关于身份与访问管理(IAM),中国的企业机构广泛采用的是4A(账户、认证、授权、审计)概念和平台。但传统的4A主要由内部控制和审计而非业务需求所驱动。因此,它无法完全解决因快速扩张的数字业务和严格的监管环境而出现的新兴使用场景。
随着围绕身份的安全威胁和攻击不断升级,这些挑战变得更为严峻。企业机构应演进为“身份优先”的安全策略,通过扩展IAM支持的业务范围,形成通用的安全控制面(见图1)。然后,企业机构应优先考虑国内支持标准协议及具有良好互操作性的工具和厂商,从而构建可组装的、敏捷的IAM架构。
图1:身与访问管理概览
明确IAM核心功能,梳理IAM技术需求
IAM项目可帮助正确的人员、机器和设备基于合理的原因,在正确的时间访问正确的资产,同时防止未经授权的访问。
IAM范围及核心功能包括:
IAM与中国本土概念和周边技术的关联
4A和安全运维堡垒机(SMBH)是在中国广泛采用的IAM概念和产品。
中国的企业机构一般采用4A概念,使用为符合企业风险和内部控制要求而设计的IAM产品。4A产品提供的集中式平台,结合了IGA、AM和用户认证的功能。
SMBH——在中国也叫做安全运维管理平台——是IT或数字系统运维的安全入口。对于在中国运营的企业机构来说,SMBH是一个常用的工具,可以帮助企业机构更好地遵守安全等级保护制度(MLPS)2.0中规定的特权账户访问管理和审计要求。
零信任网络访问(ZTNA)
安全和风险管理(SRM)领导者应了解IAM和ZTNA之间的依存关系,明确二者中哪一项,抑或是同时采用能更好地满足用户访问应用的需求。ZTNA通常的定位是代替VPN。拥有可以提供可靠身份和身份验证上下文的IAM工具是成功实施ZTNA的先决条件。SRM领导者应该优先考虑IAM,以提供身份认证上下文,特别是在具有众多SaaS应用和机器身份的现代环境中。
制定“身份优先”的安全战略及路线,以支持数字业务转型
IAM战略应被纳入IAM项目群。IAM的定位应该是数字业务的推动者,而不仅是一个安全技术项目。它需要持续和长期的投资,而不能作为一次性项目来对待。负责IAM的SRM领导者应该让利益相关者(包括IT部门以外的利益相关者)也参与进来,在符合业务优先事项和成果的前提下,定义“身份优先”的安全战略和路线。图二概述了IAM战略规划的基本步骤。
图二:IAM战略规划流程
在当今分布式IT环境下构建敏捷的可组装式IAM架构
中国的混合云采用趋势,以及新的IT方法(如DevOps、容器化、无服务器计算和微服务架构)的盛行,为IAM带来了新的挑战。传统的IAM架构和工具不够灵活,无法支持不断涌现的新兴使用场景。中国的SRM领导者应该转向一种可组装的、敏捷的IAM架构,并重新调整IAM工具选择的策略。以下两个问题尤其值得重视:
如果企业机构在IAM系统中用大量的定制化代码支持复杂的IT环境,那么由于成本和迁移的复杂度,他们很难将所有现有的IAM基础设施都换成现代化的基础设施。相反,他们需要利用现有的IAM投资,同时在新用例的驱动下增加新的、更智能的、更敏捷的能力。重要的是要意识到,IAM系统正在发生重大变化。它们需要更好的可配置性和可组装性能力,它们的设计要能跟上快速地变化和新的扩展,从而助力组织机构实现其数字化转型。
好文章,需要你的鼓励
生成式AI在电商领域发展迅速,但真正的客户信任来自可靠的购物体验。数据显示近70%的在线购物者会放弃购物车,主要因为结账缓慢、隐藏费用等问题。AI基础设施工具正在解决这些信任危机,通过实时库存监控、动态结账优化和智能物流配送,帮助商家在售前、售中、售后各环节提升可靠性,最终将一次性买家转化为忠实客户。
泰国SCBX金融集团开发的DoTA-RAG系统通过动态路由和混合检索技术,成功解决了大规模知识库检索中速度与准确性难以兼得的难题。系统将1500万文档的搜索空间缩小92%,响应时间从100秒降至35秒,正确性评分提升96%,为企业级智能问答系统提供了实用的技术方案。
存储供应商Qumulo发布多租户架构Stratus,为每个租户提供独立的虚拟环境,通过加密技术和租户专用密钥管理系统实现隔离。该统一文件和对象存储软件支持本地、边缘、数据中心及AWS、Azure等云环境部署。Stratus采用加密隔离技术确保敏感数据安全,同时提供任务关键操作所需的灵活性和效率,帮助联邦和企业客户满足合规要求。
中科院和字节跳动联合开发了VGR视觉锚定推理系统,突破了传统AI只能粗略"看图"的局限。该系统能在推理过程中主动关注图片关键区域,像人类一样仔细观察细节后再得出结论。实验显示VGR在图表理解等任务上性能大幅提升,同时计算效率更高,代表了多模态AI"可视化推理"的重要进展。