不破不立？身份安全管理要突破也要“传承”

访谈嘉宾：吴雪山

记者：张安媛

分析师：王剑桥

企业办公移动化、碎片化、分散化的发展特点给企业身份安全管理带来了新难题，密码登录、指纹识别、面部识别、统一身份认证、零信任理念等一系列方法和解决方案，让“如何证明我是谁”这个问题在技术层面的实现变得更加容易，但身份安全管理所面临的挑战绝不仅限于此。

第三方办公软件增多的形式下，多因素和多账号管理如何实现？AD类产品对移动化和云计算的支持力度不足怎么解决？信创用户怎样实现传统身份安全管理产品向信创产品的平滑过渡？安全厂商怎样做才能帮助企业组织建立起一个统一授权平台，直销百晓生 让身份安全管理的门槛变得“更低”、更加简单化？

本期牛人访谈我们邀请到了宁盾CTO吴雪山，针对上述问题一一进行了解答，并围绕现下安全厂商和企业用户在身份认证和权限管理所面临的难点、需求以及未来发展方向进行了探讨。希望能够为各位读者朋友带来更多关于身份安全管理领域的新思路和新方法。

吴雪山

上海宁盾信息科技有限公司，CTO，10余年网络安全行业经验，具有丰富的信息安全实战经验，参与CSA零信任标准制定、零信任产业标准工作组研制工作。带领研发团队完成了核心产品的研发及架构，包括MFA、终端准入、身份管理，确保产品稳定及快速迭代。凭借良好的研发思路及深厚的技术功底，帮助数千家企业搭建身份安全基础设施。

01

安全牛

您觉得身份安全的发展是一个怎样的过程？从您接触到的甲方用户来看，现阶段，他们在身份安全相关工作上遇到的困境都有什么？

吴雪山

我认为密码是身份安全管理最早、最具象化的体现，当时大概是上世纪九十年代，还没有对“身份认证”和“权限管理”进行明确的定义，但当时也是国内信息化建设和IT行业发展的关键时期；后来，随着信息化程度的加深，基于客户端、CS架构等类型的单点登录出现，身份验证问题也变得更为常见。

随后在2000年左右，以微软为代表的等类型的企业将网络共享、终端管理等需要独立部署的内容全部融入到了AD域之上，让企业的身份安全管理进入了新阶段。而2010年之后至今，云计算和移动化的快速发展又将身份认证和权限管理带入了一个新时期，网络变得更加碎片化，网络边界逐渐消失，衍生出了更多的新挑战，零信任等更多新理念和新方法也应势而生，这大概是我对于身份安全发展过程的理解。

那么企业用户所面临的困难其实也很明显，可以简单的概括为针对AD用户和其他产品用户的两类问题。

刚刚我们提到，早期微软在引入AD之后，很多企业在解决身份安全和权限管理问题时都选择了这种方案，但AD更多的是基于Windows PC端的本地的身份产品，如今这些企业中Mac、Linux等类别终端的数量很大，这让企业内部身份认证和管理面临着很大的困扰，同时，AD对云计算和移动化的支持力度也非常有限。

举个例子来说，使用AD管理的企业，企业内一个非微软终端的账户要想修改登录密码，这样一个简单的要求必须找到管理员才能完成，不能自行处理。而用户希望通过诸如手机号认证、邮箱认证等更加移动化的方式来自行修改。

除此之外，现在业务云化，很多员工需要通过钉钉、企业微信、飞书等多种第三方应用上进行工作，这就涉及到了多因素认证和多账号管理，企业组织需要一个面向“云大物移”的全场景解决方案，以支持多种类身份基础设施下的业务发展需求，而这个问题是AD用户和非AD用户均面临的难题。

还有一类信创类用户企业，这类企业之前使用的身份安全管理产品可能也是基于AD等其他解决方案，现在想要进行国产化发展，转变为信创类的国产操作系统，广州房评这就涉及到迁移和过渡的需求，如何平滑的迁移、尽可能少的减少业务改造的工作，则是信创企业用户所面临的挑战。

02

安全牛

既然聊到了痛点，那就不能不说解决办法，您在身份安全管理领域经验丰富，您认为上述这些问题该如何解决？

吴雪山

其实这个问题也是我们作为身份安全厂商重点发展，重点解决的问题。对于AD类用户，安全厂商现阶段的做法是增加AD补充项目，比如我们建立一个用户中心，这个用户中心可以实现很多针对身份相关的操作，比如登录、重置密码或手机号变更等内容，更加的移动化和互联网化。其次，安全厂商增强了AD对于第三方应用的支持力度，将单点登录、MFA多因素认证、多重身份管理等全部打通，以此来降低AD的局限性。

针对信创用户，要想实现身份管理服务的平滑迁移，就要求安全厂商在对身份服务目录进行重构时，既要兼容微软体系又要满足信创体系，所以整体来说，我们应该以“中立和开放”为核心，满足信创用户在身份层面、应用层面以及终端层面的整体需求。具体实施上，可能是在国产操作系统上添加插件，使它能够实现统一的控制。

当然还有一些发展更快、更为“开放”的企业组织，他们可能不选择AD或其他产品，这些企业组织没有基础设施，一切业务和工作都是基于云的，这些用户可以直接选择云端身份安全解决方案。

