編者按:本文為專欄作者雲岫資本企業服務組授權創業邦發表,作者吳曉婷,關若琳。版權歸原作者所有。
萬豪酒店客户信息泄露、微盟系統數據遭破壞……近年來,大型企業的數字安全事故頻發,企業對於信息安全也越來越重視,甚至紛紛設立首席信息安全官(CISO)。然而,隨着業務上雲、生態協作、多雲混合等場景湧現,過往以防火牆為邊界的身份與訪問控制遭遇了新的挑戰。
如何打通雲上與本地系統的身份體系,對內部員工和外部合作伙伴的賬號、權限、行為進行統一管控?如何打破企業多個業務應用的數據孤島,建立全面的身份畫像,為用户提供更為順暢和精準的服務?這些將成為新的安全需求。
本期「雲岫研究」,我們總結分析了身份即服務(Identity as Service,簡稱IDaaS)的市場潛力、競爭格局,探究雲原生時代下,身份安全管理的趨勢與前景。
行業概覽(一)誕生背景:IT整體環境的變化,催生了基於雲原生安全的統一身份管理需求1)IT架構發生根源性的變化,本地化的身份管理與訪問控制(Identity and Access Management,簡稱IAM)方案已難以滿足當前需求:
隨着移動互聯、IOT設備的普及,大量的設備接入讓企業的身份信任邊界外擴,傳統的內外網分離。
2)隨着企業SaaS服務的發展,大量服務認證憑據無法得到統一、有效的管理:
企業網盤、釘釘等企業SaaS服務的發力,意味着越來越多的企業工作流、數據流和身份都到了外部,而非固定在原本的隔離環境中。
3)多雲進一步深化,降本增效需求迫切:
企業數據庫從IDC遷移到雲上,導致防護環境發生變化。雲計算的浪潮下,越來越多的企業選擇全站上雲或50%業務上雲。多應用、混合雲的環境,給企業帶來沉重的管理負擔——企業IT管理員需要維護每個員工在不同系統之間的賬號信息,並做日誌審計和授權管理。當使用企業內部AD域賬號訪問外部系統,以及外部系統需要通過VPN登錄到內部AD域的時候,員工需要維護複雜的賬户密碼體系。
(二)行業屬性:通過對人、終端和系統都進行識別、訪問控制、跟蹤,實現全面的身份化IAM:IAM是一個企業內部身份權限的管理方案,核心思想是以人的數字身份(如賬號)為切入點,打通信息孤島,連接各種應用,對用户訪問不同類型的應用系統的行為和權限進行賬號管理(Account)、認證管理(Authentication)、授權管理(Authorization)和審計管理(Audit)。
IDaaS:IDaaS是將身份管理作為一項專門服務,基於雲端的IAM能夠同時管理SaaS應用和內部應用。
與傳統IAM相比,IDaaS的重要性體現在:
1)適配性更強:部署方式上,傳統IAM僅支持私有化部署,而IDaaS支持混合雲部署;租户模式上,傳統IAM僅支持單租户模式,而IDaaS在此基礎上增加了多租户模式;
2)性能更強:可處理更大規模、更復雜的數據;
3)安全性更強:能保護企業及其用户免受數據泄露風險。
(三)選擇IDaaS解決方案的八個核心要素IDaaS解決方案使得客户可以集中化訪問所有重要業務,但任何停機/掉線都將導致組織的重大業務中斷,因此企業需根據特定維度謹慎評估與選擇合適的IDaaS產品。
判斷一款好的IDaaS產品,主要在於八個核心要素:
1) 足夠安全:安全是所有因素的核心,具有最高的優先級別;
2)具備良好的“開箱即用”能力:IDaaS解決方案在前瞻性方面應該具有靈活性,以應用到任何類型的IT基礎設施;同時IDaaS需提供良好的開發/集成模式,便於與任意的其他應用程序及解決方案進行集成;
