九州云 -智能制造業(yè)的身份安全實(shí)踐

nn州己騰\ IDsM智能制造業(yè)的身份安全實(shí)踐案例九州云騰解決方案專家I祁志松IDsMIDsMPart1關(guān)于九州云騰n州n州W瞪IDsM關(guān)于九州云騰阿里云全資子公司,阿里云IDaaS應(yīng)用身份服務(wù)提供方北京九州云騰科技有限公司是一家專門針對(duì)云計(jì)算與移動(dòng)應(yīng)用的下一代統(tǒng)一身份認(rèn)證解決方案提供商，涵蓋了EIAM,CIAM,零信任，多因子等多種解決方案。公司專注于解決國家機(jī)構(gòu)、事業(yè)單位、各類企業(yè)機(jī)構(gòu)的員工、合作方以及其服務(wù)對(duì)象、客戶等人群在訪問私有云、公有云、內(nèi)網(wǎng)自有業(yè)務(wù)、互聯(lián)網(wǎng)及移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)等多種復(fù)雜應(yīng)用場景下的身份認(rèn)證及零信任安全問題。2019年11月，九州云騰被阿里云全資收購，現(xiàn)為集團(tuán)全資子公司，保持獨(dú)立品牌繼續(xù)運(yùn)營。

IDaaS:身份中臺(tái)n州Wn州W瞪IDsMcCb71州己騰IDsM0多因素認(rèn)證Eg細(xì)粒度動(dòng)態(tài)授權(quán)透明審計(jì)應(yīng)用門戶最小化授權(quán)：提供應(yīng)用、菜軋cCb71州己騰IDsM0多因素認(rèn)證Eg細(xì)粒度動(dòng)態(tài)授權(quán)透明審計(jì)應(yīng)用門戶最小化授權(quán)：提供應(yīng)用、菜軋數(shù)據(jù)的三級(jí)授權(quán)能力，支持反向授權(quán)(H多因素認(rèn)證：賬戶/密碼，PKI證書、0TP.指紋、面容等，支持實(shí)名認(rèn)證、實(shí)人認(rèn)證.支持金融級(jí)安全認(rèn)證能力，F(xiàn)IDO(WebAuthn)/IFAA等。單點(diǎn)登錄：支持SAML、JWT.CAS、OAuth等主流協(xié)議及應(yīng)用插件，通過身份聯(lián)邦實(shí)現(xiàn)單點(diǎn)登錄。認(rèn)證源：支持各類AD/LDAP.CA、釘釘掃碼、支付寶、企業(yè)微信等各類認(rèn)證源，提供插件化擴(kuò)展能力，滿足各類用戶個(gè)性化需求。撮作日志：用戶行為操作日志、■皿■作日志.統(tǒng)計(jì)報(bào)表：基于操作類型、肘閽等多靈度的統(tǒng)計(jì)分析報(bào)衰，以及相應(yīng)的圖表。AI分析：基于用戶行為的AI能力，通過用戶行為建立用戶的安全基線，當(dāng)行為偏離安全基線時(shí)，自動(dòng)融發(fā)預(yù)定的操作行為。賬戶中心：賬戶生命周期管理，打通上下游賬戶體系，消除身份孤島，一個(gè)賬號(hào)暢通所有應(yīng)用；統(tǒng)一各攘道的用戶，精準(zhǔn)識(shí)別會(huì)員身份。數(shù)據(jù)字典：支持自定義數(shù)據(jù)字典，靈活添加II性字段.通過屬性信息，實(shí)現(xiàn)用戶身份聚合，以及基于舄性的授權(quán)。靈活的注冊(cè)方式：支持多種注冊(cè)方式，如手機(jī)號(hào)、小程序、社交app等。并支持運(yùn)營商號(hào)碼認(rèn)證，安全便捷。賬號(hào)管理：提供孤兒賬戶、僵尸賬戶檢測(cè)功能，保障賬戶安全。統(tǒng)一門戶：針對(duì)用戶、管理員和開發(fā)者，提供統(tǒng)一門戶入口，可根據(jù)需求在三類角色中切挨.自助服務(wù)：豐食的用戶自助服務(wù)能力，包括慮碼修改、手機(jī)號(hào)變更、釘釘/微信賬戶綁定等，提升管理效率。個(gè)性化定制：支持個(gè)住化定制，通過配置即可修改文字、背景圖等；并提供API接口，可按需定制開發(fā)。靈活的授權(quán)能力：基于角色的訪問投制(RBAC)和基于■性的訪問控制(ABAC).動(dòng)態(tài)授權(quán)：基于用戶的設(shè)備、時(shí)間、位置、網(wǎng)絡(luò)、行為等，逬行綜合安全判斷，當(dāng)因素發(fā)生變化時(shí)，強(qiáng)制逬行二次認(rèn)證或鎖定賬戶。臨時(shí)授權(quán)：支持根據(jù)業(yè)務(wù)需菱，申浦臨時(shí)權(quán)限，滿足業(yè)務(wù)需求.IDaaS安全圖譜基于身份，構(gòu)建企業(yè)安全的新邊界人州己騰人州己騰、iDsMPart2解決方案和客戶案例n州Wn州W瞪IDsM數(shù)字化轉(zhuǎn)型，數(shù)字身份先行數(shù)字身份體系既是物理世界通往數(shù)字世界的鑰匙，也是用戶行走于數(shù)字世界的通行證，是在數(shù)字世界中兼顧效能和安全的護(hù)身符,是從訪問主體到訪問客體到訪問控制策略的全面立體性的安全體系。數(shù)字身份體系既是數(shù)字化轉(zhuǎn)型的必要條件，也是〃智能制造〃建設(shè)的重要基礎(chǔ)。(Cbn州(Cbn州W瞪IDsM客戶介紹業(yè)務(wù)的快速增長，以及行業(yè)壁壘對(duì)數(shù)字化平臺(tái)要求更高甲方是全球領(lǐng)先的新能源創(chuàng)新科技公司,其研發(fā)中心及生產(chǎn)基地遍布全球，企業(yè)員工約7萬名左右，年?duì)I收逾干億元，主營業(yè)務(wù)橫跨電力、能源、制造三大行業(yè),其能源業(yè)務(wù)穏居全球第一。需求分析 <Qdsisss高效協(xié)同引發(fā)的身份安全問題隨著新能源汽車行業(yè)的氣勢(shì)高漲，近些年客戶的業(yè)務(wù)和員工都大幅增長，內(nèi)部協(xié)同與外部協(xié)同越來越重要，在大型企業(yè)、跨區(qū)域、多地辦公的情況下，如何實(shí)現(xiàn)"在線的高效協(xié)同"是客戶面臨的也是必須解決的課題?，F(xiàn)有平臺(tái)無法滿足企業(yè)信息化安全

