云原生企業(yè)數(shù)字化白皮書-派拉軟件

I云原生企業(yè)數(shù)字化白皮書云為數(shù)字化轉(zhuǎn)型啟動(dòng)強(qiáng)大引擎2云原生數(shù)字化平臺(tái)框架4云原生數(shù)字化場景實(shí)現(xiàn)7云原生數(shù)字化的安全合規(guī)與隱私保護(hù)12價(jià)值回報(bào)分析21云原生數(shù)字化平臺(tái)支持列表2311摘要發(fā)展的戰(zhàn)略重點(diǎn)，是驅(qū)動(dòng)業(yè)務(wù)增長的重要引擎。傳統(tǒng)數(shù)據(jù)中心因?yàn)榻ㄔO(shè)費(fèi)用高昂、運(yùn)維困難、技術(shù)迭代遲緩逐漸為很多企業(yè)拋棄。本文中的云原生企業(yè)數(shù)字化并不局限于狹義的云原生技術(shù)（如容器、DevOps），本白皮書意在通過利用云計(jì)算的優(yōu)勢，幫助企業(yè)快速敏捷推進(jìn)數(shù)字化進(jìn)程。同時(shí)，本白皮書對(duì)數(shù)字化云平臺(tái)框架進(jìn)行分析與思考，對(duì)數(shù)字化轉(zhuǎn)型場景、云安全與隱私保護(hù)、價(jià)值回報(bào)等方面進(jìn)行闡述，以期對(duì)22云為數(shù)字化轉(zhuǎn)型啟動(dòng)強(qiáng)大引擎2022年政府工作報(bào)告中，就“加強(qiáng)數(shù)字中國建設(shè)整體布局、促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展”等方面作出部署，國家印發(fā)的《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》也明確提出到2025年數(shù)字經(jīng)濟(jì)核心產(chǎn)業(yè)增加值占國內(nèi)生產(chǎn)總值比重達(dá)到10%，預(yù)隨著90后甚至00后的新生代員工，也即越來越多的數(shù)字化原住民走向工作崗位，企業(yè)無法再使用傳統(tǒng)管控的方式對(duì)員工進(jìn)行高效管理。企業(yè)需要?jiǎng)?chuàng)造便捷、高效甚至是“酷”的工作方式來吸引員工，發(fā)揮員工的潛力。在這種情況下，如何為新生代員工建立數(shù)字化工作平臺(tái)將成為企業(yè)的一大挑戰(zhàn)?；ヂ?lián)網(wǎng)的便捷和極致的體驗(yàn)深刻影響著企業(yè)的用戶，消費(fèi)者變得越來越挑剔，企業(yè)如無法提供極致體驗(yàn)的業(yè)務(wù)將很難獲得用戶的認(rèn)可。如何高效獲客？如何感知用戶體驗(yàn)？如何提供個(gè)性化客戶服務(wù)？這些都對(duì)數(shù)字化客戶提出了更33數(shù)字化時(shí)代節(jié)奏加快，業(yè)務(wù)發(fā)展日新月異，對(duì)市場需求的響應(yīng)不再是以月或季度為周期，而是以周、天甚至是小時(shí)為單位。作為業(yè)務(wù)支撐的數(shù)字化平臺(tái)如何快速調(diào)整又不影響客戶體驗(yàn)，成為企業(yè)快速響應(yīng)市場需極致體驗(yàn)成為數(shù)字化平臺(tái)必備的能力。云平臺(tái)充分繼承快速敏捷的設(shè)計(jì)思想，通過搭建所有應(yīng)用系統(tǒng)的載體，讓云上的應(yīng)用系統(tǒng)更具變革性。通過以云平臺(tái)為核心的現(xiàn)代化IT基礎(chǔ)架構(gòu)，企業(yè)可以有效提升應(yīng)用開發(fā)和交付效率，簡化員工的工作，讓員工聚焦業(yè)務(wù)創(chuàng)新和客戶服務(wù)，提升企業(yè)的市場響應(yīng)能力和競爭另外，云的租賃收費(fèi)模式可讓企業(yè)花費(fèi)少量的成本即可快速獲得數(shù)字化能力。