隨著業務上雲、生態協作等新場景的湧現,過往以防火牆為邊界的身份與訪問控制遭遇了新的挑戰,政務服務、企業營銷與公眾的觸點逐漸從線下轉為線上,升級身份與訪問體系尤為重要。
如何打通雲上與本地系統的身份體系,對內部員工和外部合作伙伴的賬號、許可權、行為進行統一管控;如何打破政企組織多個業務應用的資料孤島,建立全面的身份畫像,為使用者提供更加順暢和精準的服務?由騰訊安全聯合雲+社群打造的「產業安全專家談」第十三期,請到騰訊安全雲業務安全負責人周斌為大家解答以上問題。
周斌,資深網路安全專家,在黑產風控反欺詐方面有超過十年對抗經驗,主導搭建騰訊安全天御業務安全風險控制體系,有效助力行業及客戶解決所面臨的金融欺詐、營銷欺詐、有害數字內容傳播、身份欺詐等業務風險問題。
Q:什麼原因使原來的身份管控方法不再適用,讓企業需要新的身份安全的管控方案?周斌:隨著業務上雲和移動辦公的產生,過去的身份管控方式不再適用。過去企業辦公環境在同一個區域網內,可以用密碼、數字證書,或二者雙重認證,就可以保證安全。這就像保安看到工牌就能認證員工的身份。
但是在移動網際網路時代,尤其是像今年疫情期間,出現一個非常有意思的事情,是遠端辦公開始流行起來。員工可能透過不同的終端和不同的網路環境來訪問辦公系統,這裡就會產生BYOD(自帶裝置辦公)的需求,於是身份認證系統必須要支援手機、平板電腦、筆記本等多種不同的移動終端的認證。
第二方面,隨著雲興起以後,企業接入產業網際網路。過去,很多企業都是封閉的經濟體,接入產業網際網路後,每一家企業都會出現大量的合作伙伴,工作往來中合作伙伴也有訪問業務系統的需求。
既要實現員工在不同網路環境辦公,又要實現合作伙伴透過外網來訪問業務系統,那這個時候許可權控制的難度就比原來要高了。
Q:除了現實的需求之外,政策和法規上是否也對身份安全管控提出了新的要求?
周斌:在《等保2.0》等規範裡面,已經明確提出了多因子身份認證的要求。同時還有一些行業的規範裡面也明確提到,比如說去年能源行業已經明確提了,需要有相應的身份安全統一的模組能力,比如說多因子認證、賬號許可權、行為審計的統一集中化管理這樣的模組,所以在法律法規和政策的要求下,企業也會越來越有動力去建設身份統一管理這樣的能力。
Q:為了更好地防範內部人員操作不當和內鬼洩密造成的資料洩露風險,企業除了加強資料安全防護外,還可以做哪些工作?
周斌: 操作不當和內鬼洩密其實是兩個場景,第一是許可權分配不當,第二是內部的洩密。
我們在做員工身份和訪問控制的時候,必須有三個環節:賬號與許可權的梳理、訪問控制梳理,以及API服務的梳理。
對所有企業來講,要防範因許可權操作不當引起的資料洩露風險,許可權梳理是首先要解決的,同時也最難的問題。對於一個擁有幾千人甚至上萬人的大型組織機構來說,當企業擁有上千套系統的時候,是不可能有能力來進行實時維護的。尤其是在業務上雲之後,公有云、私有云場景混雜,員工用不同的終端來接入系統,同時還要處理和合作夥伴的業務往來,這種情況下對於許可權幾乎無法去進行運營管理。
所以第一步最重要的就是員工身份許可權要梳理清楚,而要把許可權梳理清楚,首先要對許可權進行集中化的管理。
第二步是當許可權集中管理了以後,需要進行許可權的審計。常規的審計裡面,會進行日誌的記錄,來了解員工在系統中的一些行為,從而在員工出現不當操作的時候起到報警的作用。但是它無法判斷進行操作的是否是員工本人,可能在高危操作進行的時候,本來擁有操作許可權的賬號已經洩露了。所以除了在前端進行身份驗證,還必須在這個環節裡面加入許可權審計模組,不僅要進行許可權的集中管理,更重要的是風控能力,當發現異常的時候及時阻斷,以及事後的回溯檢查。
另外就是除了操作路徑以外,對實時的業務流當中的一些許可權也是必須要去控制住的,比如說有些業務提供可呼叫的API,必須要在所有的路徑上面都跟現在員工的許可權去打通。因為當啟動這種API呼叫的時候,我必須要知道該員工是否有呼叫的許可權,一旦發現不具備呼叫許可權,必須要進行攔截。
Q:對於身份安全管控的第一步梳理許可權來說,您覺得現在有什麼更好的辦法呢?