訴求，內(nèi)外員工的隱私隔離，權(quán)限

管控，數(shù)據(jù)防泄漏等問題

內(nèi)部協(xié)同人員流轉(zhuǎn)、應(yīng)用打通、協(xié)作便捷友

好性等，原有辦公平臺(tái)都無法進(jìn)行更多的拓展

0夕卜部原因行業(yè)發(fā)展前景好，市場規(guī)模占有高,

業(yè)務(wù)的流轉(zhuǎn)速度和員工的增長速度

快，推動(dòng)內(nèi)部的升級(jí)nn州W瞪IDsM建設(shè)從辦公平臺(tái)以及身份底座的基礎(chǔ)上，實(shí)現(xiàn)公司內(nèi)部工作方式的變革供應(yīng)商賬戶打通|通訊錄視頻含義辦公平臺(tái)統(tǒng)一身份認(rèn)證底座單點(diǎn)登錄統(tǒng)一認(rèn)證通訊錄同步AD-3AD-1AD-2AD-4?搭建一個(gè)高可靠，高安全，高可擴(kuò)展性的協(xié)同辦公平臺(tái)和應(yīng)用開發(fā)平臺(tái)；.提升公司的自動(dòng)化、高效化辦公水平，進(jìn)而實(shí)現(xiàn)公司內(nèi)部工作方式的變革；

供應(yīng)商賬戶打通|通訊錄視頻含義辦公平臺(tái)統(tǒng)一身份認(rèn)證底座單點(diǎn)登錄統(tǒng)一認(rèn)證通訊錄同步AD-3AD-1AD-2AD-4?搭建一個(gè)高可靠，高安全，高可擴(kuò)展性的協(xié)同辦公平臺(tái)和應(yīng)用開發(fā)平臺(tái)；.提升公司的自動(dòng)化、高效化辦公水平，進(jìn)而實(shí)現(xiàn)公司內(nèi)部工作方式的變革；選型流程第一梯隊(duì)協(xié)同平臺(tái)加入，安全是客戶最終落定項(xiàng)目的關(guān)鍵(Cb中國協(xié)同辦公平臺(tái)巔峰之戰(zhàn)(Cb+cQdn■州知IDsM底座能力底座能力安全保障從最開始的選型到P0C測(cè)

