云原生企业数字化白皮书-派拉软件

I云原生企业数字化白皮书云为数字化转型启动强大引擎2云原生数字化平台框架4云原生数字化场景实现7云原生数字化的安全合规与隐私保护12价值回报分析21云原生数字化平台支持列表2311摘要发展的战略重点，是驱动业务增长的重要引擎。传统数据中心因为建设费用高昂、运维困难、技术迭代迟缓逐渐为很多企业抛弃。本文中的云原生企业数字化并不局限于狭义的云原生技术（如容器、DevOps），本白皮书意在通过利用云计算的优势，帮助企业快速敏捷推进数字化进程。同时，本白皮书对数字化云平台框架进行分析与思考，对数字化转型场景、云安全与隐私保护、价值回报等方面进行阐述，以期对22云为数字化转型启动强大引擎2022年政府工作报告中，就“加强数字中国建设整体布局、促进数字经济发展”等方面作出部署，国家印发的《“十四五”数字经济发展规划》也明确提出到2025年数字经济核心产业增加值占国内生产总值比重达到10%，预随着90后甚至00后的新生代员工，也即越来越多的数字化原住民走向工作岗位，企业无法再使用传统管控的方式对员工进行高效管理。企业需要创造便捷、高效甚至是“酷”的工作方式来吸引员工，发挥员工的潜力。在这种情况下，如何为新生代员工建立数字化工作平台将成为企业的一大挑战。互联网的便捷和极致的体验深刻影响着企业的用户，消费者变得越来越挑剔，企业如无法提供极致体验的业务将很难获得用户的认可。如何高效获客？如何感知用户体验？如何提供个性化客户服务？这些都对数字化客户提出了更33数字化时代节奏加快，业务发展日新月异，对市场需求的响应不再是以月或季度为周期，而是以周、天甚至是小时为单位。作为业务支撑的数字化平台如何快速调整又不影响客户体验，成为企业快速响应市场需极致体验成为数字化平台必备的能力。云平台充分继承快速敏捷的设计思想，通过搭建所有应用系统的载体，让云上的应用系统更具变革性。通过以云平台为核心的现代化IT基础架构，企业可以有效提升应用开发和交付效率，简化员工的工作，让员工聚焦业务创新和客户服务，提升企业的市场响应能力和竞争另外，云的租赁收费模式可让企业花费少量的成本即可快速获得数字化能力。比如，你可以在分钟内获得云主机计算平台，在数小时内开通需要的SaaS业务服务。这些特性使得业务创新快速敏捷，同时也具有最小化试错代对于企业而言，通过云平台实现数字化转型意义重大，无论是大企业还是中小企业都能在云上获得最大的投资收益。尤其是对于中小企业，通过IaaS和SaaS云技术和产品，可以获取以往只有大企业才拥有的计算资源，更应该利用云技术实现最优资源配置和最佳业务效率，把更多的精力聚焦在核心业务基于云原生的数字化，可以说是企业数字化转型的最短实现路径。44云原生数字化平台框架尽管基于云原生的数字化有诸多好处，但云原生数字化并非是完美的，一蹴而就的。我们需要扬长避短，充分发挥云带来的优势，同时避免发生问题。企业可以通过SaaS应用快速上线数字化应用，比如人力资源管理、财务管理系统等，但这些业务系统都是不同的SaaS服务商提供的，每个应用都是企业采用多家SaaS系统，不仅需要解决身份和权限的管理问题，也需要解决安全访问的管理问题，对适当的用户进行授权，用恰当的方式访问数字化但同时也加大了数据泄露的风险，安全管理工作显得更加重解决众多数据源的使用和管理问题，需要建立数据聚合和管理能力来保障数据55由于企业性质不同，企业数字化需求也很广泛，我们提炼了中小企业数字（1）IaaS/PaaS云基础平台云基础平台由云平台厂商提供，国内主要有华为云、阿里云、腾讯云、电数字化员工、数字化运营、数字化创新等。企业可以借助各种SaaS应用或低代码开发平台来实现这些场景。这些场景的详细内容将在后续章节进行阐述。66（3）API/ESB数据交换平台数字化应用是独立的应用，采用SaaS或者基于IaaS开发。这些应用之间的交互通过API/ESB数据交换平台来打破应用孤岛，实现应用之间的互操作性。本白皮书后续章节对业财管一体化场景有详在云原生下，传统数据中心的安全防护已经交由云厂商负责，企业需要负责数字化应用的用户管理、访问权限的管理。包含两大部分：一部分是针对所有数字化用户的身份和权限的管理，即身份即服务（IdentityasaService-IDaaS以及针对IT运维人员的管理和审计，即特权身份管理。另一部分是对这些云原生数字化应用的安全访问，即零信任安全服务（ZeroTrustasaService-ZTaaS）。