比如，你可以在分鐘內(nèi)獲得云主機(jī)計(jì)算平臺(tái)，在數(shù)小時(shí)內(nèi)開通需要的SaaS業(yè)務(wù)服務(wù)。這些特性使得業(yè)務(wù)創(chuàng)新快速敏捷，同時(shí)也具有最小化試錯(cuò)代對(duì)于企業(yè)而言，通過云平臺(tái)實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型意義重大，無論是大企業(yè)還是中小企業(yè)都能在云上獲得最大的投資收益。尤其是對(duì)于中小企業(yè)，通過IaaS和SaaS云技術(shù)和產(chǎn)品，可以獲取以往只有大企業(yè)才擁有的計(jì)算資源，更應(yīng)該利用云技術(shù)實(shí)現(xiàn)最優(yōu)資源配置和最佳業(yè)務(wù)效率，把更多的精力聚焦在核心業(yè)務(wù)基于云原生的數(shù)字化，可以說是企業(yè)數(shù)字化轉(zhuǎn)型的最短實(shí)現(xiàn)路徑。44云原生數(shù)字化平臺(tái)框架盡管基于云原生的數(shù)字化有諸多好處，但云原生數(shù)字化并非是完美的，一蹴而就的。我們需要揚(yáng)長避短，充分發(fā)揮云帶來的優(yōu)勢，同時(shí)避免發(fā)生問題。企業(yè)可以通過SaaS應(yīng)用快速上線數(shù)字化應(yīng)用，比如人力資源管理、財(cái)務(wù)管理系統(tǒng)等，但這些業(yè)務(wù)系統(tǒng)都是不同的SaaS服務(wù)商提供的，每個(gè)應(yīng)用都是企業(yè)采用多家SaaS系統(tǒng)，不僅需要解決身份和權(quán)限的管理問題，也需要解決安全訪問的管理問題，對(duì)適當(dāng)?shù)挠脩暨M(jìn)行授權(quán)，用恰當(dāng)?shù)姆绞皆L問數(shù)字化但同時(shí)也加大了數(shù)據(jù)泄露的風(fēng)險(xiǎn)，安全管理工作顯得更加重解決眾多數(shù)據(jù)源的使用和管理問題，需要建立數(shù)據(jù)聚合和管理能力來保障數(shù)據(jù)55由于企業(yè)性質(zhì)不同，企業(yè)數(shù)字化需求也很廣泛，我們提煉了中小企業(yè)數(shù)字（1）IaaS/PaaS云基礎(chǔ)平臺(tái)云基礎(chǔ)平臺(tái)由云平臺(tái)廠商提供，國內(nèi)主要有華為云、阿里云、騰訊云、電數(shù)字化員工、數(shù)字化運(yùn)營、數(shù)字化創(chuàng)新等。企業(yè)可以借助各種SaaS應(yīng)用或低代碼開發(fā)平臺(tái)來實(shí)現(xiàn)這些場景。這些場景的詳細(xì)內(nèi)容將在后續(xù)章節(jié)進(jìn)行闡述。66（3）API/ESB數(shù)據(jù)交換平臺(tái)數(shù)字化應(yīng)用是獨(dú)立的應(yīng)用，采用SaaS或者基于IaaS開發(fā)。這些應(yīng)用之間的交互通過API/ESB數(shù)據(jù)交換平臺(tái)來打破應(yīng)用孤島，實(shí)現(xiàn)應(yīng)用之間的互操作性。本白皮書后續(xù)章節(jié)對(duì)業(yè)財(cái)管一體化場景有詳在云原生下，傳統(tǒng)數(shù)據(jù)中心的安全防護(hù)已經(jīng)交由云廠商負(fù)責(zé)，企業(yè)需要負(fù)責(zé)數(shù)字化應(yīng)用的用戶管理、訪問權(quán)限的管理。包含兩大部分：一部分是針對(duì)所有數(shù)字化用戶的身份和權(quán)限的管理，即身份即服務(wù)（IdentityasaService-IDaaS以及針對(duì)IT運(yùn)維人員的管理和審計(jì)，即特權(quán)身份管理。另一部分是對(duì)這些云原生數(shù)字化應(yīng)用的安全訪問，即零信任安全服務(wù)（ZeroTrustasaService-ZTaaS）。