一文,教你打造员工生命周期解决方案
伴随着移动互联网、人工智能、云计算等技术的发展,企业的信息化建设增速,业务系统、员工规模不断壮大。企业渐渐从传统的本地架构向云端迁移,面临着人员流动性增加,所需应用系统只增不减、种类繁多的困境,身份信息管理成为一项不可忽视又十分繁重的工作。
作为管理层,你有没有遇到以下问题:
信息建设成本高:认证、鉴权均重复建设形成身份孤岛、打通困难。
安全风险高:离职员工权限清除不彻底、密码泄露、敏感数据丢失。
业务统一治理难:身份分散、业务绑定强、内部、外部用户如何精细化管理?
作为 IT 部员工,你有没有遇到以下挑战:
如何减少在管理用户账号方面的花费?
如何让员工及客户安全地访问企业系统?
如何防止离职员工仍能继续访问企业内部的系统?
如何对企业的应用系统进行审计?
如何自动化治理身份与应用之间的关系?
这些问题的根源在于——企业的员工身份系统分散在各个应用中,造成了信息的割裂,引发内部数据安全风险。同时,缺乏人才管理流程,增加运营成本。
本文将通过以下三个方面,详细介绍打造系统、实用、高效、安全的员工生命周期解决方案。
数据泄露带来的风险
统一员工数字身份解决方案
案例:元気森林
零信任成为数据泄漏的克星
近年来,企业数据信息泄露事件频发,企业数据安全岌岌可危。
2021 年 3 月,宏碁遭遇 REvil 勒索软件攻击,对方开出了赎金 5000 万美元。根据该组织公布的截图,入侵的数据包括财务电子表格、银行结余、往来信息等文档。
2021 年 4 月,Facebook 被曝有 5.33 亿用户数据遭泄露,涉及 106 个国家和地区,泄露的信息包括用户手机号码、名字、位置、出生年月日、电子邮件地址等。
2021 年 12 月,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,漏洞爆发 72 小时后,仅 CPR 传感器捕捉到利用该漏洞尝试攻击的行为就已超过 83 万次。
2022 年 3 月,京东到家程序员试用期被劝退,在离职当天,私自将即将上线的京东到家平台系统代码全部删除。
无独有偶,在 2017 年,全球第二大的开源代码托管平台 GitLab 内部的一位系统管理员,在给数据库做日常维护时,由于操作不慎对运行了数据库目录删除命令,导致 300GB 数据被删除,Gitlab 被迫下线。
别惹程序员,小心他“删库跑路”成为云计算行业内部梗。
数据的泄露,对企业造成的损失无法估量。
根据 IBM 安全公司第 17 届年度《数据泄露成本报告》(该研究在 2020 年 5 月至 2021 年 3 月期间考察了全球 500 家机构),数据泄露的平均成本已超过 420 万美元,同比增长 10%。就攻击的规模而言,有 14 家公司被确认遭受了重大的数据泄露,涉及 1000 多万条记录的泄露,造成 5200 万美元损失到 6500 多万条记录的泄露事件,损失 4.01 亿美元不等,损失范围涉及技术、法律、监管、员工生产力的损失、品牌资产和消费者损失等。
企业发现数据泄露的平均时间是 197 天,控制住数据泄露还需要平均 69 天时间。发现和控制的时间越久,产生的损失也越高。
根据 IBM 研究,采用人工智能、安全分析和加密技术是降低入侵成本的三大缓解因素,与那些没有大量使用这些工具的公司相比,它们为公司节省了 125 万至 149 万美元。采用混合云方法的组织数据泄露成本(361 万美元)低于采用公共云(480 万美元)或采用私有云(455 万美元)的组织。
VMware 国家安全战略家 Eric O'Neill 认为,2022 年将是零信任年,零信任方法将成为 2022 年抵御新型黑客工具、漏洞和网络攻击的关键因素和基础方法。
