云原生企業(yè)數(shù)字化白皮書-派拉軟件

I云原生企業(yè)數(shù)字化白皮書云為數(shù)字化轉(zhuǎn)型啟動強(qiáng)大引擎2云原生數(shù)字化平臺框架4云原生數(shù)字化場景實現(xiàn)7云原生數(shù)字化的安全合規(guī)與隱私保護(hù)12價值回報分析21云原生數(shù)字化平臺支持列表2311摘要發(fā)展的戰(zhàn)略重點，是驅(qū)動業(yè)務(wù)增長的重要引擎。傳統(tǒng)數(shù)據(jù)中心因為建設(shè)費用高昂、運維困難、技術(shù)迭代遲緩逐漸為很多企業(yè)拋棄。本文中的云原生企業(yè)數(shù)字化并不局限于狹義的云原生技術(shù)（如容器、DevOps），本白皮書意在通過利用云計算的優(yōu)勢，幫助企業(yè)快速敏捷推進(jìn)數(shù)字化進(jìn)程。同時，本白皮書對數(shù)字化云平臺框架進(jìn)行分析與思考，對數(shù)字化轉(zhuǎn)型場景、云安全與隱私保護(hù)、價值回報等方面進(jìn)行闡述，以期對22云為數(shù)字化轉(zhuǎn)型啟動強(qiáng)大引擎2022年政府工作報告中，就“加強(qiáng)數(shù)字中國建設(shè)整體布局、促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展”等方面作出部署，國家印發(fā)的《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》也明確提出到2025年數(shù)字經(jīng)濟(jì)核心產(chǎn)業(yè)增加值占國內(nèi)生產(chǎn)總值比重達(dá)到10%，預(yù)隨著90后甚至00后的新生代員工，也即越來越多的數(shù)字化原住民走向工作崗位，企業(yè)無法再使用傳統(tǒng)管控的方式對員工進(jìn)行高效管理。企業(yè)需要創(chuàng)造便捷、高效甚至是“酷”的工作方式來吸引員工，發(fā)揮員工的潛力。在這種情況下，如何為新生代員工建立數(shù)字化工作平臺將成為企業(yè)的一大挑戰(zhàn)?；ヂ?lián)網(wǎng)的便捷和極致的體驗深刻影響著企業(yè)的用戶，消費者變得越來越挑剔，企業(yè)如無法提供極致體驗的業(yè)務(wù)將很難獲得用戶的認(rèn)可。如何高效獲客？如何感知用戶體驗？如何提供個性化客戶服務(wù)？這些都對數(shù)字化客戶提出了更33數(shù)字化時代節(jié)奏加快，業(yè)務(wù)發(fā)展日新月異，對市場需求的響應(yīng)不再是以月或季度為周期，而是以周、天甚至是小時為單位。作為業(yè)務(wù)支撐的數(shù)字化平臺如何快速調(diào)整又不影響客戶體驗，成為企業(yè)快速響應(yīng)市場需極致體驗成為數(shù)字化平臺必備的能力。云平臺充分繼承快速敏捷的設(shè)計思想，通過搭建所有應(yīng)用系統(tǒng)的載體，讓云上的應(yīng)用系統(tǒng)更具變革性。通過以云平臺為核心的現(xiàn)代化IT基礎(chǔ)架構(gòu)，企業(yè)可以有效提升應(yīng)用開發(fā)和交付效率，簡化員工的工作，讓員工聚焦業(yè)務(wù)創(chuàng)新和客戶服務(wù)，提升企業(yè)的市場響應(yīng)能力和競爭另外，云的租賃收費模式可讓企業(yè)花費少量的成本即可快速獲得數(shù)字化能力。比如，你可以在分鐘內(nèi)獲得云主機(jī)計算平臺，在數(shù)小時內(nèi)開通需要的SaaS業(yè)務(wù)服務(wù)。這些特性使得業(yè)務(wù)創(chuàng)新快速敏捷，同時也具有最小化試錯代對于企業(yè)而言，通過云平臺實現(xiàn)數(shù)字化轉(zhuǎn)型意義重大，無論是大企業(yè)還是中小企業(yè)都能在云上獲得最大的投資收益。