這部分詳見本白皮書的第4部分。這些數(shù)據(jù)的匯總和分析是企業(yè)重要的數(shù)字資產(chǎn)，也是數(shù)字化創(chuàng)新的基礎(chǔ)。在深77云原生數(shù)字化場景實(shí)現(xiàn)云平臺(tái)與業(yè)務(wù)場景的深度融合，為各行業(yè)注入了發(fā)展與創(chuàng)新的新動(dòng)能。從數(shù)字化場景實(shí)現(xiàn)來看，通常包含員工數(shù)字化平臺(tái)、企業(yè)數(shù)字化運(yùn)營、客戶營銷順應(yīng)新生代員工的互聯(lián)網(wǎng)化、快節(jié)奏的數(shù)字化時(shí)代發(fā)展，傳統(tǒng)管理模式已不再適應(yīng)企業(yè)高效管理需求，企業(yè)運(yùn)營模式需要不斷更新完善。借助數(shù)字化云平臺(tái)，進(jìn)一步賦能企業(yè)內(nèi)部管理，將企業(yè)內(nèi)的各個(gè)部門、組織都聯(lián)系起來，改數(shù)字化對(duì)企業(yè)的影響很大，辦公效率至少提升40在數(shù)字化辦公場景中，從員工數(shù)字化管理和服務(wù)開啟，從招聘、入職、轉(zhuǎn)在此基礎(chǔ)上提供安全的遠(yuǎn)程辦公、差旅服務(wù)、費(fèi)用報(bào)銷、課程學(xué)習(xí)、企業(yè)福利等能力。同時(shí)，擁有數(shù)字化員工門戶，統(tǒng)一員工身份管理，提供更安全便捷的多因子認(rèn)證登錄，并支持各種社交賬號(hào)一鍵掃碼登錄辦公，以及千人千面的門戶體驗(yàn)，做到對(duì)于員工體驗(yàn)和辦公效率的全面提升，如圖3-188云原生的員工數(shù)字化平臺(tái)將人力資源應(yīng)用、溝通協(xié)作工具、差旅報(bào)銷、學(xué)習(xí)考核等應(yīng)用進(jìn)行聚合，提供數(shù)字化員工門戶，實(shí)現(xiàn)安全快捷、隨時(shí)隨地在線提升員工的工作效率，將精力用于客戶服務(wù)和業(yè)3.2企業(yè)數(shù)字化運(yùn)營合同、收入、成本等數(shù)據(jù)。這些數(shù)據(jù)往往分別在多個(gè)數(shù)字化應(yīng)用中。比如，成本數(shù)據(jù)會(huì)分別在薪酬系統(tǒng)、差旅系統(tǒng)、采購系統(tǒng)等等。在業(yè)財(cái)管一體化中，解決傳統(tǒng)業(yè)務(wù)、財(cái)務(wù)系統(tǒng)相互獨(dú)立而出現(xiàn)的財(cái)務(wù)數(shù)據(jù)不準(zhǔn)確不及時(shí)、業(yè)務(wù)財(cái)務(wù)報(bào)表數(shù)據(jù)不一致影響決策經(jīng)營判斷、缺乏有效監(jiān)督、內(nèi)控風(fēng)險(xiǎn)等問題，將公司各提高信息錄入效率，降低差錯(cuò)率，增強(qiáng)業(yè)務(wù)、財(cái)務(wù)分析和管控能力，如圖3-2所示。同時(shí)，管理層可以隨時(shí)查看業(yè)務(wù)和財(cái)務(wù)數(shù)據(jù)，提升決策99對(duì)于中小企業(yè)而言，要定制化相應(yīng)業(yè)務(wù)系統(tǒng)及業(yè)財(cái)管一體化，周期長、風(fēng)險(xiǎn)大、執(zhí)行難，而云平臺(tái)提供基礎(chǔ)架構(gòu)能力，中小企業(yè)以“租用”形式使用，3.3客戶營銷精準(zhǔn)化隨著互聯(lián)網(wǎng)發(fā)展，官網(wǎng)、搜索引擎、公眾號(hào)、口碑等一系列客戶觸點(diǎn)越來越多。