万豪酒店客户信息泄露、微盟系统数据遭破坏……近年来,大型企业的数字安全事故频发,企业对于信息安全也越来越重视,甚至纷纷设立首席信息安全官(CISO)。然而,随着业务上云、生态协作、多云混合等场景涌现,过往以防火墙为边界的身份与访问控制遭遇了新的挑战。
如何打通云上与本地系统的身份体系,对内部员工和外部合作伙伴的账号、权限、行为进行统一管控?如何打破企业多个业务应用的数据孤岛,建立全面的身份画像,为用户提供更为顺畅和精准的服务?这些将成为新的安全需求。
本期「云岫研究」,我们总结分析了身份即服务(Identity as Service,简称IDaaS)的市场潜力、竞争格局,探究云原生时代下,身份安全管理的趋势与前景。
行业概览
(一)诞生背景:IT整体环境的变化,催生了基于云原生安全的统一身份管理需求
1)IT架构发生根源性的变化,本地化的身份管理与访问控制(Identity and Access Management,简称IAM)方案已难以满足当前需求:
随着移动互联、IOT设备的普及,大量的设备接入让企业的身份信任边界外扩,传统的内外网分离。
2)随着企业SaaS服务的发展,大量服务认证凭据无法得到统一、有效的管理:
企业网盘、钉钉等企业SaaS服务的发力,意味着越来越多的企业工作流、数据流和身份都到了外部,而非固定在原本的隔离环境中。
3)多云进一步深化,降本增效需求迫切:
企业数据库从IDC迁移到云上,导致防护环境发生变化。云计算的浪潮下,越来越多的企业选择全站上云或50%业务上云。多应用、混合云的环境,给企业带来沉重的管理负担——企业IT管理员需要维护每个员工在不同系统之间的账号信息,并做日志审计和授权管理。当使用企业内部AD域账号访问外部系统,以及外部系统需要通过VPN登录到内部AD域的时候,员工需要维护复杂的账户密码体系。
(二)行业属性:通过对人、终端和系统都进行识别、访问控制、跟踪,实现全面的身份化
IAM:IAM是一个企业内部身份权限的管理方案,核心思想是以人的数字身份(如账号)为切入点,打通信息孤岛,连接各种应用,对用户访问不同类型的应用系统的行为和权限进行账号管理(Account)、认证管理(Authentication)、授权管理(Authorization)和审计管理(Audit)。
IDaaS:IDaaS是将身份管理作为一项专门服务,基于云端的IAM能够同时管理SaaS应用和内部应用。
与传统IAM相比,IDaaS的重要性体现在:
1)适配性更强:部署方式上,传统IAM仅支持私有化部署,而IDaaS支持混合云部署;租户模式上,传统IAM仅支持单租户模式,而IDaaS在此基础上增加了多租户模式;
2)性能更强:可处理更大规模、更复杂的数据;
3)安全性更强:能保护企业及其用户免受数据泄露风险。
(三)选择IDaaS解决方案的八个核心要素
IDaaS解决方案使得客户可以集中化访问所有重要业务,但任何停机掉线都将导致组织的重大业务中断,因此企业需根据特定维度谨慎评估与选择合适的IDaaS产品。
判断一款好的IDaaS产品,主要在于八个核心要素:
1) 足够安全:安全是所有因素的核心,具有最高的优先级别;
2)具备良好的“开箱即用”能力:IDaaS解决方案在前瞻性方面应该具有灵活性,以应用到任何类型的IT基础设施;同时IDaaS需提供良好的开发集成模式,便于与任意的其他应用程序及解决方案进行集成;
3)支持与现有用户目录存储的集成:无论是在内部部署还是在云端,IDaaS解决方案都需要以“最小中断的目标”去支持员工的信息记录系统,例如人力资源系统或活动目录,这样才能确保该解决方案的快速部署和在时间方面的优势价值;