03

安全牛

您在讲身份安全的发展历程时，提到了AD的局限性，既然如此，我们为什么还要想办法增强AD的能力，而不是舍弃它呢？

吴雪山

因为目前国外对基于零信任理念的发展和改造进展比国内快很多，这一差异是因为国外的疫情控制的比国内差很多，所以国外对于碎片化边界安全管理需求程度的要求要远高于国内。这也是微软为什么最近把Office 365更名为Microsoft 365的原因，微软这项举措其实就是为了增强AD在云上的能力，降低传统AD的局限性。

但因为国内疫情控制的很好，虽然对于移动化和云化的要求也在提高，但相较国外还是会慢一些，所以国内的企业组织在很长一段时间之内还会维持一段依赖传统AD等类型身份安全管理服务的模式，因此在现阶段内，我们需要做的不是舍弃AD，而是增强AD，并不断增加自身在云环境下、碎片化要求更高的情况下市场所需的新的技术能力。

04

安全牛

我们回到身份安全管理的问题上来，宁盾提出的“全场景标准化”身份管理理念，对于解决上述企业组织所面临的痛点有什么意义？全场景具体指什么？标准化又是针对什么的标准？

吴雪山

什么是全场景呢？要回答这个问题，我认为应该首先要思考我们应该怎样看待身份安全厂商，身份安全厂商的“边界”在哪里？

有些身份安全厂商只做账号分发、账号责任查改等加强身份治理的能力，甚至连认证因子也不做，因为他们认为这不是身份安全的“管辖范畴”；但对比之下，有些身份安全厂商甚至会做到API网关，API网关与身份安全管理有关系吗？细究之下，是有的。这就是我们说的安全厂商的“边界”。

而国内身份安全厂商的边界，应该要解决的场景问题应该包含以下几个：

首先，就是身份认证的问题，即“证明我是谁”的问题，这个是最基础的，很好理解；其次，就是应用和应用权限的问题，很多身份安全厂商只关注身份安全服务目录本身，但是对企业组织与应用的实际对接问题并不关注，但这是很重要的部分；其次，就是对终端的管理。虽然说在身份认证的层面来说，可以证明用户本身很安全，但是用户的所有操作都是在终端上完成的，我们不仅要证明人是一个通过认证的“合法人”，也要证明终端是一个“合规终端”。

另外就是标准化，我认为这个标准化可以从两个方面去理解。其一，身份安全厂商应该助力行业更好的推进一些已经存在的像SAML这样的针对单点登录的协议，同时，像LDAP这样的应用较为广泛的协议，它可能更适用于相对传统的内网环境，但是随着实际应用场景不断朝着SaaS化、B/S化、云化发展，更适用于这些发展特点的如SCIM等协议，需要身份安全厂商共同去推广使用，进而让协议层面的标准化不断加强。

企业组织面对的实际场景越来越多，越来越复杂，举例来说，很多企业需要一些基于零信任场景下或是API网关场景下的支持，身份安全厂商可以针对一系列的场景制定标准，形成一定的规范。以上便是全场景标准化的内容，我们希望通过这个理念形成更加便捷、有效的管理效果，为企业用户在实际场景下的身份安全管理提供有力支持。

05

安全牛

您认为未来身份安全领域的发展特点如何？原因是什么？

吴雪山

国内的很多企业组织对于身份安全管理存在一个“很重很繁琐”的偏见，因为企业组织复杂，需要解决很多场景化的问题，所以如何把身份认证变得更敏捷是企业用户的迫切需求，也是行业未来的一个重点发展方向。

举个例子，网易企业邮箱是个SaaS服务，但是使用它的企业用户又是针对企业内网的，很少有企业能够将AD身份直接放到公网上去，所以在实际使用时要在网易邮箱上再增加一套身份安全账号，以避免直接把IP映射到公网上去，这种情况其实导致了SaaS身份和企业身份的割裂，这就是很多企业组织认为身份安全管理繁杂的原因，同时也是未来业务云化加深所必须要面对的问题。

而在用户的角度，其实并不关心基础设施如何搭建，目的效果如何实现，用户更想知道自己的业务如何发展，在采取了相关举措后是否实现了企业组织身份安全管理目标,用户希望有一个统一的授权平台，能让企业组织更方便灵活的去定义一个数据链路。其实要实现这一目标，依旧离不开我们上述提及的标准化建设。

即当我们在为用户解决一些复杂场景问题时，能够不断累积功能开发和技术经验，建立一套固定场景下的标准，这样，在遇到同类场景难题的企业组织时，我们就可以通过一些低代码或无代码引擎的配置方式去实现复杂场景下的身份安全管理，而无需进行复杂的开发工作，进一步降低身份安全管理的门槛。当然这个标准的建立需要时间，但我相信，在市场需求的催动下，这个目标肯定会实现。

安全牛评

基于AD域的身份访问控制是诸多企业进行身份安全和权限管理的方案，这种方案相对简单而且逻辑清晰易于上手。然而AD具备自身的局限性，首先，AD域是基于Windows系统的管理手段，对于其他平台系统不具备使用能力。另一方面，随着业务复杂性的提升，这种简单的管理手法将难以匹配。

然而基于AD域的身份访问控制技术是不能抛弃的，这与当前主流的操作系统是Windows有关，因此在很长一段时间不能舍弃AD域。这就需要我们不断完善这一技术，形成有历史沿革的身份访问控制技术。

企业在做身份安全建设选型时，需要考虑自身业务特点、资产形态、人员构成等因素，平衡身份安全产品的易用性和安全性。而随着企业业务场景复杂度的提升，如何减小身份管理产品的复杂度和规则爆炸问题，也是身份安全厂商将要关注的重点。