面對(duì)“無處不在”的多觸點(diǎn)、多渠道，傳統(tǒng)單點(diǎn)式、粗放式營銷方式不足以滿足企業(yè)營銷需要，多觸點(diǎn)的客戶管理與統(tǒng)籌成為現(xiàn)今企業(yè)開啟商業(yè)精準(zhǔn)借助數(shù)字化云平臺(tái)，可實(shí)現(xiàn)對(duì)于多觸點(diǎn)、多渠道的融合統(tǒng)一，解決多個(gè)觸點(diǎn)難以管理及營銷效果不明顯的問題，同時(shí)在客戶融合、客戶分類等方面具有對(duì)于中小企業(yè)而言，市場投入有限，無法像大型企業(yè)進(jìn)行大規(guī)模的市場活動(dòng)和昂貴的推廣，基于云平臺(tái)的數(shù)字化營銷，可快速實(shí)現(xiàn)客戶營銷的精準(zhǔn)化，云原生數(shù)字化營銷平臺(tái)不僅可承載眾多的營銷SaaS應(yīng)用，同時(shí)這些應(yīng)用之間還可進(jìn)行實(shí)時(shí)的數(shù)據(jù)同步。比如，通過電話、Web網(wǎng)站在生成線索，在將線索轉(zhuǎn)化為商機(jī)，進(jìn)一步形成合同和項(xiàng)目交付。這一系列的SaaS應(yīng)用需要通過API交換平臺(tái)實(shí)現(xiàn)應(yīng)用的互聯(lián)互通和數(shù)據(jù)交換，同時(shí)營銷3.4數(shù)字化創(chuàng)新面對(duì)越發(fā)激烈的市場環(huán)境，企業(yè)必須保持快速的應(yīng)用創(chuàng)新能力。而云原生數(shù)字化平臺(tái)架構(gòu)則為這種能力提供了條件，一改傳統(tǒng)應(yīng)用線下部署以及應(yīng)用部借助數(shù)字化云平臺(tái)，將各類SaaS系統(tǒng)和提供API服務(wù)等能力進(jìn)行聚合，提供API、SDK快速接入集成，助力開發(fā)者的業(yè)務(wù)系統(tǒng)快速上線并協(xié)調(diào)相關(guān)系統(tǒng)和基礎(chǔ)設(shè)施的深度集成，以高效穩(wěn)定的云基礎(chǔ)設(shè)施底座為開發(fā)者提供優(yōu)質(zhì)、安全的云服務(wù)保障，幫助開發(fā)者快速構(gòu)建云應(yīng)用，如數(shù)字化創(chuàng)新平臺(tái)賦予開發(fā)人員低代碼開發(fā)的“超能力”，無需編碼或通過少量代碼就可以快速進(jìn)行應(yīng)用程序的開發(fā)，解決現(xiàn)有SaaS系統(tǒng)無法滿足客戶需求的情況，幫助企業(yè)快速迭代創(chuàng)新以更好應(yīng)對(duì)瞬息萬變的市場發(fā)展需求。同時(shí)，利用平臺(tái)的API編排能力，將云應(yīng)用數(shù)據(jù)統(tǒng)一集成至客戶統(tǒng)一門戶，實(shí)現(xiàn)企業(yè)不同廠商、不同架構(gòu)、不同協(xié)議的應(yīng)用互聯(lián)互通，打破系統(tǒng)間“信息孤島”情況，提升用戶訪問系統(tǒng)的便捷性及企業(yè)的整體協(xié)同管理能力，助力企業(yè)數(shù)字云原生數(shù)字化的安全合規(guī)與隱私保護(hù)數(shù)據(jù)安全是構(gòu)建客戶信任的基礎(chǔ)，相應(yīng)安全保障工作也需同步開展1。在數(shù)字中國建設(shè)不斷推進(jìn)、數(shù)字經(jīng)濟(jì)穩(wěn)步發(fā)展的背景之下,數(shù)字化帶來的安全挑戰(zhàn)成為今年兩會(huì)的熱門議題，網(wǎng)絡(luò)安全也隨之升級(jí)為數(shù)字安全，安全合規(guī)與隱私保護(hù)愈發(fā)受到越來越多企業(yè)的關(guān)注。