尤其是對于中小企業(yè)，通過IaaS和SaaS云技術(shù)和產(chǎn)品，可以獲取以往只有大企業(yè)才擁有的計算資源，更應(yīng)該利用云技術(shù)實現(xiàn)最優(yōu)資源配置和最佳業(yè)務(wù)效率，把更多的精力聚焦在核心業(yè)務(wù)基于云原生的數(shù)字化，可以說是企業(yè)數(shù)字化轉(zhuǎn)型的最短實現(xiàn)路徑。44云原生數(shù)字化平臺框架盡管基于云原生的數(shù)字化有諸多好處，但云原生數(shù)字化并非是完美的，一蹴而就的。我們需要揚長避短，充分發(fā)揮云帶來的優(yōu)勢，同時避免發(fā)生問題。企業(yè)可以通過SaaS應(yīng)用快速上線數(shù)字化應(yīng)用，比如人力資源管理、財務(wù)管理系統(tǒng)等，但這些業(yè)務(wù)系統(tǒng)都是不同的SaaS服務(wù)商提供的，每個應(yīng)用都是企業(yè)采用多家SaaS系統(tǒng)，不僅需要解決身份和權(quán)限的管理問題，也需要解決安全訪問的管理問題，對適當(dāng)?shù)挠脩暨M(jìn)行授權(quán)，用恰當(dāng)?shù)姆绞皆L問數(shù)字化但同時也加大了數(shù)據(jù)泄露的風(fēng)險，安全管理工作顯得更加重解決眾多數(shù)據(jù)源的使用和管理問題，需要建立數(shù)據(jù)聚合和管理能力來保障數(shù)據(jù)55由于企業(yè)性質(zhì)不同，企業(yè)數(shù)字化需求也很廣泛，我們提煉了中小企業(yè)數(shù)字（1）IaaS/PaaS云基礎(chǔ)平臺云基礎(chǔ)平臺由云平臺廠商提供，國內(nèi)主要有華為云、阿里云、騰訊云、電數(shù)字化員工、數(shù)字化運營、數(shù)字化創(chuàng)新等。企業(yè)可以借助各種SaaS應(yīng)用或低代碼開發(fā)平臺來實現(xiàn)這些場景。這些場景的詳細(xì)內(nèi)容將在后續(xù)章節(jié)進(jìn)行闡述。66（3）API/ESB數(shù)據(jù)交換平臺數(shù)字化應(yīng)用是獨立的應(yīng)用，采用SaaS或者基于IaaS開發(fā)。這些應(yīng)用之間的交互通過API/ESB數(shù)據(jù)交換平臺來打破應(yīng)用孤島，實現(xiàn)應(yīng)用之間的互操作性。本白皮書后續(xù)章節(jié)對業(yè)財管一體化場景有詳在云原生下，傳統(tǒng)數(shù)據(jù)中心的安全防護(hù)已經(jīng)交由云廠商負(fù)責(zé)，企業(yè)需要負(fù)責(zé)數(shù)字化應(yīng)用的用戶管理、訪問權(quán)限的管理。包含兩大部分：一部分是針對所有數(shù)字化用戶的身份和權(quán)限的管理，即身份即服務(wù)（IdentityasaService-IDaaS以及針對IT運維人員的管理和審計，即特權(quán)身份管理。另一部分是對這些云原生數(shù)字化應(yīng)用的安全訪問，即零信任安全服務(wù)（ZeroTrustasaService-ZTaaS）。這部分詳見本白皮書的第4部分。這些數(shù)據(jù)的匯總和分析是企業(yè)重要的數(shù)字資產(chǎn)，也是數(shù)字化創(chuàng)新的基礎(chǔ)。在深77云原生數(shù)字化場景實現(xiàn)云平臺與業(yè)務(wù)場景的深度融合，為各行業(yè)注入了發(fā)展與創(chuàng)新的新動能。從數(shù)字化場景實現(xiàn)來看，通常包含員工數(shù)字化平臺、企業(yè)數(shù)字化運營、客戶營銷順應(yīng)新生代員工的互聯(lián)網(wǎng)化、快節(jié)奏的數(shù)字化時代發(fā)展，傳統(tǒng)管理模式已不再適應(yīng)企業(yè)高效管理需求，企業(yè)運營模式需要不斷更新完善。