4)提供单点登录(Single Sign On,简称SSO)的体验和关键用户接入的管理能力:IDaaS解决方案应该对广泛的SSO技术提供灵活的支持,例如安全声明标记语言(SAML)、OpenID连接、活动目录联合服务(ADFS)及其它技术,这将保证能与各类企业级应用的集成;
5)支持智能的安全认证策略:IDaaS解决方案应该提供一种智能化认证机制,以应对各种应用的风险状况,并可以检测到各种可疑的访问情况;此外,IDaaS解决方案应支持多种安全认证方式,包括但不限于软件和硬件令牌、终端证书、生物识别等;
6)提供自动化的用户行为跟踪和审计:IDaaS是否能够实现全面的行为审计,跟踪用户的每一次登录和访问行为,是我们要考察的另外一个重要因素。因为对企业管理者而言,审计永远是安全的最后一道屏障,无法审计的访问,永远不是真正的安全;
7)提供一种统一且集中化的体验:对用户来说,一个统一且易用的门户将极大地提升使用体验;对管理员来说,一个统一集中化的身份管理平台,能节约大量时间,成倍提高效率;
8)使用成本低:IDaaS解决方案的成本,需要被通过一种灵活且简单的授权模式来予以合理的定价。
(四)市场潜力:全球身份安全市场将超百亿美元,数据安全领域迎来爆发
1)云基础设施的投资推动云安全市场的增长。
据Million Insights最新报告显示,2020-2027年全球云安全市场预计将保持14.6%的复合年增长率,2027年全球云安全市场规模或将达到209亿美元。身份和访问管理市场全球安全支出也呈现出逐年增长的趋势。据Gartner数据显示,2017-2019年身份和访问管理安全全球市场支出分别为88.2亿美元、97.7亿美元、105.8亿美元。
2)隐私授权政策加速落地,助推身份安全管理海量需求。
2016年,快速身份在线联盟(FIDO)发布了第二代认证规范,启动了网络身份认证领域的全新标准。我国在《网络安全法》中明确了国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术。2019年,欧盟修订了《通用数据保护条例》(GDPR),对未能保护个人数据安全的组织加大了罚款数额。2020年,作为全球第五大经济体的加州颁布了消费者隐私法案(CCPA)。
竞争格局
国内IDaaS玩家主要分为两类:云计算背景成熟企业,以及云安全创业服务商。
云计算背景成熟企业在IDaaS领域的部署主要聚焦在身份认证环节。其竞争优势为更有力的资源支撑、更丰富的运营经验和更高的知名度。
云安全创业服务商主要是聚焦于IDaaS领域的创业公司,产品实现从云身份的认证到管理全场景、全流程打通。其竞争优势为平台的灵活性、独立性与可扩展性。
国外对标公司:
Okta,全球在线身份与访问管理领导者
Okta为美国多云部署及SaaS时代的身份认证管理服务商,成立于2019年。Okta通过兼收并购,快速获得核心技术和人才,将业务由最初的单点登录(SSO)逐渐扩张至IAM全领域,并同时服务于B2E、B2C、B2B全场景与全生命周期。
Okta客户以行业中大型企业为主,收费方式以订阅费为主,近年营收成长性较高。Okta收获了大量客户,渗透至多个垂直化行业中,致力于付费全球大中型客户,包括Adobe、Colorx、MGM Resorts、American Express、Magellan Health等,目前在全球财富2000客户中渗透率超过20%。
公司按照产品数量和终端用户数量向客户收取订阅费,其收入的85%来自于美国本土市场。FY2021 Q2,公司实现收入2亿美元,同比增长43%,客户数量达8,950家。目前,公司市值接近300亿美元,股价自上市以来累计上涨近9倍。
总结与展望
综上,我们对国内IDaaS行业现状及发展前景给出以下观点:
第一,伴随着云计算市场的快速发展及云原生技术的广泛应用,云安全市场正快速增长:
目前,云安全支出占云计算支出比例尚处于较低水平,2020年约为1%,长期来看该比例将提升至5%左右。至2023年,全球市场规模将超百亿美元。此外,国内云安全市场需求旺盛,在新兴云安全技术应用上不断追赶,高速发展可期,疫情也使得企业对云身份管理服务的需求延续。
随着客户需求升温、用户单价提升以及规模效应带来的利润改善,预计国内IDaaS创业企业中独角兽公司的中长期成长性突出。
第二,中国云计算的发展与海外市场还有一定差距,基于云原生的身份认证与管理尚未得到重视。主要原因有两点:
1)中国私有云市场比公有云市场发展更为领先,对安全资源池等私有化部署的安全机制需求较大:
中国的云计算发展是从虚拟化起步,从私有云到公有行业云。通常商用私有云系统是封闭的,缺乏对网络流量按需控制的应用接口。因而,针对这类私有云的安全机制多为基于本地部署的安全资源池;
2)从技术应用上来说,中国对于新兴云安全技术尚处于早期阶段:
一方面,国内缺乏重量级的企业级SaaS,导致市场较小;另一方面,国内的公有云相比私有云、行业云仍较少,因此基于云原生的身份认证与管理尚未得到重视。
第三,对于国内IDaaS创业公司而言,中小企业客群的商业机会较大:
1)从需求角度来看,中小企业对云原生身份管理技术的需求更急迫:
国外云计算基因厂商IDaaS产品的目标客户以行业中大型企业为主,但国内大B过去的业务目前仍多基于私有云部署,预计部署方式的转型时间较长,实施云原生安全的急迫性低。在此背景下,传统IAM产品更加有优势。而反观中小企业,业务上云导致其对IDaaS的潜在需求更大;
2)从供给角度来看,创业基因使得年轻IDaaS服务商更易抢占中小客群市场。
老牌厂商拥有更强大的资源整合能力以及更高的知名度,且可以基于已有产品线增加IDaaS分支,更加容易在IDaaS领域快速获取已有的大B客群。但IDaaS创业服务商拥有模式轻、创新能力强的独特优势,使得企业在快速变化的底层技术大环境中占据主动权,年轻的团队能快适应技术发展的趋势。
第四,产品体验、使用成本是中小企业客群的主要考量因素:
1)产品层面,保证良好用户体验是关键,服务商需要从顾客角度出发,考虑产品的性能、易用性以及服务能力。
产品设计应遵循奥卡姆剃刀原则。身份验证必须让用户易于执行,让IT部门易于部署,因此,IDaaS厂商应关注客户核心诉求,仅保留必要的关键功能,增强产品的易用性;服务模式应以顾问模式为主,持续服务客户从筹备、设计、实施、应用的全流程;
2)收费方式层面,国内IDaaS产品更适用于弹性收费模式。
中小企业对成本敏感,照搬国外主流的订阅模式收费可能会导致客户付费意愿不强,从而引起获客难、客户黏性降低。国内厂商可按照客户的调用次数进行弹性收费。(来源:猎云网)
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- 腾讯音乐Q3持续稳健增长:总收入70.2亿元,付费用户数1.19亿
- 苹果Q4营收949亿美元同比增6%,在华营收微降
- 三星电子Q3营收79万亿韩元,营业利润受一次性成本影响下滑
- 赛力斯已向华为支付23亿,购买引望10%股权
- 格力电器三季度营收同比降超15%,净利润逆势增长
- 合合信息2024年前三季度业绩稳健:营收增长超21%,净利润增长超11%
- 台积电四季度营收有望再攀高峰,预计超260亿美元刷新纪录
- 韩国三星电子决定退出LED业务,市值蒸发超4600亿元
- 鸿蒙概念龙头大涨超9倍,北交所与新能源板块引领A股强势行情
- 京东金融回应“挤兑”传闻:称相关言论完全失实,资金安全受监管保护
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。