400-8300-246

新闻动态

全面、成熟、精细丨BingoIAM产品发布会全回顾

IT大白 / 新闻动态 2024.11.07

2024年10月24日,品高软件旗下品高企业身份管理平台(BingoIAM)产品发布会于线上举行。

在这场演讲中,品高云应用平台部夏萌为大家讲述了BingoIAM一体化零信任安全解决方案如何为企业提供全方位的安全防护,以及它如何作为企业应用基座发挥重要支撑作用。



BingoIAM不仅是一个产品,还是品高对身份安全深刻理解的结晶,更是企业数字化转型的有力支撑。我们拥有坚定的信念,要为客户打造一个安全、智能、高效的运营环境。

以下是本次发布会演讲全文回顾,与您分享。

零信任到底是什么样子?——没有标准答案

“零信任”这个词在网络安全界火得一塌糊涂,国家在制定“十四五”网络安全规划时,把零信任作为技术发展和产业增长的关键点,其影响力和热度都不容小觑。



由于零信任的核心理念与IAM的核心功能高度契合,所以IAM身份管理厂商也都纷纷推出了零信任系列产品。只要满足零信任所定义的三条原则:总是显性验证、使用最小特权访问机制、总是假定入侵,就可以被界定为是零信任产品了。

但是这三条原则涉及到很多个方面,包括多类型的身份认证、精准细致的访问授权、办公设备的管理、解决网络隔离架构的安全访问以及数据保护等等问题。

在这种情况下,不同的身份管理厂商在实现零信任的时候,就会有不同的技术路径选择和功能偏重点。这其实很合理,因为零信任没有一个统一标准答案,每个公司面临的挑战和需求也不太一样,需要的解决方案也会有一定差异。

然而,如果企业想要把零信任真正落实到位,光靠技术实现是远远不够的,还需要网络厂商、身份管理厂商、应用厂商和企业本身这四方的长久配合,这样零信任的理念才能真正落地,给企业带来实实在在的安全保障。

 01 零信任,不应该只是一个抽象的理论

相信通过以上视频的演示,大家应该对品高零信任解决方案有了一个初步的认识和感受。在我们看来,零信任不是一个孤立的产品就能搞定的,而是需要通过逐步演进的过程来构建一个全面的安全体系,并将其与基础架构及应用开发紧密融合。

然而,零信任不应该只停留在抽象的理论层面,客户需要的仍是一个承载了零信任理念,又能看得见、摸得着、快速落地见效的产品。比如说最终用户使用的客户端,就像刚刚视频里的浏览器一样,它就是零信任的具体体现。



品高专用浏览器是按照零信任理念进行专门设计的,里面整合了水印、加密磁盘一类的数据保护措施,还有专门确保端到端的全链路安全通信的网络安全通道。BingoIAM采用MFA、FIDO认证这些控制手段,就是为了建立一个全面的零信任安全环境。通过品高专用浏览器,用户可以直接访问公司内部应用,不用担心它是不是在外网,也不用担心数据是否会被泄露。

同样的,手机上那些独立的业务APP、或者像品高Link这样的超级APP也是零信任,这些多样化的客户端支持通过手机、网页、桌面电脑等多种设备来访问,满足不同场景和需求。

通过在不同客户端注入零信任的能力,就能在每一次的访问时都严格地验证身份,减少安全隐患。

品高零信任采用一体化设计,同样简化了零信任的服务端,不光服务器能用,比如说即插即用的软硬件一体机也能是零信任。

咱们一起想象下,假如你是一个救援队指挥官,正在指挥一个紧急任务,你一边需要通过车上的传感器和摄像头实时了解现场回传的数据和视频,一边还要通过终端设备接收信息,以及给现场移动指挥车下达指令。

那么这里有个潜在问题,就是移动指挥车和终端设备之间的网络可能是不安全的,黑客可以去截获或者是篡改数据,这可能会导致非常严重的后果。

怎么解决?我们可以在指挥车里接一个“零信任一体机”,建立一个安全的云边端通道,通过这样的一体化零信任安全解决方案,即使在暴露的、不安全的网络环境下,也能够确保移动指挥车和终端设备之间的数据传输是安全的,保证救援行动的顺利进行。

