应对混合办公,多场景下的企业身份安全管理一体化建设
2022-11-11
来源:安全牛
身份管理作为IT基础设施之一,一直与企业数字化业务发展深度耦合。随着十四五规划中“数字中国”建设进入实质性阶段,我国企业对于新一代身份管理产品和技术的应用需求变得更加迫切。
01 标签
身份管理,身份识别和访问管理IAM,DaaS身份目录即服务
02 用户痛点
1.云计算引发传统身份管理体系变革
数字化转型改变了企业的协作方式,分布式混合办公、业务上云、泛员工协作等趋势使接入企业的人员账号和终端安全面临着威胁,企业既有的身份管理建设无法满足数字业务应用需求。
2.用户对身份管理敏捷性及自服务有更高要求
我们应该都经历过这个场景:当登录企业邮箱或者OA办公系统时,忘记了密码,只能找回。但必须要联系管理员才能重置密码。不仅增加管理员工作量,用户体验也不够良好。除此之外,既有的身份管理系统也难以满足用户对一键登录业务系统、自主改密、绑定动态令牌等身份自服务需求。
3.业务应用及其他基础设施无法统一纳管
传统定制化方案以解决单点性场景需求为目标。但随着IT基础架构愈发复杂,国产化替换使企业内的底层架构发生改变,企业对IT资源的统一纳管需求更为迫切。
03 解决方案
宁盾MeConnect一体化身份方案遵循DaaS身份目录即服务技术路线,以标准LDAP目录服务为核心,将产品All in One,以一站式方案实现企业内身份、终端、应用、目录、网络等IT基础架构层的打通,覆盖内网、单云/混合云、云原生等场景,让身份管理基础设施能够支持企业业务快速发展。
对于以上企业痛点,MeConnect主要通过4个阶段解决:
01 建设混合身份目录
在企业业务发展中,普遍存在多套账号源并行的情况,一般称之为混合身份。对于企业管理员来说,将同时存在的多套独立账号进行统一管理非常困难,研发成本高昂,运维压力大。而对于用户来说,不仅要记住多套账号密码,还要定期执行更改密码的要求,增加了记忆难度,降低办公效率。
MeConnect方案会整合企业内部的混合身份,建立统一身份中心,为企业提供全场景的身份认证,如网络、VPN、堡垒机、虚拟化桌面、业务系统等。员工通过一个主身份即可通行企业内的业务应用,提高员工办公效率。
同时,MeConnect方案能够快速对接纳管企业微信、飞书、钉钉等移动社交账号,提高业务敏捷性。建设混合身份目录能打破账号信息孤岛,以及自动化管理人员账号的生命周期,减轻IT运维压力,提高运维效率。
02 确保全场景身份接入安全
建设好统一身份中心后,在需要身份接入(账号登录)的场景则需要解决身份安全的问题。通常企业都会面临以下问题:
远程办公接入问题:如VPN、虚拟化桌面、云桌面等,账号密码强度弱,长期不变等问题带来安全隐患;人员接入后权限一致或者需要管理员手动修改权限;接入终端的安全性无法保障。
有线/无线网络接入问题:终端类型混乱,BYOD、IoT设备难以管控;入网访客难以管理,无法追溯;无法做到接入后区分Develop、Office等业务权限;分支机构和总部之间脱节,缺乏有效的统一管理手段。
数据中心接入问题:服务器网络设备的登录账号分散,或同一账号密码多人共用;对设备进行的操作无法追溯,无法管控;高危操作无告警,设备管理权限无区分。
办公应用接入问题:应用系统间的账号密码不统一,需要管理多套系统的账号密码;没有统一的登录门户,多应用之间重复登录;管理混乱,上游身份源变更时,应用系统的账号需要手动变更。
MeConnect方案具备RADIUS认证、双因子认证MFA、网络认证及统一身份管理和单点登录SSO等多个产品能力,能够一站式应对全场景的身份接入安全。
03 泛终端准入控制
当企业内存在PC、BYOD 、 IoT等多类型终端接入时,接入的方式也是多样的,如有线 、无线、VPN、SD-WAN等,这时企业面临的问题包括:
终端种类和数量暴增,企业中存在大量未知终端,资产难以管理;
网络攻击始终严峻,企业面临安全威胁;
远程办公、业务上云趋势下使得边界越来越模糊,难以保证应用访问和终端接入的安全性;
各类哑终端、工控机存在私接行为,留下安全隐患;
缺乏有效的手段推广安全软件,数据安全得不到保障。
MeConnect针对性提出了桌面终端准入、哑终端准入、BYOD准入、泛终端桌面管理整体解决方案,在安全层面保障接入企业网络的终端安全性、合规性,有效避免攻击行为;在运维层面自动化资产识别、认证、管控,节省人力,降低运维成本;还可联合SSO模块,做到应用和网络统一准入。
04 提升身份管理及业务效率
这一阶段企业面临的问题包括:
本地、内网、云端、社交应用等多个身份混合并存,无法打通统一管理;
自研、商采业务系统增多,账号独立分散,打通成本高,重复登录降低效率;
人员入/离职/转岗等人事变动,账号、权限无法自动同步至业务系统,单独运维效率低;
用户修改、找回密码、解换绑令牌等操作增加运维人员工作量。
MeConnect方案可以根据上游系统内的人事变动(账号增删改)及时往下游应用新增、变动、停用账号及权限,有效减轻了IT运维的工作量,减少手动操作失误的几率。MeConnect还提供了用户自服务、自助审批、身份数据自动化的workflow工作流等特色功能来提高运维效率,也为业务协同、业务敏捷提供便利。
04 方案价值
通过人+端一体化身份融合管理,宁盾MeConnect一体化身份方案可以有效打破传统在目录、端、网络、应用、多云等场景下相对孤立的身份管理模式,可以帮助企业用户降低在目录服务和身份管理上的投入,包括采购成本、交付成本、运维成本、机会成本等,为企业构建更加高效经济的新一代身份管理体系。
05 用户反馈
宁盾MeConnect人+端一体化身份方案,为系统账号密码认证增加一层保护,保障办公安全;准入方面实现多分支机构统一身份认证及终端安全接入,支持访客、员工等多角色用户统一认证管理,实现基于用户身份的访问控制及上网实名审计,提升了内网安全基线,快速实现等保合规。
——某基金管理公司
宁盾MeConnect方案让WeWork进入中国后能快速响应国产化数字业务身份安全管理趋势,让办公更加方便快捷,效率提升。
——WeWork中国
采用宁盾多因素认证满足国家合规要求,对接企业微信以及ADFS,为用户提供高效、便捷、安全、稳定、舒适的身份安全服务。同时降低了IT管理成本,提升用户体验。
——太古可口可乐
更多信息可以来这里获取==>>电子技术应用-AET<<