試結(jié)束，歷時(shí)5個(gè)多月如何確保本地?cái)?shù)據(jù)+云上

服務(wù)模式的安全性成為課題(Cb摸清數(shù)據(jù)流和主數(shù)據(jù)字段情況，最終使用流程和認(rèn)證方式。實(shí)施主要打通客戶的HR到工作臺(tái)、DLP的身份數(shù)據(jù)、拉通客戶工作臺(tái)服務(wù)的內(nèi)訪外網(wǎng)絡(luò)白名單、打通使用多個(gè)域身份登錄到釘釘工作臺(tái)、數(shù)據(jù)分批上線。(Cb摸清數(shù)據(jù)流和主數(shù)據(jù)字段情況，最終使用流程和認(rèn)證方式。實(shí)施主要打通客戶的HR到工作臺(tái)、DLP的身份數(shù)據(jù)、拉通客戶工作臺(tái)服務(wù)的內(nèi)訪外網(wǎng)絡(luò)白名單、打通使用多個(gè)域身份登錄到釘釘工作臺(tái)、數(shù)據(jù)分批上線。數(shù)據(jù)流、網(wǎng)絡(luò)邏輯單通、認(rèn)證流打通上線正式上線使用。項(xiàng)目規(guī)劃前期方案調(diào)研和驗(yàn)證相對(duì)完善，實(shí)施周期相對(duì)較短上開始實(shí)施準(zhǔn)備試運(yùn)行*3W上線使用2W L2W木6W1 : 23456 ： 78調(diào)研后小范圍試運(yùn)行。

解決方案■解決方案■網(wǎng)絡(luò)安全限制，打通限定通道(Cb辦公平臺(tái)客戶端無需任何改動(dòng)，通過Socks代理的方式，支持對(duì)各類公網(wǎng)業(yè)務(wù)的訪問互聯(lián)網(wǎng)區(qū)辦公區(qū)釘釘中心云辦公客戶端SDP安全網(wǎng)關(guān)方案說明1.企業(yè)內(nèi)網(wǎng)部署SDP服務(wù)。2.訪問釘釘中心云的流量，通過SDP服務(wù)進(jìn)行路由，企業(yè)外網(wǎng)防火墻只需開放來自于SDP服務(wù)的出方向即可。

客戶痛點(diǎn)1.釘釘云上服務(wù)依賴IP眾多（萬級(jí)）且動(dòng)態(tài)調(diào)整，防火墻手動(dòng)維護(hù)幾乎不可能。IDsM解決方案.JJiiDLP,保證數(shù)據(jù)不外露IDsM結(jié)合現(xiàn)有數(shù)據(jù)安全平臺(tái)，進(jìn)行適配聯(lián)動(dòng)本地機(jī)房云端服務(wù)本地機(jī)房O本地發(fā)送文件*釘釘客戶端端上顯示根據(jù)code進(jìn)行控制釘釘服務(wù)端?It?監(jiān)P1回調(diào)DLP集成組件?上傳文件 『0文件存儲(chǔ)信息?請(qǐng)用同步接口）返回actioncode企業(yè)IDC本地文件存儲(chǔ)OSS協(xié)議獲取文件SkyGuard?策略校驗(yàn)nn州W瞪IDsM解決方案?可信設(shè)備認(rèn)證登錄，保證合法設(shè)備合法身份客戶內(nèi)部定義7個(gè)域控為可信域，只有域控的PC才能夠使用釘釘客戶端IDP通過釘釘內(nèi)置瀏覽器請(qǐng)求特定地址獲取AD域kerberosToken0方案說明c提^kerberos；Token呼.登錄加域PC在加域PC打開釘:釘客戶端 :IDP通過釘釘內(nèi)置瀏覽器請(qǐng)求特定地址獲取AD域kerberosToken0方案說明c提^kerberos；Token呼.登錄加域PC在加域PC打開釘:釘客戶端 :企\||/|DC請(qǐng)求AD域認(rèn)證用戶通過域賬號(hào)1.依賴PC的域控賬號(hào)登錄。2.只要是加域PC,打開釘釘客戶端即登錄,用戶體驗(yàn)佳。AD域客戶痛點(diǎn)1.只允許合法的設(shè)備才能登錄釘釘客戶端，夕卜來設(shè)備以及個(gè)人設(shè)備都不能使用，做到設(shè)備和身份的管控。企業(yè)員工解決方案■高敏應(yīng)用IP地址圍欄/時(shí)間圍欄(Cb時(shí)時(shí)q)請(qǐng)選擇設(shè)置黑名單或是白名單 彎白名單黑名單請(qǐng)選擇每周啟用時(shí)段過濾的時(shí)間N周—周二周三周四周五周六周日請(qǐng)?zhí)砑訒r(shí)間段+添加iPSMba濾?白名單黑名單啟用白名單：請(qǐng)?zhí)砑覫P、掩碼，僅支持IPv4協(xié)議+添加痛點(diǎn):根據(jù)現(xiàn)有的業(yè)務(wù)安全規(guī)則，應(yīng)用需要只能從辦公室訪問，只允許在辦公時(shí)間訪問。能力：在網(wǎng)關(guān)上配置IP地址圍欄，限制訪問來源IP配置時(shí)間圍欄，限制工作日，早8晚9才可以訪問，可以靈活配置白名單和黑名單。價(jià)值：符合既有業(yè)務(wù)安全規(guī)則解決方案.用戶行為特征分析利用規(guī)則和機(jī)器學(xué)習(xí)，多維度為用戶建立賬戶行為模型，在可疑登錄時(shí)進(jìn)行阻斷。動(dòng)態(tài)更新,千人千面。對(duì)歷史數(shù)據(jù)進(jìn)行分析和學(xué)習(xí),刻畫和建立正常行為模型。O基本要素賬號(hào)名稱、常用IP、所在城市、常用瀏覽器、常用的軟件客戶端、登錄頻率、活躍程度、訪問協(xié)議、常用訪問時(shí)間段。?動(dòng)態(tài)更新隨著時(shí)間的變化，用戶環(huán)境的變化，可能用戶的行為有很大變化,原有畫像有可能失敗,就需要分析修正模型。