「零信任」的策略就是「不相信任何人」,除非明确接入者身份,否则将无法通过验证,进行下一步操作,Authing 正是零信任安全体系下身份安全基础设施的产品实现。Authing 面向数亿用户提供安全、伸缩和可靠的全场景身份云,通过持续认证、自适应安全,采用最新技术(诸如 OPA)来做安全管理和创新。
在安全方面,Authing 采用多租户加密、内部审计、强化的基础设施和运营控制、渗透试验、安全架构和团队和风控中台,打造值得客户信赖的服务。
员工生命周期(B2E)解决方案
根据美国最大通信运营商威瑞森最近发布的《2021 年数据泄露调查报告》:
85% 的数据泄露涉及人的因素;
61% 的数据泄露牵涉登录凭证。
由此可见,在实施数字化转型的过程中,企业对传统资源的数字化管理以及对资产的保护正面临巨大挑战,员工身份治理成为重中之重。
身份治理能够清晰地管理身份权限、定义访问策略,预判风险,使正确的人员能够在不同的场景下访问正确的资源,从而抵御潜在威胁,保护企业关键资产的同时,满足日益复杂的内外部审计需求。
通过安全可信的身份治理,企业能够有效提高内外部协作过程中的身份管理效率,降低和身份有关的安全风险。
有效的大规模治理需要对成员的身份生命周期进行系统化、标准化的管理。身份生命周期是企业或组织内人员的身份伴随其角色进行变化的过程。例如,业务权限会随着员工工作岗位的变化而变化,同时数字化访问权限也会相应发生改变。简单来说,就是企业为员工建立身份生命周期,并为员工在不同工作阶段的账号设定相应权限和访问控制。
员工数字身份治理主要有以下三个价值:
保障公司信息及业务数据的安全使用,保护信息资产安全稳定,加强内部人员规范管理
加强对内外部相关人员访问的软硬件资源进行集中管控,同时从管理制度、合规性、审计要求进行内部风险控制
减少重复建设成本,打造标准化、规范化、敏捷度高的身份管理平台,提高企业生产力
在整个员工身份生命周期过程中,都涉及数据。
杨国安先生提出“员工能力” 5B 模型,即招聘(Buy)、培养(Build)、保留(Bind)、淘汰(Bound)、外借(Borrow)。
招聘时企业需要给候选人发送面试通知、笔试题,招聘结束后如果候选人通过面试,企业需要给新人办理入职;培养涉及很多课程,不同课程对应不同岗位员工;保留涉及关键员工晋升、员工满意度的调查;淘汰涉及员工离职流程、文档交接等;外借类似外部专家、技术咨询,这需要一些内部资料,培训结束后也需要进行知识管理。
在整个过程中,企业经常面临如下挑战:
员工的入职、调岗、兼职、离职等,需要人工创建、删除账号;对权限、信息进行认证、变更,工作量较大,容易造成漏删、误删。员工账户又涉及正式员工、临时工、经销商、供应链伙伴等多种角色,大量的员工入职、离职的账户管理,对人力、IT 部门是一个极大的挑战。
内部应用系统众多,认证方式千奇百怪,每个系统都建立不同的账号、密码,员工难以都记住。同时,运维人员也难以实现用同一套系统,对所有人员的身份信息和同一人员的多维度字段信息进行集中安全管理。
缺乏统一审计,造成资源浪费和信息泄露隐患。
所以,企业需要构建数字身份「体系」,保障身份互联、数据互通等能力,让业务流转加速,提升企业整体效率。整合数字智能生态,通过整合企业内外部应用,实现数据、身份、业务的闭环,以「身份中台」为底座,通过「零信任」安全架构,加速企业数字化转型进程。
解决方案:
身份自动化:用自动化的账号生命周期管理代替手动式账号管理,人员入职-创建账号-选择部门-授权应用-授权角色-停用-离职-归档-删除,实现自动化生命周期管理。
统一用户管理:统一建立单一身份源,将身份中的属性信息同步至统一目录,向外输出唯一标准数据,便于管理。同时,Authing 统一目录支持对统一人员账户信息进行集中安全的存储和管理。