尤其是將應(yīng)用構(gòu)建在云上的企業(yè)，在云服務(wù)環(huán)境下網(wǎng)絡(luò)邊界部分消失，網(wǎng)絡(luò)安全防護(hù)難度升級(jí)，對(duì)于安全合規(guī)與隱私云平臺(tái)需要選擇滿足國際和國家標(biāo)準(zhǔn)認(rèn)證的云廠商，這些標(biāo)準(zhǔn)包括：ITSS信息技術(shù)服務(wù)標(biāo)準(zhǔn)符合性證書三級(jí)-云服務(wù)（SaaS云）、等保三級(jí)、云原生數(shù)字化安全保障并非只是云廠商的責(zé)任，企業(yè)也需要承擔(dān)自己的安操作系統(tǒng)和組件的安全修復(fù)。但是，云廠商無法得知企業(yè)的用戶、員工和業(yè)務(wù)的變化，因此企業(yè)自身需要對(duì)用戶身份、權(quán)限和訪問進(jìn)行及時(shí)到位的管理，并因此，從企業(yè)角度，應(yīng)當(dāng)著重從云身份安全管理、云安全運(yùn)維、云安全訪在云環(huán)境下，用戶或設(shè)備的身份信息都分散在各個(gè)SaaS系統(tǒng)、自開發(fā)系統(tǒng)中，企業(yè)在使用不同的SaaS服務(wù)過程中都存在由于身份信息的不同而導(dǎo)致的數(shù)據(jù)的不一致性，權(quán)限也不盡相同，企業(yè)需要在每個(gè)SaaS系統(tǒng)、自開發(fā)的離職員工不及時(shí)關(guān)閉賬號(hào)導(dǎo)致數(shù)據(jù)泄露。過度授權(quán)導(dǎo)致用戶可以查看超出應(yīng)有權(quán)限的數(shù)據(jù)，造成企業(yè)信息安全風(fēng)險(xiǎn)。另外，通過郵件或即時(shí)消息溝通身份和授權(quán)，往往會(huì)發(fā)生遺漏、錯(cuò)誤的情況，從而導(dǎo)致安全風(fēng)險(xiǎn)。2.身份和授權(quán)的工作量巨大每一位員工的入職、轉(zhuǎn)正、更換部門或升職、離職都需要在所有的數(shù)字化系統(tǒng)中進(jìn)行添加、變更、刪除、鎖定等操作。一位員工的變動(dòng)，管理員往往需要操作幾十個(gè)授權(quán)動(dòng)作。在一個(gè)1000人的企業(yè)，采用20個(gè)數(shù)字化系統(tǒng)的情況下，將會(huì)涉及2萬個(gè)數(shù)字身份及相關(guān)權(quán)限的管理，企業(yè)需要配備專門的安全3.身份數(shù)據(jù)治理隱患中國人姓名的重名率很高，在數(shù)字化系統(tǒng)授權(quán)時(shí)往往造成困擾，甚至導(dǎo)致錯(cuò)誤授權(quán)。另外，外部用戶或供應(yīng)商需要手工創(chuàng)建身份信息，在供應(yīng)商完成工作后往往沒有及時(shí)刪除用戶賬號(hào)和授權(quán)信息，導(dǎo)致安全4.應(yīng)用訪問體驗(yàn)欠佳由于多個(gè)數(shù)字化系統(tǒng)沒有統(tǒng)一的入口，員工和用戶往往無法方便地訪問所有的系統(tǒng)，需要反復(fù)登錄各種數(shù)字化應(yīng)用，用戶體驗(yàn)差，也不利于員工工作效要解決以上問題，需要通過云身份管理平臺(tái)IDaaS來管理所有的SaaS應(yīng)IDaaS通過與HRSaaS系統(tǒng)聯(lián)動(dòng)，當(dāng)員工入職在HR系統(tǒng)中確認(rèn)，員工身份數(shù)據(jù)實(shí)時(shí)同步到IDaaS系統(tǒng)中，IDaaS系統(tǒng)利用內(nèi)置的規(guī)則，自動(dòng)化開通員工相關(guān)的數(shù)據(jù)變更的情況下，如改換手機(jī)號(hào)，IDaaS系統(tǒng)將實(shí)時(shí)同步數(shù)據(jù)到所有與員工相關(guān)的數(shù)字化應(yīng)用中；當(dāng)員工離職時(shí)，在幾秒鐘內(nèi)即可完成所有賬號(hào)的鎖定，該員工將無法再訪問企業(yè)數(shù)字化應(yīng)用。這些自動(dòng)化的操作很大程度2.用戶身份和權(quán)限管理的可視化在IDaaS中，所有的用戶數(shù)字身份和權(quán)限將集中呈現(xiàn)。