識(shí)別身份安全風(fēng)險(xiǎn)通過對(duì)用戶登錄行為進(jìn)行監(jiān)控識(shí)別并阻攔撞庫攻擊、腳本攻擊等針對(duì)平臺(tái)的身份進(jìn)攻，也可以識(shí)別出異常賬號(hào)訪問，并進(jìn)而發(fā)起更高級(jí)的安全認(rèn)證，確保每次訪問的安全。風(fēng)險(xiǎn)可視化管理員可以隨時(shí)監(jiān)控系統(tǒng)健康狀態(tài)，收到攻擊時(shí)接收到通知，并在風(fēng)險(xiǎn)解除后回歸狀態(tài)。風(fēng)險(xiǎn)可視化后，風(fēng)險(xiǎn)的發(fā)生不再無跡可尋，風(fēng)險(xiǎn)處理也更智能、方便?；谟脩?干人干面根據(jù)賬戶的歷史數(shù)據(jù)進(jìn)行不斷學(xué)習(xí)、不斷調(diào)整每個(gè)賬戶的關(guān)鍵參數(shù)統(tǒng)計(jì)畫像，包括常用IP、登錄地、常用設(shè)備和訪問時(shí)段等。因人施策，允許多樣的用戶使用習(xí)慣在系統(tǒng)中并行不悖。

上線效果打通限定網(wǎng)絡(luò)，數(shù)據(jù)本地化服務(wù)云化，全面提高協(xié)同效率同時(shí)兼顧數(shù)據(jù)安全上線前部員工和伙伴、供應(yīng)商無法高效協(xié)作，只能即時(shí)通訊和文件傳輸上線后內(nèi)部員工、伙伴、供應(yīng)商可在同平臺(tái)協(xié)作，包括姍會(huì)議等，PC端有設(shè)備、身份強(qiáng)控制，移動(dòng)端通過身份源系統(tǒng)認(rèn)證在新辦公平臺(tái)中可以一鍵登錄到應(yīng)用系統(tǒng)員工原協(xié)同平臺(tái)即時(shí)通訊 文件傳輸伙伴/供應(yīng)商供應(yīng)商通訊錄視頻令義賬戶打通I新辦公平臺(tái)統(tǒng)一身份認(rèn)證底座單點(diǎn)登錄統(tǒng)一認(rèn)證即時(shí)通訊開放平臺(tái)1認(rèn)證打通同步服務(wù)授權(quán)管理總結(jié)智能數(shù)字化轉(zhuǎn)型，身份安全和協(xié)同辦公是重要課題(