以人为中心的身份管理不仅是企业数字化转型基础设施,更是零信任安全的核心支撑点。

在10月11日Gartner最新发布的《2022年IAM规划指南》中指出,安全和身份是业务生态系统的重要基础。企业组织应该创建一个灵活的IAM架构并联动其他功能以满足不断变化的组织需求。在2022年IAM关键趋势中,企业要想跟上不断变化的IAM需求,关键是发展一个更安全、更有弹性、可组合和分布式的IAM基础设施。

 宁盾AM7:新一代IAM,应对新技术和信创带来的企业身份管理挑战_SSO

图源:Gartner《2022 Planning Guide for Identity and Access Management》

2022年IAM技术规划趋势框架:

(1) 随时随地连接网络的计算技术将进一步推动对智能访问控制的需求;

(2) 提高所有用户的用户体验对于安全数字业务而言至关重要;

(3) IGA功能将演变发展,使去中心化的体系结构成为可能;

(4) 对不同类型的共享密钥、证书及终端需要更多关注;

(5) 混合云和多云环境将推动现有的IAM架构的维护及变革;

(6) 新应用和应用程序接口将需要利用最新的IAM开发指南。

 

聚焦国内,影响中国企业身份与访问管理(IAM)发展的几个因素:

(1) 云计算、物联网等新技术的运用;混合云及多云的基础架构;BYOD/IOT等逐渐增多的泛终端接入企业网络;云和SaaS的应用普及等,使企业对于身份安全需求日益迫切;

(2) 企业对于实施零信任安全框架保持积极态度,而一个强大的身份管理体系是企业实施零信任战略的前提。传统IAM实施周期长,大部分企业缺乏IAM成熟的咨询和实施经验;其次自行研发身份管理面临研发人员流动和换岗带来的运维风险,三是中国企业身份管理面临着与国外迥异的新兴场景,如企微、飞书、钉钉等社交办公软件的广泛应用,国产化趋势、信创体系等新场景,让中国企业对IAM产生更多诉求,敏捷、灵活的IAM产品成为刚需;

(3) 移动办公对于身份认证体验及去中心化自服务能力要求提升,传统中心化IAM无法适应;

(4) 《网络安全法》《信息安全技术网络安全等级保护要求》(简称等保2.0)等法律法规陆续出台,实战攻 防演练常规化,企业遭遇的网络攻 击中超25%为弱口令攻 击……企业身份安全管理形势严峻;

(5) 信创国产化,国产身份目录加快进程。

 

在此背景下,宁盾推出新一代IAM解决方案——宁盾AM7,以全场景、标准化为特性,帮助企业应对混合云及多云架构、移动办公场景、物联网技术、国产化信创带来的身份安全管理挑战。

宁盾AM7标准化体现在支持的场景丰富且对接灵活,以减少企业身份标准建设过程中的开发投入。操作界面更友好,方便企业IT人员快速上手。宁盾AM7全场景、标准化的优势体现在以下四个方面:

1) 降低企业实施IAM的门槛,缩短交付周期,纳管更多场景,节省安全投入成本;

2) 自服务功能,减轻运维人员工作量;

3) 解决国产化操作系统、服务器等适配问题;

4) 优化操作流程,提升用户体验。

 

宁盾AM7产品能力框架

宁盾AM7:新一代IAM,应对新技术和信创带来的企业身份管理挑战_SSO_02  

宁盾AM7旨在解决企业用户身份、终端、应用的管理和安全问题。在Windows时代,微软分别通过AD、组策略、ADFS分别将人、端、应用资源收集到Windows Server上统一管理。随着手机(BYOD)、Mac、Linux等设备在企业应用日趋广泛,Windows Server/AD尚未把非微软产品纳入管理。宁盾AM7弥补和延展AD在新场景新技术下的不足,以满足目前的身份管理需求。AM7主要包含三个核心能力:

能力1:身份与访问管理IAM

  • 应用单点登录
  • 动态密码/MFA
  • 密码自服务
  • SaaS调用企业身份

能力2:网络准入管理NAC

  • 网络接入和认证
  • 资产发现和安全评估
  • 准入控制

能力3:国产目录服务NDS

  • 身份源
  • 账号的生命周期管理
  • 国产操作系统UOS、麒麟加域管理
  • 企业微信、飞书、钉钉的账号同步
  • AD/LDAP兼容

宁盾AM7客户定位

宁盾AM7:新一代IAM,应对新技术和信创带来的企业身份管理挑战_IAM_03


1. 高增长创新型企业:

这类企业面临的身份管理问题:

  • 云上业务系统众多,各系统无统一用户源,账号、密码混乱,每个业务系统要单独维护管理账号生命周期。
  • 业务系统需要公网访问,既要确保账号登录安全,又要保证统一登录入口。
  • 身份系统选型,若用AD则会面临移动化扩展问题,而采用其他产品对现在和将来的业务场景兼容性如何未知。

过去,创新型企业,尤以科技或信息技术类公司为代表,身份管理建设的经验和准备不足。身份管理建设以免费开源的OpenDJ或OpenLDAP为主,其他场景则用开源系统独立开发,如用Google Authenticator作为MFA,用CAS开发单点登录功能。独立研发工作量巨大且伴随着极高的运维代价,人员流动,专业运维人员缺乏导致后续运维不善。身份管理未经完善规划,企业快速成长时被身份掣肘。

宁盾AM7为高增长创新型企业提供All In One的解决方案,为企业搭建统一身份平台,管理业务系统的身份,确保账号、密码、生命周期和权限的一致性。通过SSO统一业务系统入口,在SSO上实现多因素身份认证,提高系统访问安全性,并兼容AD协议和数据结构。云和本地身份统一管理,帮助企业节约管理成本,防止企业快速成长时被身份管理拖后腿。

 

 宁盾AM7:新一代IAM,应对新技术和信创带来的企业身份管理挑战_NAC_04


2. 中大型企业:

中大型企业通常部署了微软AD,而AD在口令安全、泛终端准入等场景面临能力不足等问题:

  • AD口令安全,AD缺乏MFA能力;
  • 企业提出AD范围外的需求,如单点登录、账号自动管理、社交应用身份整合、自服务等;
  • AD支持LDAP协议,许多新型应用采用SAML2.0、OIDC、OAuth2等协议,AD无法支持,因此这些新型应用以及SaaS微软AD无法很好兼容;
  • AD无法很好对Mac/Linux终端、BYOD/IoT等泛终端做认证准入;
  • 快捷认证:借助于微信、钉钉、飞书的无密码认证等。

中大型企业采用AD解决身份管理问题,但国产化趋势、新技术与社交应用的普及,客户和服务商需要自行开发或寻找第三方补全AD能力。宁盾AM7通过MFA和准入补充边界安全,延展AD在移动化、云计算等新技术下的能力,让AD更好用。

 

3. 信创客户:

国产操作系统覆盖的企业,如政府单位、金融、央企、国企,它们在身份管理上面临着:

  • 身份:员工身份信息保存在AD,并基于AD域身份登录终端设备;
  • 应用:基于AD域身份信息登录企业业务系统;
  • 端:合规终端需要加入AD域;
  • AD部署在Windows Server上,终端、服务器将由麒麟、统信等国产操作系统替换,企业无法继续使用AD,那么企业对身份、应用、端的管理将如何?

宁盾AM7内置国产身份目录服务,可兼容AD数据结构和协议,大部分应用可沿用AD的对接方式,不产生改造代价。提供从AD迁移数据的工具集,保障平滑过渡。增强安全合规能力,如单点登录、基于国密算法的多因素认证。统一的终端管理能力:基于国产目录的登录认证、终端合规准入等。

宁盾AM7作为全场景、标准化的企业身份管理基础设施,为创新型科技企业新建IAM体系,轻开发、轻运维,一站式解决身份安全管理问题。为中大型企业/AD用户延展AD在新技术场景下的能力,让AD更好用。为信创客户,如政府单位国产操作系统提供统一登录管理,兼容微软AD,无缝衔接业务系统,并对终端进行合规检测与准入控制。

宁盾AM7,新一代敏捷的身份识别与访问管理基础设施,致力于成为企业数字化转型,迈向零信任安全的助力者。