每一個(gè)用戶實(shí)體在哪些數(shù)字化系統(tǒng)中擁有身份和權(quán)限將一目了然。身份和權(quán)限的可視化不僅提升IT管理員的工作效率，也有助于企業(yè)進(jìn)行權(quán)限審計(jì)和管理，最大程度上避免3.云原生數(shù)字化安全性的增強(qiáng)IDaaS通過引入多因子認(rèn)證、基于用戶行為風(fēng)險(xiǎn)的安全認(rèn)證，能夠提升數(shù)字化業(yè)務(wù)的安全訪問。比如：用戶在北京登錄，隨后的1小時(shí)，又在新加坡進(jìn)4.用戶體驗(yàn)和工作效率提升全局訪問的能力，用戶只需登錄一次，通過IDaaS的用戶門戶即可訪問所有經(jīng)授權(quán)的數(shù)字化系統(tǒng)。另一方面，IDaaS提供用戶自助平臺(tái)，可以幫助用戶完成應(yīng)用訪問申請、個(gè)人信息修改、綁定訪問設(shè)備、綁定社交賬號(hào)登錄等操作，提5.安全合規(guī)IDaaS平臺(tái)幫助企業(yè)滿足國家和國際的信息安全法規(guī)。比如，通過采用IDaaS可以提升系統(tǒng)安全等級(jí)保護(hù)到三級(jí)水平，可以幫助企業(yè)的業(yè)務(wù)滿足《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》的合法合規(guī)要求，ID4.2云安全運(yùn)維云環(huán)境可以隨時(shí)訪問，不受時(shí)間、地點(diǎn)的限制，諸如操作系統(tǒng)、數(shù)據(jù)庫的具備訪問云環(huán)境的最高權(quán)限，云環(huán)境的特權(quán)賬號(hào)通常會(huì)被多個(gè)不同的用戶因?yàn)闃I(yè)務(wù)的需求所使用，例如運(yùn)維人員需要配置環(huán)境、部署應(yīng)用、運(yùn)維與監(jiān)控服務(wù)多個(gè)用戶使用同一個(gè)特權(quán)賬號(hào)訪問，如果期間有一個(gè)用戶誤操作導(dǎo)致系統(tǒng)異常，通過系統(tǒng)的日志只能夠獲得在某個(gè)時(shí)間段因特權(quán)賬號(hào)操作發(fā)生的錯(cuò)誤，而不容易定位具體是哪個(gè)用戶操作的，該用戶之前執(zhí)行過哪些操作？這些操作是否必須？如何確定用戶是否有權(quán)限執(zhí)行該項(xiàng)操作？在什么情況下可以？這些2.特權(quán)賬號(hào)管理隱患特權(quán)賬號(hào)與用戶在一對(duì)多的關(guān)系中，每個(gè)用戶在訪問的時(shí)候都需要知道特權(quán)賬號(hào)和密碼，密碼存在泄漏風(fēng)險(xiǎn)。有些企業(yè)會(huì)用數(shù)字證書，但也只是與終端設(shè)備進(jìn)行了綁定，終端設(shè)備如被別人使用，安全隱患將更大。特權(quán)賬號(hào)密碼定期更新的本意是加強(qiáng)密碼安全，但在多個(gè)使用特權(quán)賬號(hào)的用戶都需要知道密碼的情況下，密碼定期更新就變成了一種形式，泄漏的風(fēng)險(xiǎn)依然存在；另外，如果使用特權(quán)賬號(hào)的用戶發(fā)生工作或崗位變動(dòng)，特權(quán)賬號(hào)的安全隱患就更高了。如果企業(yè)在云環(huán)境中存在多個(gè)業(yè)務(wù)系統(tǒng)，用戶可能要記多個(gè)特權(quán)賬號(hào)信息，由于特權(quán)賬號(hào)的權(quán)限是共享的，用戶的訪問并非是最小權(quán)限，這就為誤操作、數(shù)3.訪問過程外部無法干預(yù)對(duì)于用戶在訪問云環(huán)境過程中執(zhí)行的操作，企業(yè)無法做到甄別該用戶并實(shí)現(xiàn)外部干預(yù)，直至該用戶操作后導(dǎo)致錯(cuò)誤事件的發(fā)生為止。