周斌:傳統的許可權梳理辦法存在兩個問題,第一是工作量大,想要完全梳理清楚耗時耗力;第二個是維護困難,不可持續,如果許可權發生變動,整體都需要重新進行梳理。
我們建議的辦法就是把所有的許可權統一集中在一個平臺當中去處理。對於身份安全來講,它的第一步就是把許可權統一收攏,透過許可權梳理的模組把各種辦公系統或者運營系統裡面與許可權相關的模組,對接到身份管理中心裡面去。對接完成以後,只需要把企業所有的員工做一次許可權設定就可以了,如發生許可權的變更,透過與工作流自動化邏輯結合節省人工。建立身份管理中心,不僅方便以後維護,也便於審計跟管理。
Q:除了企業管理本身,對於企業產品的公眾使用者是如何實現一次認證,多點通行的認證方式呢?
周斌:身份認證的產品,我們稱為IAM,根據應用場景分為EIAM(企業員工身份管控)和CIAM(公眾使用者身份管控),那麼EIAM主要是針對企業的僱員跟他的合作伙伴,那麼CIAM主要是針對企業產品的公眾使用者,讓使用者可以透過一次身份認證,就能訪問企業提供的多種服務。騰訊身份安全管控解決方案在像廣東省數字政府專案的粵省事小程式,甚至包括中央部委的國家政務服務平臺微信小程式都在使用。
國家政務服務平臺微信小程式作為全國一體化線上政務服務平臺的總樞紐,直通31個省(自治區、直轄市)和新疆生產建設兵團,以及40餘個國務院部門的政務服務。為全國各地區各部門政務服務平臺提供統一身份認證、統一證照服務、統一事項服務、統一政務服務投訴建議、統一好差評、統一使用者服務和統一搜尋服務等“七個統一”服務。
騰訊安全IAM身份安全管控解決方案,作為小程式主體框架實現了政務系統環境與政務雲環境之間跨網路多系統應用的服務統一接入和管理,提高了各方應用服務匯聚效率,保障了疫情期間相關服務的快速安全接入。
Q:身份安全管控除了保障企業的資料資產之外,還能夠為企業帶來哪些收益?
周斌:因為我剛剛其實提到了企業裡面有兩個場景,一個是EIAM,一個是CIAM,隨著傳統的企業開始進入網際網路,業務產品的使用者裡面可能更多的就是網際網路的使用者。
以航空公司為例,目前旅客使用航空公司的app服務,和他在機場使用服務,這兩個場景之間的資料是不互通的,如果將這兩個場景打通,會衍生出很多商業價值。比如說如果我們知道使用者是已經瀏覽了航空公司獎品兌換或者促銷的頁面的時候,我們在機場就可以為他提供更具個性化的服務。
透過身份安全管控解決方案,將企業服務進行打通,那麼除了滿足企業自身身份認證集中管理的需求以外,還能延展到更好地去為客戶服務。透過建立更加精準的使用者畫像,為他提供更好的個性化的服務,幫助企業最終延展經濟價值。
Q:目前騰訊的IAM身份安全管控有哪些成功的實踐?未來我們在這一塊有什麼更進一步的計劃?
周斌:騰訊安全IAM現在已經是一個相對成熟的產品,我們在政府、廣電、交通、旅遊景區等行業都有大量的實踐。而且類似於像國省事、粵省事這樣的小程式裡面,我們已經擁有了數千萬的使用者和超過兩年的穩定運營的經驗。
疫情期間,騰訊安全聯合騰訊里約全力投入資源支援政務應急專案,IAM身份安全管控解決方案作為一體化的可信應用支撐框架,實現了國家政務服務平臺的防疫健康碼和跨省健康碼服務的統一接入,扛住了數千萬使用者的高併發訪問,保障了應急業務系統的穩定性和持續服務的能力,助力北京、湖北、黑龍江、重慶、廣東等20多個省市數億健康碼的互信互認。截止到3月底,健康碼累計亮碼超過16億人次,覆蓋近9億人口,累計訪問量破60億。
未來我們會把IAM跟企業的辦公做更加深度的結合,跟騰訊會議、企業微信更好地去整合,幫助整個的企業快速高效的進行身份安全管控,避免大量重複的開發。