并且这个模式非常容易复用,我们一体化零信任解决方案可以应用到混合云或其他场景上,甚至还能跨越多个云平台进行使用,同时使用很多不同安全厂商的产品也不用担心管理起来很复杂,客户完全可以根据自己的业务需求和IT环境灵活扩展自己的零信任架构。

“我们一体化零信任解决方案可以应用到混合云或者是其他的场景上,甚至还能跨越多个云平台进行使用,客户完全可以根据自己的业务需求和IT环境灵活扩展自己的零信任架构”

通过上面介绍零信任的一些形态,估计大家对品高一体化零信任解决方案有了大概印象,那“一体化”到底是什么呢?



简单来说,我们认为BingoIAM的零信任方案应该把几个关键点结合起来:应用厂商的安全客户端、网络厂商的专用网络通道、IAM厂商的统一访问管控这三大要素叠加统一的身份标识,整合在一起形成“1+3”一体化零信任架构。

这个体系下的BingoIAM一体化零信任解决方案,就像给你的企业访问穿了件全方位的防护服。不管你用什么设备、在哪里访问公司内网,它都能准确识别你的身份,保证你的数据传输安全,就像是给你的企业数据和身份管理加上了一层坚固保护层,让你可以更放心地进行各种操作。

“不管你用什么设备,在哪里访问公司内网,它都能准确识别你的身份,保证你的数据传输安全,就像是给你的企业数据和身份管理加上了一层坚固保护层”

 02 端的安全是零信任整体架构中必不可少的部分

我们需要强调的是,端的安全是零信任整体架构中必不可少的部分。

如果把零信任比作一个大楼,那端就是安全进出这栋大楼所需要的门禁卡。不管你用的是电脑、手机还是其他设备,每次你想访问网络资源的时候,都得先证明自己是可信的。这就像是进门前先得刷门禁卡,证明这张门禁卡是这栋大楼发出的,确保只有该进的人能进去。



端安全不仅仅是指客户端安全就行了,它只是零信任这个大体系中的一个关键环节。在零信任模型中,每个端点虽然是安全策略实施的关键部分,但它们必须与零信任架构的其他部分协同工作,以实现全面的安全防护。所以,端本身的独自安全是不够的,它需要与零信任其他部分的安全措施一起紧密协同才能够去适应不断变化的环境威胁,有效地保护企业内的资产和数据,让整个系统都安全可靠。

因此,我们整合了BingoIAM、聆客协同办公平台和品高低代码平台的能力,提供了一个通用的端应用容器,它是企业数字化转型的强有力支撑。

我们利用品高低代码在端应用容器内直接内置了BingoIAM的统一认证、多因素认证、FIDO无密认证、用户中心通讯录和应用首页等开箱即用的能力,这样应用开发成本就非常低了。低代码的引入,不只为开发新应用提供了方便,就连旧应用改造也变得非常快速又省钱。



而且这个端应用容器不仅限于在手机应用,还能扩展到桌面和网页端。所以不管你使用的是安卓、iOS、windows、Linux、MacOS,还是包括鸿蒙在内的其他国产操作系统,它都能够做到完美适配,保证了在各种设备上都能有一致的体验。

另外,在安全方面,我们端能力可以根据不同应用,按需开关专用的安全通道,这是增强网络安全的利器。再加上网络隐身、数据加密,这些多层次的安全保护措施,可以说是把安全做得非常优秀,为企业提供了一个全方位的防护体系。


“端本身的独自安全是不够的,它需要与零信任其他部分的安全措施一起紧密协同才能够去适应不断变化的环境威胁,有效地保护企业内的资产和数据,让整个系统都安全可靠。”