借助數(shù)字化云平臺，進(jìn)一步賦能企業(yè)內(nèi)部管理，將企業(yè)內(nèi)的各個部門、組織都聯(lián)系起來，改數(shù)字化對企業(yè)的影響很大，辦公效率至少提升40在數(shù)字化辦公場景中，從員工數(shù)字化管理和服務(wù)開啟，從招聘、入職、轉(zhuǎn)在此基礎(chǔ)上提供安全的遠(yuǎn)程辦公、差旅服務(wù)、費用報銷、課程學(xué)習(xí)、企業(yè)福利等能力。同時，擁有數(shù)字化員工門戶，統(tǒng)一員工身份管理，提供更安全便捷的多因子認(rèn)證登錄，并支持各種社交賬號一鍵掃碼登錄辦公，以及千人千面的門戶體驗，做到對于員工體驗和辦公效率的全面提升，如圖3-188云原生的員工數(shù)字化平臺將人力資源應(yīng)用、溝通協(xié)作工具、差旅報銷、學(xué)習(xí)考核等應(yīng)用進(jìn)行聚合，提供數(shù)字化員工門戶，實現(xiàn)安全快捷、隨時隨地在線提升員工的工作效率，將精力用于客戶服務(wù)和業(yè)3.2企業(yè)數(shù)字化運營合同、收入、成本等數(shù)據(jù)。這些數(shù)據(jù)往往分別在多個數(shù)字化應(yīng)用中。比如，成本數(shù)據(jù)會分別在薪酬系統(tǒng)、差旅系統(tǒng)、采購系統(tǒng)等等。在業(yè)財管一體化中，解決傳統(tǒng)業(yè)務(wù)、財務(wù)系統(tǒng)相互獨立而出現(xiàn)的財務(wù)數(shù)據(jù)不準(zhǔn)確不及時、業(yè)務(wù)財務(wù)報表數(shù)據(jù)不一致影響決策經(jīng)營判斷、缺乏有效監(jiān)督、內(nèi)控風(fēng)險等問題，將公司各提高信息錄入效率，降低差錯率，增強(qiáng)業(yè)務(wù)、財務(wù)分析和管控能力，如圖3-2所示。同時，管理層可以隨時查看業(yè)務(wù)和財務(wù)數(shù)據(jù)，提升決策99對于中小企業(yè)而言，要定制化相應(yīng)業(yè)務(wù)系統(tǒng)及業(yè)財管一體化，周期長、風(fēng)險大、執(zhí)行難，而云平臺提供基礎(chǔ)架構(gòu)能力，中小企業(yè)以“租用”形式使用，3.3客戶營銷精準(zhǔn)化隨著互聯(lián)網(wǎng)發(fā)展，官網(wǎng)、搜索引擎、公眾號、口碑等一系列客戶觸點越來越多。面對“無處不在”的多觸點、多渠道，傳統(tǒng)單點式、粗放式營銷方式不足以滿足企業(yè)營銷需要，多觸點的客戶管理與統(tǒng)籌成為現(xiàn)今企業(yè)開啟商業(yè)精準(zhǔn)借助數(shù)字化云平臺，可實現(xiàn)對于多觸點、多渠道的融合統(tǒng)一，解決多個觸點難以管理及營銷效果不明顯的問題，同時在客戶融合、客戶分類等方面具有對于中小企業(yè)而言，市場投入有限，無法像大型企業(yè)進(jìn)行大規(guī)模的市場活動和昂貴的推廣，基于云平臺的數(shù)字化營銷，可快速實現(xiàn)客戶營銷的精準(zhǔn)化，云原生數(shù)字化營銷平臺不僅可承載眾多的營銷SaaS應(yīng)用，同時這些應(yīng)用之間還可進(jìn)行實時的數(shù)據(jù)同步。比如，通過電話、Web網(wǎng)站在生成線索，在將線索轉(zhuǎn)化為商機(jī)，進(jìn)一步形成合同和項目交付。這一系列的SaaS應(yīng)用需要通過API交換平臺實現(xiàn)應(yīng)用的互聯(lián)互通和數(shù)據(jù)交換，同時營銷3.4數(shù)字化創(chuàng)新面對越發(fā)激烈的市場環(huán)境，企業(yè)必須保持快速的應(yīng)用創(chuàng)新能力。