3)支持與現有用户目錄存儲的集成:無論是在內部部署還是在雲端,IDaaS解決方案都需要以“最小中斷的目標”去支持員工的信息記錄系統,例如人力資源系統或活動目錄,這樣才能確保該解決方案的快速部署和在時間方面的優勢價值;
4)提供單點登錄(Single Sign On,簡稱SSO)的體驗和關鍵用户接入的管理能力:IDaaS解決方案應該對廣泛的SSO技術提供靈活的支持,例如安全聲明標記語言(SAML)、OpenID連接、活動目錄聯合服務(ADFS)及其它技術,這將保證能與各類企業級應用的集成;
5)支持智能的安全認證策略:IDaaS解決方案應該提供一種智能化認證機制,以應對各種應用的風險狀況,並可以檢測到各種可疑的訪問情況;此外,IDaaS解決方案應支持多種安全認證方式,包括但不限於軟件和硬件令牌、終端證書、生物識別等;
6)提供自動化的用户行為跟蹤和審計:IDaaS是否能夠實現全面的行為審計,跟蹤用户的每一次登錄和訪問行為,是我們要考察的另外一個重要因素。因為對企業管理者而言,審計永遠是安全的最後一道屏障,無法審計的訪問,永遠不是真正的安全;
7)提供一種統一且集中化的體驗:對用户來説,一個統一且易用的門户將極大地提升使用體驗;對管理員來説,一個統一集中化的身份管理平台,能節約大量時間,成倍提高效率;
8)使用成本低:IDaaS解決方案的成本,需要被通過一種靈活且簡單的授權模式來予以合理的定價。
(四)市場潛力:全球身份安全市場將超百億美元,數據安全領域迎來爆發1)雲基礎設施的投資推動雲安全市場的增長。
據Million Insights最新報告顯示,2020-2027年全球雲安全市場預計將保持14.6%的複合年增長率,2027年全球雲安全市場規模或將達到209億美元。身份和訪問管理市場全球安全支出也呈現出逐年增長的趨勢。據Gartner數據顯示,2017-2019年身份和訪問管理安全全球市場支出分別為88.2億美元、97.7億美元、105.8億美元。
2)隱私授權政策加速落地,助推身份安全管理海量需求。
2016年,快速身份在線聯盟(FIDO)發佈了第二代認證規範,啓動了網絡身份認證領域的全新標準。我國在《網絡安全法》中明確了國家實施網絡可信身份戰略,支持研究開發安全、方便的電子身份認證技術。2019年,歐盟修訂了《通用數據保護條例》(GDPR),對未能保護個人數據安全的組織加大了罰款數額。2020年,作為全球第五大經濟體的加州頒佈了消費者隱私法案(CCPA)。
國內IDaaS玩家主要分為兩類:雲計算背景成熟企業,以及雲安全創業服務商。
雲計算背景成熟企業在IDaaS領域的部署主要聚焦在身份認證環節。其競爭優勢為更有力的資源支撐、更豐富的運營經驗和更高的知名度。
雲安全創業服務商主要是聚焦於IDaaS領域的創業公司,產品實現從雲身份的認證到管理全場景、全流程打通。其競爭優勢為平台的靈活性、獨立性與可擴展性。
Okta為美國多雲部署及SaaS時代的身份認證管理服務商,成立於2019年。Okta通過兼收併購,快速獲得核心技術和人才,將業務由最初的單點登錄(SSO)逐漸擴張至IAM全領域,並同時服務於B2E、B2C、B2B全場景與全生命週期。
Okta客户以行業中大型企業為主,收費方式以訂閲費為主,近年營收成長性較高。Okta收穫了大量客户,滲透至多個垂直化行業中,致力於付費全球大中型客户,包括Adobe、Colorx、MGM Resorts、American Express、Magellan Health等,目前在全球財富2000客户中滲透率超過20%。