统一认证管理:Authing 在一个门户里集成了内外部多套业务系统(例如 C/S 应用、SaaS 应用等), 通过单点登录 SSO,用户只需输入一套账号密码,即可登录所有业务系统,无需在多应用之间频繁切换。
统一权限管理:Authing 提供统一权限入口、统一权限模型、统一授权、权限生命周期自动化管理、权限合规分析、权限画像等服务,帮助解决银行业当前身份权限管理面临的开通难、统一难、授权难、溯源难、查询难、回收难、监管难的问题,打造科学的权限治理体系,整合银行资源,实现用户、应用、设备、服务器、操作系统、 API 权限可管、可控和可视。
统一安全治理:Authing 搭建了风控中台及自适应决策引擎,在人员角色、受保护资源、访问策略、风险控制策略等方面,进行全链路安全审计,提升企业或组织数字化转型过程中的风险控制能力,大规模降低身份相关业务的受损风险。
另外,Authing 还通过可视化安全审计、多因素登录、密码管理、加密传输与存储,7 x 24 小时的安全应急响应,持续为企业和开发者提供完善安全的用户认证和访问管理服务。
案例:元气森林
元气森林通过对接 Authing API,快速创建了一站式的团队应用平台,通过集成系统,快速导入组织架构和所有成员数据,减少了因身份分散带来的安全漏洞风险,没有繁琐的、额外的开发设计,缩减了 80% 的研发时间和成本。
Authing 以身份为中心,为元气森林构建适应未来的用户管理体系和安全访问控制策略。通过自动化生命周期管理解决方案,可以智能实时地控制用户的不同访问权限。主要包括以下三方面:
通过突破性的单点登录技术,无需任何开发,快速助力元气森林实现员工一个账号密码登录所有应用,并统一管控身份权限。
通过与飞书产品层面的打通,为元气森林提供身份供应,实现基于飞书组织架构下的不同权限不同访问级别,节省运维人员 80% 的工作量。
为元气森林提供一站式团队应用平台,实现成员和集中管控访问权限,打造高效的办公方式,简化人事、IT 管理,加速企业成长。
“
元气森林商业化负责人表示:
Authing 打通飞书产品,为我们提供身份源能力,快速的部署及开发者友好,满足了我们现有和未来的需求,为我们节省了大量的研发人力、费用和周期,让我们将这些宝贵的资源更多应用在公司和客户上。
”
关于 Authing
Authing 是国内首款以开发者为中心的全场景身份云产品,集成了所有主流身份认证协议,为企业和开发者提供完善安全的用户认证和访问管理服务,是腾讯云原生加速器首批成员。
Authing 被科技部认定为「2021 国家高新技术企业」,被中国信息通信研究院评选为「国内身份管理与访问控制领域创新企业」。
2021 年 8 月,Authing 入选福布斯亚洲的“最值得关注公司”百强榜单,创始人谢扬也入选福布斯亚洲 30 Under 30。2021 年 9 月,Authing 作为独家身份供应商顺利入选中国信息通信研究院“卓信大数据计划”的第三批成员单位。
Authing 已为中国石油、国家电网、招商银行、日本丰田、德高集团、元气森林、PingCAP、Ubras 等国内外优秀企业打造了卓越的开发方式、高效的办公流程和安全的 IT 管理体系。
点击链接,立刻体验:
https://console.authing.cn/login?utm_source=WeChat1&utm_campaign=bottom&utm_term=202205122
版权声明: 本文为 InfoQ 作者【Authing 身份云】的原创文章。
原文链接:【http://xie.infoq.cn/article/37c10718889d16678779a4851】。文章转载请联系作者。
评论