而云原生數(shù)字化平臺架構(gòu)則為這種能力提供了條件，一改傳統(tǒng)應(yīng)用線下部署以及應(yīng)用部借助數(shù)字化云平臺，將各類SaaS系統(tǒng)和提供API服務(wù)等能力進(jìn)行聚合，提供API、SDK快速接入集成，助力開發(fā)者的業(yè)務(wù)系統(tǒng)快速上線并協(xié)調(diào)相關(guān)系統(tǒng)和基礎(chǔ)設(shè)施的深度集成，以高效穩(wěn)定的云基礎(chǔ)設(shè)施底座為開發(fā)者提供優(yōu)質(zhì)、安全的云服務(wù)保障，幫助開發(fā)者快速構(gòu)建云應(yīng)用，如數(shù)字化創(chuàng)新平臺賦予開發(fā)人員低代碼開發(fā)的“超能力”，無需編碼或通過少量代碼就可以快速進(jìn)行應(yīng)用程序的開發(fā)，解決現(xiàn)有SaaS系統(tǒng)無法滿足客戶需求的情況，幫助企業(yè)快速迭代創(chuàng)新以更好應(yīng)對瞬息萬變的市場發(fā)展需求。同時，利用平臺的API編排能力，將云應(yīng)用數(shù)據(jù)統(tǒng)一集成至客戶統(tǒng)一門戶，實現(xiàn)企業(yè)不同廠商、不同架構(gòu)、不同協(xié)議的應(yīng)用互聯(lián)互通，打破系統(tǒng)間“信息孤島”情況，提升用戶訪問系統(tǒng)的便捷性及企業(yè)的整體協(xié)同管理能力，助力企業(yè)數(shù)字云原生數(shù)字化的安全合規(guī)與隱私保護(hù)數(shù)據(jù)安全是構(gòu)建客戶信任的基礎(chǔ)，相應(yīng)安全保障工作也需同步開展1。在數(shù)字中國建設(shè)不斷推進(jìn)、數(shù)字經(jīng)濟(jì)穩(wěn)步發(fā)展的背景之下,數(shù)字化帶來的安全挑戰(zhàn)成為今年兩會的熱門議題，網(wǎng)絡(luò)安全也隨之升級為數(shù)字安全，安全合規(guī)與隱私保護(hù)愈發(fā)受到越來越多企業(yè)的關(guān)注。尤其是將應(yīng)用構(gòu)建在云上的企業(yè)，在云服務(wù)環(huán)境下網(wǎng)絡(luò)邊界部分消失，網(wǎng)絡(luò)安全防護(hù)難度升級，對于安全合規(guī)與隱私云平臺需要選擇滿足國際和國家標(biāo)準(zhǔn)認(rèn)證的云廠商，這些標(biāo)準(zhǔn)包括：ITSS信息技術(shù)服務(wù)標(biāo)準(zhǔn)符合性證書三級-云服務(wù)（SaaS云）、等保三級、云原生數(shù)字化安全保障并非只是云廠商的責(zé)任，企業(yè)也需要承擔(dān)自己的安操作系統(tǒng)和組件的安全修復(fù)。但是，云廠商無法得知企業(yè)的用戶、員工和業(yè)務(wù)的變化，因此企業(yè)自身需要對用戶身份、權(quán)限和訪問進(jìn)行及時到位的管理，并因此，從企業(yè)角度，應(yīng)當(dāng)著重從云身份安全管理、云安全運維、云安全訪在云環(huán)境下，用戶或設(shè)備的身份信息都分散在各個SaaS系統(tǒng)、自開發(fā)系統(tǒng)中，企業(yè)在使用不同的SaaS服務(wù)過程中都存在由于身份信息的不同而導(dǎo)致的數(shù)據(jù)的不一致性，權(quán)限也不盡相同，企業(yè)需要在每個SaaS系統(tǒng)、自開發(fā)的離職員工不及時關(guān)閉賬號導(dǎo)致數(shù)據(jù)泄露。過度授權(quán)導(dǎo)致用戶可以查看超出應(yīng)有權(quán)限的數(shù)據(jù)，造成企業(yè)信息安全風(fēng)險。另外，通過郵件或即時消息溝通身份和授權(quán)，往往會發(fā)生遺漏、錯誤的情況，從而導(dǎo)致安全風(fēng)險。2.身份和授權(quán)的工作量巨大每一位員工的入職、轉(zhuǎn)正、更換部門或升職、離職都需要在所有的數(shù)字化系統(tǒng)中進(jìn)行添加、變更、刪除、鎖定等操作。一位員工的變動，管理員往往需要操作幾十個授權(quán)動作。