公司按照產品數量和終端用户數量向客户收取訂閲費,其收入的85%來自於美國本土市場。FY2021 Q2,公司實現收入2億美元,同比增長43%,客户數量達8,950家。目前,公司市值接近300億美元,股價自上市以來累計上漲近9倍。
總結與展望綜上,我們對國內IDaaS行業現狀及發展前景給出以下觀點:
第一,伴隨着雲計算市場的快速發展及雲原生技術的廣泛應用,雲安全市場正快速增長:
目前,雲安全支出佔雲計算支出比例尚處於較低水平,2020年約為1%,長期來看該比例將提升至5%左右。至2023年,全球市場規模將超百億美元。此外,國內雲安全市場需求旺盛,在新興雲安全技術應用上不斷追趕,高速發展可期,疫情也使得企業對雲身份管理服務的需求延續。
隨着客户需求升温、用户單價提升以及規模效應帶來的利潤改善,預計國內IDaaS創業企業中獨角獸公司的中長期成長性突出。
第二,中國雲計算的發展與海外市場還有一定差距,基於雲原生的身份認證與管理尚未得到重視。主要原因有兩點:
1)中國私有云市場比公有云市場發展更為領先,對安全資源池等私有化部署的安全機制需求較大:
中國的雲計算發展是從虛擬化起步,從私有云到公有行業雲。通常商用私有云系統是封閉的,缺乏對網絡流量按需控制的應用接口。因而,針對這類私有云的安全機制多為基於本地部署的安全資源池;
2)從技術應用上來説,中國對於新興雲安全技術尚處於早期階段:
一方面,國內缺乏重量級的企業級SaaS,導致市場較小;另一方面,國內的公有云相比私有云、行業雲仍較少,因此基於雲原生的身份認證與管理尚未得到重視。
第三,對於國內IDaaS創業公司而言,中小企業客羣的商業機會較大:
1)從需求角度來看,中小企業對雲原生身份管理技術的需求更急迫:
國外雲計算基因廠商IDaaS產品的目標客户以行業中大型企業為主,但國內大B過去的業務目前仍多基於私有云部署,預計部署方式的轉型時間較長,實施雲原生安全的急迫性低。在此背景下,傳統IAM產品更加有優勢。而反觀中小企業,業務上雲導致其對IDaaS的潛在需求更大;
2)從供給角度來看,創業基因使得年輕IDaaS服務商更易搶佔中小客羣市場。
老牌廠商擁有更強大的資源整合能力以及更高的知名度,且可以基於已有產品線增加IDaaS分支,更加容易在IDaaS領域快速獲取已有的大B客羣。但IDaaS創業服務商擁有模式輕、創新能力強的獨特優勢,使得企業在快速變化的底層技術大環境中佔據主動權,年輕的團隊能快適應技術發展的趨勢。
第四,產品體驗、使用成本是中小企業客羣的主要考量因素:
1)產品層面,保證良好用户體驗是關鍵,服務商需要從顧客角度出發,考慮產品的性能、易用性以及服務能力。
產品設計應遵循奧卡姆剃刀原則。身份驗證必須讓用户易於執行,讓IT部門易於部署,因此,IDaaS廠商應關注客户核心訴求,僅保留必要的關鍵功能,增強產品的易用性;服務模式應以顧問模式為主,持續服務客户從籌備、設計、實施、應用的全流程;
2)收費方式層面,國內IDaaS產品更適用於彈性收費模式。
中小企業對成本敏感,照搬國外主流的訂閲模式收費可能會導致客户付費意願不強,從而引起獲客難、客户黏性降低。國內廠商可按照客户的調用次數進行彈性收費。
部分參考資料
[1] 天風證券, 計算機行業專題研究:Okta,三年十倍,美國最大網絡安全公司.
[2] 開源證券, 雲安全專題報告:網絡安全的未來在雲端.
本文為專欄作者授權創業邦發表,版權歸原作者所有。文章系作者個人觀點,不代表創業邦立場,轉載請聯繫原作者。如有任何疑問,請聯繫