 03 SDP替代VPN——建立以身份为中心的零信任网络保护

接下来,咱们继续聊聊网络通道的安全。

现在有一个国际标准叫SDP,也就是“软件定义边界”。 这个SDP在零信任安全架构里面非常重要,它能把你的网络资源藏起来,让那些没有权限的用户和攻击者没有办法看到或者访问到这些资源。这就像给你的网络资源再加了一把锁,只有拿到正确钥匙的人才能打开这道门。这种安全能力非常强大,因为它能动态地根据用户的身份和行为来调整访问权限。

以前大家保护公司内部数据的方式就是把网络分成内网和外网,要想要访问内网数据,就得通过像VPN这样的工具。VPN在网络安全界也算是老前辈了,它通过建立一个加密隧道保护数据传输。

但VPN有一个问题,它是假设内网里所有人都是可信的,这就意味着一旦有攻击者混进这个安全网络,他们就能随便看到所有资源。而且VPN对现代设备的兼容性也不是很好,比如物联网设备。

所以我们需要换一个思路,不能只靠网络边界来决定哪里是安全的,得用SDP替代VPN,建立一个以身份为中心的零信任网络保护,意思就是只要确认你是谁,就算你在外网也能安全地访问内网的业务。



BingoIAM基于Rust语言和eBPF实现了SDP的全栈自研,实现了技术的自主可控;同时结合UDP和TCP的双重敲门技术,防止了IP地址被放大攻击,在数据传输层面实现了自适应的双向加密通道,同时支持国际和国密两个标准,给数据传输再加了一把锁,有效防止了数据被监听和篡改。

此外,零信任SDP方案还非常灵活,能够给不同的业务量身定做安全通道。比如针对公司里特别敏感的业务,可以专门建立一个安全的数据通道,像财务、金融类的应用,只能通过这个安全通道来访问,以此保证这些数据的安全。

那么对于其他通用业务,我们也另外建立一个隔离开的安全通道来访问。这种多通道的访问方式,主要用来对不同安全等级业务应用进行隔离访问和管理。

这点对于做信息传输、软件开发、科研服务或者金融的公司来说是特别重要的。

“我们需要换一个思路,不能只靠网络边界来决定哪里是安全的,得用SDP来替代VPN,建立一个以身份为中心的零信任网络保护。”

 04 统一访问管控

我们还对企业内部服务之间的相互访问,也提供了深入到虚拟机级别的微隔离安全管控,保证服务之间的访问安全。针对集团父子公司和上下游供应商这种以组织为边界的场景,由于一些工作需要不得不互相进行业务来往,那么就要通过互联网发送业务数据,一旦被第三方窃取,这可能会给企业带来非常严重的数据或商机泄露风险,我们不得不防。

我们可以在集团业务往来紧密的父子公司之间,在彼此互相隔离的机房内,部署一套一体化零信任,或者使用我们即插即用的一体机,为客户建立安全的专用网络互信通道。不管是什么样的复杂网络环境,都能保证通信的安全和业务的流通,用户也能用自己的设备来安全登录公司的应用。

同时,BingoIAM零信任解决方案还给IT管理员们准备了一个可视化的管理界面,这样一来,管理员就能轻松地管理公司里所有人的身份信息,确保每一次登录都是经过严格的身份验证,在整个过程中都能保证身份的可信度和连接的安全性。

再比如一些更加复杂的网络环境,公司使用了很多的云服务,存在公私混合的多云架构,或者数据要在不同的中心进行备份,还有跨国公司的网络架构等等这些以网络为边界的场景中,专用网络安全通道同样的可以建立在这些环境中,为企业提供一个安全高效可靠的数据传输通道,帮助他们去应对复杂的网络环境和数据管理的挑战,同时也支持了企业的数字化转型和业务创新。

