基于云原生时代的身份安全管理


【编者的话】随着业务上云、生态协作、多云混合等场景涌现,过往以防火墙为边界的身份与访问控制遭遇了新的挑战。如何打通云上与本地系统的身份体系,对内部员工和外部合作伙伴的账号、权限、行为进行统一管控,打破企业多个业务应用的数据孤岛,建立全面的身份画像,为用户提供更为顺畅和精准的服务,成为云原生时代新的安全需求。

IT 整体环境的变化,催生了基于云原生安全的统一身份管理需求

  • IT 架构根源性的变化:随着移动互联、IOT 设备的普及,大量的设备接入让企业的身份信任边界外扩,传统的内外网分离方案,本地化的 IAM 方案已经满足不了当前的需求。
  • 企业数据库从 IDC 迁移到云上:随着云计算的浪潮,越来越多的企业选择全站上云或 50% 业务上云,导致防护环境发生变化。
  • 企业 SaaS 服务发展:企业网盘、钉钉等企业 SaaS 服务的发力,意味着越来越多的企业工作流,数据流和身份都到了外部,而非固定在原本的隔离环境中;大量的 SaaS 服务认证凭据无法得到统一、有效的管理。
  • 多云进一步深化,降本增效需求迫切:多应用、混合云的环境,给企业带来沉重的管理负担。企业 IT 管理员需要维护每个员工在不同系统之间的账号信息,并做日志审计和授权管理。当员工使用企业内部 AD 域账号访问外部系统,以及外部系统需要通过 VPN 登录到内部 AD 域的时候,员工需要维护复杂的账户密码体系。


全球身份安全市场将超百亿美元,数据安全领域亟需技术突破迎来爆发

  • 云基础设施的投资推动云安全市场的增长:据 Million Insights 最新报告显示,2020-2027 年全球云安全市场预计将保持 14.6% 的复合年增长率,2027 年全球云安全市场规模或将达到 209 亿美元。身份和访问管理市场全球安全支出呈现出逐年增长的趋势。据 Gartner 数据显示,2017-2019 年身份和访问管理安全全球市场支出分别为 88.2 亿美元、97.7 亿美元、105.8 亿美元。
    1.png
  • 隐私授权政策加速落地,助推身份安全管理海量需求:2016 年,快速身份在线联盟(FIDO)发布了第二代认证规范,启动了网络身份认证领域的全新标准。我国在《网络安全法》中明确了国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术。2019 年,欧盟修订了《通用数据保护条例》(GDPR),对未能保护个人数据安全的组织加大了罚款数额。2020 年,作为全球第五大经济体的加州颁布了消费者隐私法案(CCPA)。
    2.png


企业需要新身份管理技术,通过对人、终端和系统都进行识别、访问控制、跟踪实现全面的身份化

  • 身份管理与访问控制(Identity and Access Management,简称 IAM):IAM 是一个企业内部身份权限的管理方案,核心思想是以人的数字身份(如账号)为切入点,打通信息孤岛,连接各种应用,对用户访问不同类型的应用系统的行为和权限进行账号管理(Account)、认证管理(Authentication)、授权管理(Authorization)和审计管理(Audit)。

  • 从 IAM 到 IDaaS:IDaaS(Identity as Service,简称 IDaaS)是将身份管理作为一项专门服务,基于云端的 IAM 能够同时管理 SaaS 应用和内部应用。与传统 IAM 相比,IDaaS 的重要性体现在:
    • 适配性更强:部署方式上,传统 IAM 仅支持私有化部署,而 IDaaS 支持混合云部署;租户模式上,传统 IAM 仅支持单租户模式,而 IDaaS 在此基础上增加了多租户模式;
    • 性能更强:可处理更大规模、更复杂的数据;
    • 安全性更强:能保护企业及其用户免受数据泄露风险。

  • 选择 IDaaS 解决方案的核心要素:IDaaS 的解决方案是客户用来访问所有重要业务的集中化机制,企业需谨慎选择此类产品,因为任何停机/掉线都将导致组织的重大业务中断。判断 IDaaS 核心产品主要基于:
    • 足够安全:安全是所有因素的核心,具有最高的优先级别。
    • 有良好的“开箱即用”能力:IDaaS 解决方案在前瞻性方面应该具有灵活性,以应用到任何类型的 IT 基础设施,同时 IDaaS 需提供良好的开发/集成模式,方便和任意的应用程序及其他解决方案集成。
    • 支持与现有用户目录存储的集成:无论是在内部部署还是在云端,被评估的解决方案都需要以最小中断的目标去支持员工的信息记录系统,例如人力资源系统或是活动目录。这样才能够确保该解决方案的快速部署和在时间方面的优势价值。
    • 提供 SSO 的体验和关键用户接入的管理能力:被评估的解决方案应该对广泛的 SSO 技术提供灵活的支持,例如安全声明标记语言(SAML)、OpenID 连接、活动目录联合服务(ADFS)及其它技术。这将保证能与各类企业级应用的集成。
    • 支持智能的安全认证策略:被评估的解决方案应该提供一种智能化,以适应各种应用的风险状况并适于检测到可疑的访问情况的不同,该解决方案应该支持多种不同的认证因素,包括软和硬件令牌、终端证书、并期待能支持新的,诸如生物识别之类的创新因素。
    • 提供自动化的用户行为跟踪和审计:IDaaS 是否能够实现全面的行为审计,跟踪用户的每一次登录和访问行为,是我们要考察的另外一个重要因素。因为对企业管理者而言,审计永远是安全的最后一道屏障,无法审计的访问,永远不是真正的安全。
    • 提供一种统一且集中化的体验:一种统一且集中化的体验对于最终用户和 IT 管理员来说是非常重要的。对用户来说,一个统一且易用的门户极大地提升使用体验。对管理员来说,一个统一集中化的身份管理平台,能节约大量的时间,成倍地提高效率。
    • 使用成本:IDaaS 解决方案的成本,需要被通过一种灵活且简单的授权模式来予以合理的定价。


