指定用户的指定服务器给予访问权限,这个要求乍一听好像很好实现,但实际落地时,需要上下游端口设备的共同联动,需要采用一个虚拟桌面来发起这个动作,很多动作指令的发起都要通过这个虚拟桌面。
所以对企业来说,要自研一个这样的控制台是有巨大的技术门槛的,假设一个企业内部有一千人,但只有一百人被设定能够通过指定终端来访问云服务台,但对于剩下的九百人可能提出其它不同的管理诉求,所有的需求场景整合到一起就是一个非常大的挑战,需要非常多的定制化设计才能实现。
安全牛:现阶段,零信任理念炒得很火,有人说身份是零信任的核心,对此您怎么看?以零信任理念在身份认证和权限管理领域的实际落地情况如何?
尚红林:我只能说,如果要落地零信任,从身份安全做起是最容易的。比如说一个企业要做服务与服务之间的微隔离,首先需要对企业的内部资产进行清点,并确定每类资产需要哪些服务支撑,这些服务之间需要横向连通,是一项非常庞大的工程,把所有涉及身份管理的工作做的更加规范化,并把这些规范化的身份管理融合到企业原有的应用访问模型之中,这个过程其实就是在践行零信任了。一个大型安全方案的落地,一般需要一步步的分几年去规划实现,但如果想快速的看到方案实施后的效果,以身份作为切入点是最明显、变化最快的。
其实很多安全厂商的解决方案和产品线本身就是用零信任理念串起来的。在零信任理念还未兴起的时候,很多企业内部就已经部署了DLP、EDR等设备,发展至今,用户更需要的就是怎样把这些设备通过兼容的体系嵌入到零信任架构当中。因为很多企业在建设安全防护的时候,都是循序渐进的,可能经过多年的积累才形成的现阶段的防护体系,不可能一个新的概念或理论出现就全部替换掉。
因此企业更多的需求就是在原有的架构之上尽可能投入少量的IT成本,以达到快速明显的安全管理效果。当然,还有一类对安全需求非常强、并需要高度强制监管的企业,这些企业可能会需要一定的资金来彻底重构安全系统,整体还是要根据企业的实际情况出发。
安全牛评:
当前社会对信息化的依赖程度不断提高,网络安全已经成为必不可少的社会属性。身份鉴别与权限管理作为网络安全基础能力事关重大。一个良好的解决方案对国家、企业和个人都具有举足轻重的意义。九州云腾作为该领域的资深厂商,其思路与经验值得相关人士予以关注,不至于有遗珠之憾。身份安全作为企业安全的基石如同建筑的地基不可不慎,对于不同企业既要考虑应用场景又要考虑可扩展性,使用SaaS化方式将是一个良好的选择,围绕这个实施思路,本文分享了许多有益的观念,希望对读者有所启发与借鉴。