这部分详见本白皮书的第4部分。这些数据的汇总和分析是企业重要的数字资产，也是数字化创新的基础。在深77云原生数字化场景实现云平台与业务场景的深度融合，为各行业注入了发展与创新的新动能。从数字化场景实现来看，通常包含员工数字化平台、企业数字化运营、客户营销顺应新生代员工的互联网化、快节奏的数字化时代发展，传统管理模式已不再适应企业高效管理需求，企业运营模式需要不断更新完善。借助数字化云平台，进一步赋能企业内部管理，将企业内的各个部门、组织都联系起来，改数字化对企业的影响很大，办公效率至少提升40在数字化办公场景中，从员工数字化管理和服务开启，从招聘、入职、转在此基础上提供安全的远程办公、差旅服务、费用报销、课程学习、企业福利等能力。同时，拥有数字化员工门户，统一员工身份管理，提供更安全便捷的多因子认证登录，并支持各种社交账号一键扫码登录办公，以及千人千面的门户体验，做到对于员工体验和办公效率的全面提升，如图3-188云原生的员工数字化平台将人力资源应用、沟通协作工具、差旅报销、学习考核等应用进行聚合，提供数字化员工门户，实现安全快捷、随时随地在线提升员工的工作效率，将精力用于客户服务和业3.2企业数字化运营合同、收入、成本等数据。这些数据往往分别在多个数字化应用中。比如，成本数据会分别在薪酬系统、差旅系统、采购系统等等。在业财管一体化中，解决传统业务、财务系统相互独立而出现的财务数据不准确不及时、业务财务报表数据不一致影响决策经营判断、缺乏有效监督、内控风险等问题，将公司各提高信息录入效率，降低差错率，增强业务、财务分析和管控能力，如图3-2所示。同时，管理层可以随时查看业务和财务数据，提升决策99对于中小企业而言，要定制化相应业务系统及业财管一体化，周期长、风险大、执行难，而云平台提供基础架构能力，中小企业以“租用”形式使用，3.3客户营销精准化随着互联网发展，官网、搜索引擎、公众号、口碑等一系列客户触点越来越多。面对“无处不在”的多触点、多渠道，传统单点式、粗放式营销方式不足以满足企业营销需要，多触点的客户管理与统筹成为现今企业开启商业精准借助数字化云平台，可实现对于多触点、多渠道的融合统一，解决多个触点难以管理及营销效果不明显的问题，同时在客户融合、客户分类等方面具有对于中小企业而言，市场投入有限，无法像大型企业进行大规模的市场活动和昂贵的推广，基于云平台的数字化营销，可快速实现客户营销的精准化，云原生数字化营销平台不仅可承载众多的营销SaaS应用，同时这些应用之间还可进行实时的数据同步。比如，通过电话、Web网站在生成线索，在将线索转化为商机，进一步形成合同和项目交付。这一系列的SaaS应用需要通过API交换平台实现应用的互联互通和数据交换，同时营销3.4数字化创新面对越发激烈的市场环境，企业必须保持快速的应用创新能力。而云原生数字化平台架构则为这种能力提供了条件，一改传统应用线下部署以及应用部借助数字化云平台，将各类SaaS系统和提供API服务等能力进行聚合，提供API、SDK快速接入集成，助力开发者的业务系统快速上线并协调相关系统和基础设施的深度集成，以高效稳定的云基础设施底座为开发者提供优质、安全的云服务保障，帮助开发者快速构建云应用，如数字化创新平台赋予开发人员低代码开发的“超能力”，无需编码或通过少量代码就可以快速进行应用程序的开发，解决现有SaaS系统无法满足客户需求的情况，帮助企业快速迭代创新以更好应对瞬息万变的市场发展需求。同时，利用平台的API编排能力，将云应用数据统一集成至客户统一门户，实现企业不同厂商、不同架构、不同协议的应用互联互通，打破系统间“信息孤岛”情况，提升用户访问系统的便捷性及企业的整体协同管理能力，助力企业数字云原生数字化的安全合规与隐私保护数据安全是构建客户信任的基础，相应安全保障工作也需同步开展1。在数字中国建设不断推进、数字经济稳步发展的背景之下,数字化带来的安全挑战成为今年两会的热门议题，网络安全也随之升级为数字安全，安全合规与隐私保护愈发受到越来越多企业的关注。尤其是将应用构建在云上的企业，在云服务环境下网络边界部分消失，网络安全防护难度升级，对于安全合规与隐私云平台需要选择满足国际和国家标准认证的云厂商，这些标准包括：ITSS信息技术服务标准符合性证书三级-云服务（SaaS云）、等保三级、云原生数字化安全保障并非只是云厂商的责任，企业也需要承担自己的安操作系统和组件的安全修复。