在一個1000人的企業(yè)，采用20個數(shù)字化系統(tǒng)的情況下，將會涉及2萬個數(shù)字身份及相關(guān)權(quán)限的管理，企業(yè)需要配備專門的安全3.身份數(shù)據(jù)治理隱患中國人姓名的重名率很高，在數(shù)字化系統(tǒng)授權(quán)時往往造成困擾，甚至導(dǎo)致錯誤授權(quán)。另外，外部用戶或供應(yīng)商需要手工創(chuàng)建身份信息，在供應(yīng)商完成工作后往往沒有及時刪除用戶賬號和授權(quán)信息，導(dǎo)致安全4.應(yīng)用訪問體驗欠佳由于多個數(shù)字化系統(tǒng)沒有統(tǒng)一的入口，員工和用戶往往無法方便地訪問所有的系統(tǒng)，需要反復(fù)登錄各種數(shù)字化應(yīng)用，用戶體驗差，也不利于員工工作效要解決以上問題，需要通過云身份管理平臺IDaaS來管理所有的SaaS應(yīng)IDaaS通過與HRSaaS系統(tǒng)聯(lián)動，當(dāng)員工入職在HR系統(tǒng)中確認(rèn)，員工身份數(shù)據(jù)實時同步到IDaaS系統(tǒng)中，IDaaS系統(tǒng)利用內(nèi)置的規(guī)則，自動化開通員工相關(guān)的數(shù)據(jù)變更的情況下，如改換手機(jī)號，IDaaS系統(tǒng)將實時同步數(shù)據(jù)到所有與員工相關(guān)的數(shù)字化應(yīng)用中；當(dāng)員工離職時，在幾秒鐘內(nèi)即可完成所有賬號的鎖定，該員工將無法再訪問企業(yè)數(shù)字化應(yīng)用。這些自動化的操作很大程度2.用戶身份和權(quán)限管理的可視化在IDaaS中，所有的用戶數(shù)字身份和權(quán)限將集中呈現(xiàn)。每一個用戶實體在哪些數(shù)字化系統(tǒng)中擁有身份和權(quán)限將一目了然。身份和權(quán)限的可視化不僅提升IT管理員的工作效率，也有助于企業(yè)進(jìn)行權(quán)限審計和管理，最大程度上避免3.云原生數(shù)字化安全性的增強(qiáng)IDaaS通過引入多因子認(rèn)證、基于用戶行為風(fēng)險的安全認(rèn)證，能夠提升數(shù)字化業(yè)務(wù)的安全訪問。比如：用戶在北京登錄，隨后的1小時，又在新加坡進(jìn)4.用戶體驗和工作效率提升全局訪問的能力，用戶只需登錄一次，通過IDaaS的用戶門戶即可訪問所有經(jīng)授權(quán)的數(shù)字化系統(tǒng)。另一方面，IDaaS提供用戶自助平臺，可以幫助用戶完成應(yīng)用訪問申請、個人信息修改、綁定訪問設(shè)備、綁定社交賬號登錄等操作，提5.安全合規(guī)IDaaS平臺幫助企業(yè)滿足國家和國際的信息安全法規(guī)。比如，通過采用IDaaS可以提升系統(tǒng)安全等級保護(hù)到三級水平，可以幫助企業(yè)的業(yè)務(wù)滿足《數(shù)據(jù)安全法》、《個人信息保護(hù)法》的合法合規(guī)要求，ID4.2云安全運維云環(huán)境可以隨時訪問，不受時間、地點的限制，諸如操作系統(tǒng)、數(shù)據(jù)庫的具備訪問云環(huán)境的最高權(quán)限，云環(huán)境的特權(quán)賬號通常會被多個不同的用戶因為業(yè)務(wù)的需求所使用，例如運維人員需要配置環(huán)境、部署應(yīng)用、運維與監(jiān)控服務(wù)多個用戶使用同一個特權(quán)賬號訪問，如果期間有一個用戶誤操作導(dǎo)致系統(tǒng)異常，通過系統(tǒng)的日志只能夠獲得在某個時間段因特權(quán)賬號操作發(fā)生的錯誤，而不容易定位具體是哪個用戶操作的，該用戶之前執(zhí)行過哪些操作？這些操作是否必須？如何確定用戶是否有權(quán)限執(zhí)行該項操作？在什么情況下可以？這些2.