零信任客户端和专用的网络通道,虽然为我们的访问安全提供了基础的保护,但他们并不能覆盖完整的安全链路。



在实际的网络环境中,我们需要在访问链路中加入多个不同职责的可信代理,比如控制点和策略执行点,来完成精细的访问控制。

这些代理就像网络中的哨兵,他们根据预设的规则来管理谁可以访问什么资源,以及在什么条件下可以访问。而且这些链路中的策略也不是一成不变的,随着业务的发展和管理的需要,这些策略需要灵活地进行调整,这就要求我们有一个集中的平台,能够对整个链路从端到端进行管理,用来应对各种策略的变化和更新。这样的管理平台,能够让我们更有效地控制网络访问,确保所有的访问都是经过严格验证和授权的,从而提高整个网络的安全性和效率

在零信任落地之前,我们可以通过BingoIAM从多个角度来控制谁可以访问什么,比如可以看看用户是谁、属于哪一个组别、他是身处哪个部门的、所任的岗职又是什么,来决定他们能访问到哪些数据,还能够根据IP、地点、行为习惯等等环境因素,动态地调整谁可以访问哪些资源。

另外,为了让员工能够高效工作,IT管理员可以统一管理企业权限,公司也可以清楚知道每个应用里都有什么权限,这就需要企业梳理每个应用内的权限,通过权限管理,规范大家的上网操作行为,并根据具体事件的发生,系统可以自动化调整权限范围大小,适应不同的工作场景和安全需求。

在这些安全策略配置完成之后,通过BingoIAM一体化零信任的可信代理,不停地检查用户在应用里的行为,根据操作的风险级别、访问策略和多因素认证来动态地调整对于权限的控制。

举个例子,大家使用银行APP时,需要输入账号密码进行登录才能看到自己的账户信息。而在转账汇款这种高风险等级的操作时,还需要再一次输入自己的银行卡密码和短信验证码,才能完成一次的转账汇款动作,这就是我们应用操作及持续认证的能力,在后台系统帮忙确认身份、确保操作的安全。

最后,BingoIAM一体化零信任解决方案,还提供实时分析用户行为和网络流量,形成完整的日志审计,从全链路统一的策略配置和访问授权整个过程中,保证员工只能访问他们被授权的资源(不多也不少),这样公司才能够高效运转,业务信息也会更加安全。


“这样的管理平台,能够让我们更有效的控制网络访问,确保所有的访问都是经过严格验证和授权的,从而提高整个网络的安全性和效率。”

 05 如果没有身份标识,应用、API、数据就无法实现有效联通交互



刚刚已经讨论过BingoIAM一体化零信任解决方案是怎样通过全方位安全的零信任客户端、专属网络安全通道、全链路统一访权管控,来控制谁能访问什么样的信息,在这样一体化安全防护下,员工就只能看到或者操作他们工作范围内需要的业务数据。

要做到这一点,还得深入到BingoIAM的身份管理标识层面,如果没有身份标识,那么应用、API、数据这些就无法去实现有效的交互和联通。

像品高软件这样的全栈云信息化服务公司中,标识管理就是专门提供全栈云信息服务的,对IPDS每一层的身份信息都整理得清清楚楚,组装成一个完整的目录结构,放在一起管理。这样一来,公司就能明明白白地控制好不同层级的身份信息,确保每个部分都能按照既定的规则和策略运作。

使用BingoIAM,公司就能在一个界面上看到所有资产,不管是打印机、扫描仪还是员工和应用这些系统,还能显示人员和资产之间的互动,帮助公司更高效地管理资产。

IAM的身份标识管理,帮我们构建了一个既灵活又牢固的安全框架,管好网络、设备、应用用户、API数据、AI智能体这些身份标识,对于保护员工、客户和合作伙伴的安全都特别的重要。这种零信任的安全模型就是以身份为中心,不停地验证身份、控制访问、监控行为,确保只有得到授权的人和设备才能访问资源。


“这种零信任的安全模型就是以身份为中心,不停地验证身份、控制访问、监控行为,确保只有得到授权的人和设备才能访问资源。”

多年实战过程中对身份安全深刻理解结晶

以上说了这么多,其实从产品的角度来看,我们认为BingoIAM不仅仅是一个简单的安全工具,它更是我们多年在客户落地过程中对身份安全深刻理解的结晶,是一个身份安全的基座。它在全方位地管控用户、设备、资源的访问与授权,帮助企业实现全场景、数字化的身份治理。