例如，在運(yùn)維時(shí)誤操作執(zhí)行了強(qiáng)制重啟機(jī)器的命令，而這時(shí)剛好有系統(tǒng)寫入業(yè)務(wù)數(shù)據(jù)或其他用戶4.安全威脅造成惡性事故特權(quán)賬號(hào)信息本身風(fēng)險(xiǎn)比較高，如果出現(xiàn)誤操作可能給企業(yè)帶來巨大的損失。例如：惡意或操作不當(dāng)導(dǎo)致生產(chǎn)數(shù)據(jù)庫刪除，或者虛機(jī)的移除，都會(huì)導(dǎo)致要解決訪問云環(huán)境存在的問題，加強(qiáng)云環(huán)境的安全，實(shí)現(xiàn)對(duì)特權(quán)賬號(hào)的安區(qū)別于共享特權(quán)賬號(hào)，運(yùn)維管理員是有唯一身份標(biāo)識(shí)的，從訪問開始到訪問結(jié)束的整個(gè)過程可追溯。在運(yùn)維管理員訪問云環(huán)境前，平臺(tái)需要驗(yàn)證個(gè)人的用戶身份、操作的業(yè)務(wù)、有效時(shí)間范圍；在云環(huán)境訪問過程中，特權(quán)管理平臺(tái)切換用戶身份為特權(quán)賬號(hào)。整個(gè)訪問過程中的所有操作均可控、可追溯。2.特權(quán)賬號(hào)的安全管理特權(quán)賬號(hào)與密碼統(tǒng)一由平臺(tái)實(shí)行管理，用戶訪問與操作業(yè)務(wù)不需要知道特用戶要使用云環(huán)境中的業(yè)務(wù)虛機(jī)，選擇該業(yè)務(wù)虛機(jī)和訪問的時(shí)間段，以及要執(zhí)平臺(tái)會(huì)自動(dòng)為用戶完成對(duì)系統(tǒng)、數(shù)據(jù)庫的登錄，用戶直接執(zhí)行操作即可，執(zhí)行另外，當(dāng)有較多的云服務(wù)器時(shí)，定時(shí)修改密碼變成非常大的工作量。特權(quán)賬號(hào)密碼的定時(shí)更新由平臺(tái)根據(jù)密碼規(guī)則自動(dòng)完成并批量快速完成修改。3.訪問過程可視化用戶的業(yè)務(wù)操作來自平臺(tái)授權(quán)，執(zhí)行操作前平臺(tái)會(huì)驗(yàn)證合法性和時(shí)效性，并提供實(shí)時(shí)監(jiān)控，在用戶訪問過程中可實(shí)現(xiàn)及時(shí)中斷，以阻止危害的發(fā)生。對(duì)驗(yàn)證未通過的操作平臺(tái)會(huì)提供警示信息，用戶無法執(zhí)行該項(xiàng)操作。4.權(quán)限分級(jí)大多數(shù)情況下，用戶使用特權(quán)賬號(hào)并不需要所有的操作權(quán)限，根據(jù)用戶申請操作業(yè)務(wù)的不同，可實(shí)現(xiàn)操作命令的分級(jí)處理，不在授權(quán)范圍的用戶操作無效，并對(duì)同一時(shí)間點(diǎn)其他用戶在同一臺(tái)系統(tǒng)進(jìn)行監(jiān)控和統(tǒng)計(jì)，對(duì)于影響其他用戶操作的命令會(huì)對(duì)用戶進(jìn)行提醒并中止執(zhí)行，用戶不用擔(dān)心因操作失誤產(chǎn)生的風(fēng)險(xiǎn)問題，對(duì)運(yùn)維的體驗(yàn)有明顯提升。例如：對(duì)于刪除數(shù)據(jù)等危險(xiǎn)操作需要進(jìn)5.監(jiān)管與風(fēng)控滿足企業(yè)在監(jiān)管與風(fēng)控方面的合規(guī)性，許多法規(guī)都對(duì)特權(quán)賬號(hào)提出明確要4.3云安全訪問在云原生模式下，企業(yè)通常會(huì)有多個(gè)SaaS應(yīng)用、多個(gè)云廠商的IaaS，通常是一種混合云架構(gòu)。云主機(jī)在互聯(lián)網(wǎng)上面臨很多的安全威脅，例如從操作系統(tǒng)到應(yīng)用代碼的漏洞，開源軟件或軟件組件的0day攻擊等等。