特權(quán)賬號管理隱患特權(quán)賬號與用戶在一對多的關(guān)系中，每個用戶在訪問的時候都需要知道特權(quán)賬號和密碼，密碼存在泄漏風(fēng)險。有些企業(yè)會用數(shù)字證書，但也只是與終端設(shè)備進(jìn)行了綁定，終端設(shè)備如被別人使用，安全隱患將更大。特權(quán)賬號密碼定期更新的本意是加強(qiáng)密碼安全，但在多個使用特權(quán)賬號的用戶都需要知道密碼的情況下，密碼定期更新就變成了一種形式，泄漏的風(fēng)險依然存在；另外，如果使用特權(quán)賬號的用戶發(fā)生工作或崗位變動，特權(quán)賬號的安全隱患就更高了。如果企業(yè)在云環(huán)境中存在多個業(yè)務(wù)系統(tǒng)，用戶可能要記多個特權(quán)賬號信息，由于特權(quán)賬號的權(quán)限是共享的，用戶的訪問并非是最小權(quán)限，這就為誤操作、數(shù)3.訪問過程外部無法干預(yù)對于用戶在訪問云環(huán)境過程中執(zhí)行的操作，企業(yè)無法做到甄別該用戶并實現(xiàn)外部干預(yù)，直至該用戶操作后導(dǎo)致錯誤事件的發(fā)生為止。例如，在運維時誤操作執(zhí)行了強(qiáng)制重啟機(jī)器的命令，而這時剛好有系統(tǒng)寫入業(yè)務(wù)數(shù)據(jù)或其他用戶4.安全威脅造成惡性事故特權(quán)賬號信息本身風(fēng)險比較高，如果出現(xiàn)誤操作可能給企業(yè)帶來巨大的損失。例如：惡意或操作不當(dāng)導(dǎo)致生產(chǎn)數(shù)據(jù)庫刪除，或者虛機(jī)的移除，都會導(dǎo)致要解決訪問云環(huán)境存在的問題，加強(qiáng)云環(huán)境的安全，實現(xiàn)對特權(quán)賬號的安區(qū)別于共享特權(quán)賬號，運維管理員是有唯一身份標(biāo)識的，從訪問開始到訪問結(jié)束的整個過程可追溯。在運維管理員訪問云環(huán)境前，平臺需要驗證個人的用戶身份、操作的業(yè)務(wù)、有效時間范圍；在云環(huán)境訪問過程中，特權(quán)管理平臺切換用戶身份為特權(quán)賬號。整個訪問過程中的所有操作均可控、可追溯。2.特權(quán)賬號的安全管理特權(quán)賬號與密碼統(tǒng)一由平臺實行管理，用戶訪問與操作業(yè)務(wù)不需要知道特用戶要使用云環(huán)境中的業(yè)務(wù)虛機(jī)，選擇該業(yè)務(wù)虛機(jī)和訪問的時間段，以及要執(zhí)平臺會自動為用戶完成對系統(tǒng)、數(shù)據(jù)庫的登錄，用戶直接執(zhí)行操作即可，執(zhí)行另外，當(dāng)有較多的云服務(wù)器時，定時修改密碼變成非常大的工作量。特權(quán)賬號密碼的定時更新由平臺根據(jù)密碼規(guī)則自動完成并批量快速完成修改。3.訪問過程可視化用戶的業(yè)務(wù)操作來自平臺授權(quán)，執(zhí)行操作前平臺會驗證合法性和時效性，并提供實時監(jiān)控，在用戶訪問過程中可實現(xiàn)及時中斷，以阻止危害的發(fā)生。對驗證未通過的操作平臺會提供警示信息，用戶無法執(zhí)行該項操作。4.權(quán)限分級大多數(shù)情況下，用戶使用特權(quán)賬號并不需要所有的操作權(quán)限，根據(jù)用戶申請操作業(yè)務(wù)的不同，可實現(xiàn)操作命令的分級處理，不在授權(quán)范圍的用戶操作無效，并對同一時間點其他用戶在同一臺系統(tǒng)進(jìn)行監(jiān)控和統(tǒng)計，對于影響其他用戶操作的命令會對用戶進(jìn)行提醒并中止執(zhí)行，用戶不用擔(dān)心因操作失誤產(chǎn)生的風(fēng)險問題，對運維的體驗有明顯提升。例如：對于刪除數(shù)據(jù)等危險操作需要進(jìn)5.