但是，云厂商无法得知企业的用户、员工和业务的变化，因此企业自身需要对用户身份、权限和访问进行及时到位的管理，并因此，从企业角度，应当着重从云身份安全管理、云安全运维、云安全访在云环境下，用户或设备的身份信息都分散在各个SaaS系统、自开发系统中，企业在使用不同的SaaS服务过程中都存在由于身份信息的不同而导致的数据的不一致性，权限也不尽相同，企业需要在每个SaaS系统、自开发的离职员工不及时关闭账号导致数据泄露。过度授权导致用户可以查看超出应有权限的数据，造成企业信息安全风险。另外，通过邮件或即时消息沟通身份和授权，往往会发生遗漏、错误的情况，从而导致安全风险。2.身份和授权的工作量巨大每一位员工的入职、转正、更换部门或升职、离职都需要在所有的数字化系统中进行添加、变更、删除、锁定等操作。一位员工的变动，管理员往往需要操作几十个授权动作。在一个1000人的企业，采用20个数字化系统的情况下，将会涉及2万个数字身份及相关权限的管理，企业需要配备专门的安全3.身份数据治理隐患中国人姓名的重名率很高，在数字化系统授权时往往造成困扰，甚至导致错误授权。另外，外部用户或供应商需要手工创建身份信息，在供应商完成工作后往往没有及时删除用户账号和授权信息，导致安全4.应用访问体验欠佳由于多个数字化系统没有统一的入口，员工和用户往往无法方便地访问所有的系统，需要反复登录各种数字化应用，用户体验差，也不利于员工工作效要解决以上问题，需要通过云身份管理平台IDaaS来管理所有的SaaS应IDaaS通过与HRSaaS系统联动，当员工入职在HR系统中确认，员工身份数据实时同步到IDaaS系统中，IDaaS系统利用内置的规则，自动化开通员工相关的数据变更的情况下，如改换手机号，IDaaS系统将实时同步数据到所有与员工相关的数字化应用中；当员工离职时，在几秒钟内即可完成所有账号的锁定，该员工将无法再访问企业数字化应用。这些自动化的操作很大程度2.用户身份和权限管理的可视化在IDaaS中，所有的用户数字身份和权限将集中呈现。每一个用户实体在哪些数字化系统中拥有身份和权限将一目了然。身份和权限的可视化不仅提升IT管理员的工作效率，也有助于企业进行权限审计和管理，最大程度上避免3.云原生数字化安全性的增强IDaaS通过引入多因子认证、基于用户行为风险的安全认证，能够提升数字化业务的安全访问。比如：用户在北京登录，随后的1小时，又在新加坡进4.用户体验和工作效率提升全局访问的能力，用户只需登录一次，通过IDaaS的用户门户即可访问所有经授权的数字化系统。另一方面，IDaaS提供用户自助平台，可以帮助用户完成应用访问申请、个人信息修改、绑定访问设备、绑定社交账号登录等操作，提5.安全合规IDaaS平台帮助企业满足国家和国际的信息安全法规。比如，通过采用IDaaS可以提升系统安全等级保护到三级水平，可以帮助企业的业务满足《数据安全法》、《个人信息保护法》的合法合规要求，ID4.2云安全运维云环境可以随时访问，不受时间、地点的限制，诸如操作系统、数据库的具备访问云环境的最高权限，云环境的特权账号通常会被多个不同的用户因为业务的需求所使用，例如运维人员需要配置环境、部署应用、运维与监控服务多个用户使用同一个特权账号访问，如果期间有一个用户误操作导致系统异常，通过系统的日志只能够获得在某个时间段因特权账号操作发生的错误，而不容易定位具体是哪个用户操作的，该用户之前执行过哪些操作？这些操作是否必须？如何确定用户是否有权限执行该项操作？在什么情况下可以？这些2.特权账号管理隐患特权账号与用户在一对多的关系中，每个用户在访问的时候都需要知道特权账号和密码，密码存在泄漏风险。有些企业会用数字证书，但也只是与终端设备进行了绑定，终端设备如被别人使用，安全隐患将更大。特权账号密码定期更新的本意是加强密码安全，但在多个使用特权账号的用户都需要知道密码的情况下，密码定期更新就变成了一种形式，泄漏的风险依然存在；另外，如果使用特权账号的用户发生工作或岗位变动，特权账号的安全隐患就更高了。如果企业在云环境中存在多个业务系统，用户可能要记多个特权账号信息，由于特权账号的权限是共享的，用户的访问并非是最小权限，这就为误操作、数3.访问过程外部无法干预对于用户在访问云环境过程中执行的操作，企业无法做到甄别该用户并实现外部干预，直至该用户操作后导致错误事件的发生为止。