我们把这些理解转化为实际的能力和工具,通过这次发布会,我们希望能够把这些经验和价值带给更多的客户。同时在数字化、移动化、云计算、AI智能这些技术飞速发展的时代,我们也深刻地感觉到安全问题不仅仅局限于底层的身份安全,还要应对上层应用变化带来的挑战。所以在研发BingoIAM的时候,我们有一个明确的共识,它不应该只是一个身份管理系统,它还应该成为企业应用架构的坚实底座,为企业的数字化转型提供全方位的支持。

我们希望更多项目团队能用上BingoIAM,提高开发效率,降低他们的实施成本。


“在研发BingoIAM的时候,我们有一个明确的共识,它不应该只是一个身份管理系统,它还应该成为企业应用架构的坚实底座,为企业的数字化转型提供全方位的支持。”

接下来我们一起来看看BingoIAM是如何为其他的产品赋能,怎样为企业应用提供更广泛的适用性和集成能力的。

 01 引入品高低代码平台

在企业应用基座之上,我们进一步引入品高低代码平台,这将会为企业的数字化转型和应用开发带来革命性的变化。

品高低代码平台最开始的设计思路就是希望不懂技术的业务人员也能顺利地去搭建页面、开发应用,使得业务和应用能够结合得更加紧密。

当用户想要设计页面的时候,有200多个常用组件可供大家选择,而且这些组件的属性、样式和交互都有简单和专业两种配置,用来应对简单和复杂的业务需求;同时也面向业务和技术两种角色,都能够轻松搞定应用开发。

再说到数据管理,品高低代码平台能够自动地从数据库生成实体模型,帮你建立数据之间的关系、索引,还能处理数据的各种事件,这样一来,CRUD这种基本的数据操作就能够快速的实现了。

而且它还内置了20多种业务逻辑节点,基本能够满足大部分的业务逻辑需求,能打通不同业务系统之间的逻辑关系,让业务流程和数据都能够联动起来。

说到API设计,品高低代码也是非常给力,它基于原数据生成API,支持使用circle、实体或者函数来组织API的逻辑,还能可视化地调试,生成API文档特别的方便。

工作流引擎也很强大,提供了20多种图形化的流程定义组件,能满足各种业务审批规则,还支持动态流程角色和流程事件,这样业务流转和应用就能紧密结合,让整个工作流程都更加的顺畅。

通过品高低代码平台开发出来的应用,不仅能够实现快速地搭建,还能直接通过端应用容器进行打包。这个端应用容器是由四部分组成的,分别是运行渲染、基础能力、模块生态和配套工具。首先运行渲染就是低代码的渲染引擎,它能够把在线的或离线的应用进行完美的渲染,同时端应用容器还给上层的业务提供了js、SDK的接口能力。

再往上就是基础能力的部分,这部分给业务赋能的工具,比如SDP、安全、日志、身份验证、版本更新检查等等这些通用能力,都能完整、直接地提供给上层业务使用。而模块生态和品高低代码物料相结合,品高聆客会把一些常用模块,比如说通讯录、消息、文档这些用低代码重新整理,然后放到物料库中,以后开发业务的时候,需要什么样的功能,直接从物料库中拉取出来,个性化地定制一下就能直接使用了。

最后就是配套工具这一块,端应用容器和品高低代码深度地整合,提供了调试器、代码编译、打包等等一系列的工具,让开发过程更加得顺畅。

 02 BingoIAM给端应用容器和低代码提供全方位安全保障

再说回到BingoIAM,它给端应用容器和低代码提供了全方位的安全保障。



我们把BingoIAM管家的能力,比如说统一的身份认证和授权功能,整理成低代码平台里面的一些页面、区块和组件。这样开发人员在开发应用的时候,就不需要自己从头开始做登录验证和权限控制了,直接使用这些现成的物料就可以了。所以,用品高低代码平台搭建的应用,一开始就能用上BingoIAM的强大功能,比如用户登录、用户管理、权限控制、应用接入等等,这样一来应用的安全性也有了保障。