傳統(tǒng)訪問IaaS云需要借助于終端工具，例如VPN，而這種方式已遠(yuǎn)不能VPN包含終端軟件和服務(wù)端軟件，終端要建立與服務(wù)端的號(hào)和密碼，或者數(shù)字證書，作為網(wǎng)絡(luò)連接的身份憑據(jù)，VPN是先連接后認(rèn)證的然后用戶通過其他工具訪問IaaS云中的資源。如果用同一個(gè)VPN賬號(hào)和密碼在任何終端上同樣可以建立到IaaS云端的連接，這對(duì)IaaS云中的資源造成了2.VPN不具備細(xì)粒度訪問控制知道或者是否有權(quán)限訪問IaaS云中的資源無能為力，這就導(dǎo)致有網(wǎng)絡(luò)身份的用戶在訪問資源未驗(yàn)證身份前在IaaS云中可為所欲為，由于無法識(shí)別，整個(gè)3.訪問風(fēng)險(xiǎn)無法被識(shí)別如果終端不安全，會(huì)導(dǎo)致有風(fēng)險(xiǎn)的數(shù)據(jù)直接進(jìn)入到IaaS云中環(huán)境，服務(wù)資源的安全性得不到保障。例如用戶換了終端繼續(xù)工作，如果更換的終端環(huán)境是高風(fēng)險(xiǎn)的，而用戶的權(quán)限并沒有發(fā)生變化，這就很可能出現(xiàn)安全要實(shí)現(xiàn)云安全訪問，需要用到ZTaaS平臺(tái)來解決這些問題，從終端、互聯(lián)網(wǎng)連接，再到云端服務(wù)資源，可以滿足云安全訪問的需求。ZTaaS平臺(tái)能幫ZTaaS平臺(tái)能構(gòu)建端到端的安全訪問能力，從終端、用戶、到加密訪問通道、身份認(rèn)證、云資源的授權(quán)訪問等。零信任客戶端提供終端安全容器，對(duì)訪問設(shè)備進(jìn)行安全保護(hù)，提供安全加密鏈路對(duì)訪問進(jìn)行加密，在訪問過程中，不僅對(duì)用戶進(jìn)行身份認(rèn)證，同時(shí)也對(duì)訪問設(shè)備進(jìn)行認(rèn)證。對(duì)云應(yīng)用進(jìn)行訪問時(shí)，直接參與到應(yīng)用授權(quán)環(huán)節(jié)，從而保證了從設(shè)備到業(yè)務(wù)全程的基于零信任技術(shù)對(duì)業(yè)務(wù)系統(tǒng)的安全訪問，需要通過軟件定義邊界（SoftwareDefinedPerimeter-SDP）技術(shù)，實(shí)現(xiàn)在建立訪問連接前需要完終端會(huì)向服務(wù)端的的認(rèn)證服務(wù)發(fā)起單包認(rèn)證模式，終端不會(huì)收到任何響應(yīng)，直到服務(wù)端的認(rèn)證服務(wù)完成對(duì)來自該終端的身份驗(yàn)證后，才通知服務(wù)端的可信網(wǎng)利用零信任的網(wǎng)絡(luò)隱身能力，企業(yè)可以構(gòu)建基于公有云的私有安全數(shù)據(jù)中3.基于用戶行為的風(fēng)險(xiǎn)分析零信任訪問中，不僅僅依賴于用戶和設(shè)備的認(rèn)證。零信任通過訪問網(wǎng)關(guān)收集用戶訪問數(shù)據(jù)和訪問上下文信息，如常用設(shè)備、常用訪問地點(diǎn)、時(shí)間、設(shè)備用戶在任何情況下都需要保持最小權(quán)限的訪問，ZTaaS平臺(tái)在運(yùn)行過程中會(huì)采集用戶訪問期間在終端、網(wǎng)絡(luò)、服務(wù)器的可信網(wǎng)關(guān)、認(rèn)證服務(wù)、IaaS云中的資源服務(wù)等信息，如果發(fā)現(xiàn)環(huán)境有變化，結(jié)合IDaaS會(huì)自動(dòng)完成身份權(quán)限的價(jià)值回報(bào)分析云原生數(shù)字化的價(jià)值是多方位的，為企業(yè)數(shù)字化轉(zhuǎn)型在促進(jìn)業(yè)務(wù)、降本增