例如，在运维时误操作执行了强制重启机器的命令，而这时刚好有系统写入业务数据或其他用户4.安全威胁造成恶性事故特权账号信息本身风险比较高，如果出现误操作可能给企业带来巨大的损失。例如：恶意或操作不当导致生产数据库删除，或者虚机的移除，都会导致要解决访问云环境存在的问题，加强云环境的安全，实现对特权账号的安区别于共享特权账号，运维管理员是有唯一身份标识的，从访问开始到访问结束的整个过程可追溯。在运维管理员访问云环境前，平台需要验证个人的用户身份、操作的业务、有效时间范围；在云环境访问过程中，特权管理平台切换用户身份为特权账号。整个访问过程中的所有操作均可控、可追溯。2.特权账号的安全管理特权账号与密码统一由平台实行管理，用户访问与操作业务不需要知道特用户要使用云环境中的业务虚机，选择该业务虚机和访问的时间段，以及要执平台会自动为用户完成对系统、数据库的登录，用户直接执行操作即可，执行另外，当有较多的云服务器时，定时修改密码变成非常大的工作量。特权账号密码的定时更新由平台根据密码规则自动完成并批量快速完成修改。3.访问过程可视化用户的业务操作来自平台授权，执行操作前平台会验证合法性和时效性，并提供实时监控，在用户访问过程中可实现及时中断，以阻止危害的发生。对验证未通过的操作平台会提供警示信息，用户无法执行该项操作。4.权限分级大多数情况下，用户使用特权账号并不需要所有的操作权限，根据用户申请操作业务的不同，可实现操作命令的分级处理，不在授权范围的用户操作无效，并对同一时间点其他用户在同一台系统进行监控和统计，对于影响其他用户操作的命令会对用户进行提醒并中止执行，用户不用担心因操作失误产生的风险问题，对运维的体验有明显提升。例如：对于删除数据等危险操作需要进5.监管与风控满足企业在监管与风控方面的合规性，许多法规都对特权账号提出明确要4.3云安全访问在云原生模式下，企业通常会有多个SaaS应用、多个云厂商的IaaS，通常是一种混合云架构。云主机在互联网上面临很多的安全威胁，例如从操作系统到应用代码的漏洞，开源软件或软件组件的0day攻击等等。传统访问IaaS云需要借助于终端工具，例如VPN，而这种方式已远不能VPN包含终端软件和服务端软件，终端要建立与服务端的号和密码，或者数字证书，作为网络连接的身份凭据，VPN是先连接后认证的然后用户通过其他工具访问IaaS云中的资源。如果用同一个VPN账号和密码在任何终端上同样可以建立到IaaS云端的连接，这对IaaS云中的资源造成了2.VPN不具备细粒度访问控制知道或者是否有权限访问IaaS云中的资源无能为力，这就导致有网络身份的用户在访问资源未验证身份前在IaaS云中可为所欲为，由于无法识别，整个3.访问风险无法被识别如果终端不安全，会导致有风险的数据直接进入到IaaS云中环境，服务资源的安全性得不到保障。例如用户换了终端继续工作，如果更换的终端环境是高风险的，而用户的权限并没有发生变化，这就很可能出现安全要实现云安全访问，需要用到ZTaaS平台来解决这些问题，从终端、互联网连接，再到云端服务资源，可以满足云安全访问的需求。ZTaaS平台能帮ZTaaS平台能构建端到端的安全访问能力，从终端、用户、到加密访问通道、身份认证、云资源的授权访问等。零信任客户端提供终端安全容器，对访问设备进行安全保护，提供安全加密链路对访问进行加密，在访问过程中，不仅对用户进行身份认证，同时也对访问设备进行认证。对云应用进行访问时，直接参与到应用授权环节，从而保证了从设备到业务全程的基于零信任技术对业务系统的安全访问，需要通过软件定义边界（SoftwareDefinedPerimeter-SDP）技术，实现在建立访问连接前需要完终端会向服务端的的认证服务发起单包认证模式，终端不会收到任何响应，直到服务端的认证服务完成对来自该终端的身份验证后，才通知服务端的可信网利用零信任的网络隐身能力，企业可以构建基于公有云的私有安全数据中3.基于用户行为的风险分析零信任访问中，不仅仅依赖于用户和设备的认证。零信任通过访问网关收集用户访问数据和访问上下文信息，如常用设备、常用访问地点、时间、设备用户在任何情况下都需要保持最小权限的访问，ZTaaS平台在运行过程中会采集用户访问期间在终端、网络、服务器的可信网关、认证服务、IaaS云中的资源服务等信息，如果发现环境有变化，结合IDaaS会自动完成身份权限的价值回报分析云原生数字化的价值是多方位的，为企业数字化转型在促进业务、降本增