这种集成方式好处很多,它让开发过程变得简单,应用也能更加安全,开发人员可以更加专注在业务逻辑上,不用担心底层的安全问题。而且BingoIAM的集成还能让访问控制更精细,确保用户只能访问他们被允许的资源。

相比之下,那些只提供低代码能力,没有IAM集成的厂商,他们的应用开发就得自己去搞定认证、访问、授权,这不仅工作量大,还容易出现协议不兼容、访控不细致等一些安全问题。

那么在业务应用开发完成、通过端应用容器打包发布的时候,BingoIAM又能提供什么样的能力加持呢?



在设备安全方面,通过IAM管控端接入的种类和数量,确保只有可信的设备才能接入。用户的访问安全、身份认证、多因素认证等都内置在容器里面,即开即用。

在内容安全上,BingoIAM提供了防截屏、复制粘贴加密功能;还有水印技术,防止屏幕截图被非法使用;数据脱敏功能,确保处理敏感数据的时候不会泄露真实的信息,这些安全能力对于数据泄露问题越来越多的环境尤其重要。

 03 用“因事驱动”方式做业务

品高业务协同平台,是专门为帮企业和组织搞定复杂业务流程里的协作难题而设计的,这个平台的核心就是围着事情转,用一种“因事驱动”的方式来做业务。意思就是不管是大项目推进,还是紧急情况处理,我们都能确保需要的资源和人能够迅速搭上线,一起高效地干活,人和工具能够紧密结合,各种业务需求都能够被精确地满足。

我们还特意打造了专门的协作场景,打破了组织部门和信息系统之间的壁垒,让跨部门跨系统的协作更加的顺畅,信息共享和任务协同能够高效融合。

品高业务协同平台有一个亮点是基于业务的建模,我们使用现代企业架构理念,提供一系列业务协同工具,包括业务事项、业务流程、岗位、实体和赋能工具等,支持对传统应用拆解和重组,让企业不用写代码,就能够根据自己的需求构建出真正好用的业务协作场景,使得业务的灵活性和适应性大大的提高。



AI智能在这里也发挥了很大的作用,通过对业务流的编排,将人工智能技术融入到业务流程中,提供更精准的智能分配、流转能力。比如AI能分析事项数据、预测风险、给决策提供建议,同时AI还能自动匹配最合适的人和工具,提高协同效率。在业务流程中,AI还能根据员工的技能和经验,把任务分配给最合适的人。企业可以根据自己的需求,灵活编排业务流程,让AI更好地赋能业务,实现更高效、更智能的协作。

另外在安全这一块,我们用的是基于BingoIAM的权限体系实现的“因事授权”模型这意味着我们可以根据工作需要,有条件地去开放数据、系统、功能的权限,满足实际的协同需求,事情一结束权限就收回,这样就解决了权限更新、机制僵化的问题,也避免了数据权限被不当使用的风险。

最后品高业务协同平台的数据统计与分析能力也很强,企业所有的事项一旦接入平台,数据就都汇聚在这里,方便企业进行多维度分析,为企业流程和业务的优化提供了有力的数据支持,帮助企业精确找到问题,做出更科学的决策,不断提升业务效率和质量。

“品高业务协同平台,是专门为了帮企业和组织搞定那些复杂业务流程里的协作难题而设计的,这个平台的核心就是围着事情转,用一种“因事驱动”的方式来做业务。”



总的来说,BingoIAM是一个全面、成熟、精细的一体化零信任解决方案,它不仅提供了底层的身份安全保障,还为企业的应用架构提供了坚实的支撑,帮助企业应对数字化转型中的各种安全挑战。

展望未来,随着网络安全威胁的不断变化、技术的不断进步和市场需求的演进,BingoIAM将继续深化与零信任模型的融合,提升品高系列产品和其他应用系统的灵活性和响应能力,继续引领企业身份治理创新,为企业提供一个更加安全、智能和高效的运营环境。