監(jiān)管與風(fēng)控滿足企業(yè)在監(jiān)管與風(fēng)控方面的合規(guī)性，許多法規(guī)都對特權(quán)賬號提出明確要4.3云安全訪問在云原生模式下，企業(yè)通常會有多個SaaS應(yīng)用、多個云廠商的IaaS，通常是一種混合云架構(gòu)。云主機(jī)在互聯(lián)網(wǎng)上面臨很多的安全威脅，例如從操作系統(tǒng)到應(yīng)用代碼的漏洞，開源軟件或軟件組件的0day攻擊等等。傳統(tǒng)訪問IaaS云需要借助于終端工具，例如VPN，而這種方式已遠(yuǎn)不能VPN包含終端軟件和服務(wù)端軟件，終端要建立與服務(wù)端的號和密碼，或者數(shù)字證書，作為網(wǎng)絡(luò)連接的身份憑據(jù)，VPN是先連接后認(rèn)證的然后用戶通過其他工具訪問IaaS云中的資源。如果用同一個VPN賬號和密碼在任何終端上同樣可以建立到IaaS云端的連接，這對IaaS云中的資源造成了2.VPN不具備細(xì)粒度訪問控制知道或者是否有權(quán)限訪問IaaS云中的資源無能為力，這就導(dǎo)致有網(wǎng)絡(luò)身份的用戶在訪問資源未驗證身份前在IaaS云中可為所欲為，由于無法識別，整個3.訪問風(fēng)險無法被識別如果終端不安全，會導(dǎo)致有風(fēng)險的數(shù)據(jù)直接進(jìn)入到IaaS云中環(huán)境，服務(wù)資源的安全性得不到保障。例如用戶換了終端繼續(xù)工作，如果更換的終端環(huán)境是高風(fēng)險的，而用戶的權(quán)限并沒有發(fā)生變化，這就很可能出現(xiàn)安全要實現(xiàn)云安全訪問，需要用到ZTaaS平臺來解決這些問題，從終端、互聯(lián)網(wǎng)連接，再到云端服務(wù)資源，可以滿足云安全訪問的需求。ZTaaS平臺能幫ZTaaS平臺能構(gòu)建端到端的安全訪問能力，從終端、用戶、到加密訪問通道、身份認(rèn)證、云資源的授權(quán)訪問等。零信任客戶端提供終端安全容器，對訪問設(shè)備進(jìn)行安全保護(hù)，提供安全加密鏈路對訪問進(jìn)行加密，在訪問過程中，不僅對用戶進(jìn)行身份認(rèn)證，同時也對訪問設(shè)備進(jìn)行認(rèn)證。對云應(yīng)用進(jìn)行訪問時，直接參與到應(yīng)用授權(quán)環(huán)節(jié)，從而保證了從設(shè)備到業(yè)務(wù)全程的基于零信任技術(shù)對業(yè)務(wù)系統(tǒng)的安全訪問，需要通過軟件定義邊界（SoftwareDefinedPerimeter-SDP）技術(shù)，實現(xiàn)在建立訪問連接前需要完終端會向服務(wù)端的的認(rèn)證服務(wù)發(fā)起單包認(rèn)證模式，終端不會收到任何響應(yīng)，直到服務(wù)端的認(rèn)證服務(wù)完成對來自該終端的身份驗證后，才通知服務(wù)端的可信網(wǎng)利用零信任的網(wǎng)絡(luò)隱身能力，企業(yè)可以構(gòu)建基于公有云的私有安全數(shù)據(jù)中3.基于用戶行為的風(fēng)險分析零信任訪問中，不僅僅依賴于用戶和設(shè)備的認(rèn)證。零信任通過訪問網(wǎng)關(guān)收集用戶訪問數(shù)據(jù)和訪問上下文信息，如常用設(shè)備、常用訪問地點、時間、設(shè)備用戶在任何情況下都需要保持最小權(quán)限的訪問，ZTaaS平臺在運行過程中會采集用戶訪問期間在終端、網(wǎng)絡(luò)、服務(wù)器的可信網(wǎng)關(guān)、認(rèn)證服務(wù)、IaaS云中的資源服務(wù)等信息，如果發(fā)現(xiàn)環(huán)境有變化，結(jié)合IDaaS會自動完成身份權(quán)限的價值回報分析云原生數(shù)字化的價值是多方位的，為企業(yè)數(shù)字化轉(zhuǎn)型在促進(jìn)業(yè)務(wù)、降本增