国内 IDaaS 主要服务商对比

IDaaS 玩家主要分为两类:云计算背景成熟企业,以及创业背景云安全服务专门厂商。云计算背景成熟企业在 IDaaS 领域的部署主要聚焦在身份认证环节。其竞争优势为更有力的资源支撑、更丰富的运营经验和更高的知名度。IDaaS 专门厂商主要是创业类公司,产品实现从云身份的认证到管理全场景、全流程打通。其竞争优势为平台的灵活性、独立性与可扩展性。
3.png

4.png

表 2:国内创业背景 IDaaS 主要服务商产品及基本信息对比(数据来源:公司官网,企名片)

国外对标公司:Okta,全球在线身份与访问管理领导者

Okta 为美国多云部署及 SaaS 时代的身份认证管理服务商,成立于 2019 年。Okta 通过兼收并购,快速获得核心技术和人才,将业务由最初的单点登录(SSO)逐渐扩张至 IAM 全领域,并同时服务于 B2E、B2C、B2B 全场景与全生命周期。
5.png

6.png

Okta 客户以行业中大型企业为主,收费方式以订阅费为主,近年营收成长性较高。Okta 收获了大量客户,渗透至多个垂直化行业中,致力于付费全球大中型客户,包括 Adobe、Colorx、MGM Resorts、American Express、Magellan Health 等,目前在全球财富 2000 客户中渗透率超过 20%。公司按照产品数量和终端用户数量向客户收取订阅费,其收入的 85% 来自于美国本土市场。FY2021 Q2,公司实现收入 2 亿美元,同比增长 43 %,客户数量达 8,950 家。目前,公司市值接近 300 亿美元,股价自上市以来累计上涨近 9 倍。

综上,我们对国内 IDaaS 行业现状及发展前景给出以下观点:

  • 中国在云计算的发展阶段和云原生技术的程度上与海外市场还有一定差距。主要原因有两点:
    • 中国私有云市场比公有云市场发展更为领先,对安全资源池等私有化部署的安全机制需求较大。中国的云计算发展是从虚拟化起步,从私有云到公有行业云。通常商用私有云系统是封闭的,缺乏对网络流量按需控制的应用接口。因而,针对这类私有云的安全机制多为基于本地部署的安全资源池。
    • 从技术应用上来说,中国对于新兴云安全技术尚处于早期阶段。一方面,国内缺乏重量级的企业级 SaaS 而导致市场较小;另一方面,国内的公有云相比私有云、行业云仍较少,因此基于云原生的身份认证与管理尚未得到重视。

  • 对于国内 IDaaS 创业公司而言,中小企业客群的商业机会较大。从需求角度来看,中小企业对云原生身份管理技术的需求更急迫。国外云计算基因厂商 IDaaS 产品的目标客户以行业中大型企业为主,但国内大 B 过去的业务目前仍多基于私有云部署,预计部署方式的转型时间较长,实施云原生安全的急迫性低。在此背景下,传统 IAM 产品更加有优势。而反观中小企业,业务上云导致其对 IDaaS 的潜在需求更大。从供给角度来看,创业基因使得年轻 IDaaS 服务商更易抢占中小客群市场。老牌厂商拥有更强大的资源整合能力以及更高的知名度,且可以基于已有产品线增加 IDaaS 分支,更加容易在 IDaaS 领域快速获取已有的大 B 客群。但 IDaaS 创业服务商拥有模式轻、创新能力强的独特优势,使得企业在快速变化的底层技术大环境中占据主动权,年轻的团队能快适应技术发展的趋势。
  • 产品体验、使用成本是中小企业客群的主要考量因素。产品层面,保证良好用户体验是关键。服务商需要从顾客角度出发,考虑产品的性能、易用性以及服务能力。产品设计应遵循奥卡姆剃刀原则。身份验证必须让用户易于执行,让 IT 部门易于部署,因此,IDaaS 厂商应关注客户核心诉求,仅保留必要的关键功能,增强产品的易用性。服务模式应以顾问模式为主,持续服务客户从筹备、设计、实施、应用的全流程。收费方式层面,国内更适用于弹性收费模式。中小企业对成本敏感,照搬国外主流的订阅费模式收费,可能会导致客户付费意愿不强,从而引起获客难、客户黏性降低。国内厂商可按照客户的调用次数进行弹性收费。
  • 云安全市场正伴随着云计算市场的快速发展,及云原生技术的广泛应用快速增长。目前,云安全支出占云计算支出比例尚处于较低水平,2020 年约为 1%,长期来看该比例将提升至 5% 左右。至 2023 年,全球市场规模将超百亿美元。此外,国内云安全市场需求旺盛,在新兴云安全技术应用上不断追赶,高速发展可期。疫情使得企业对云身份管理服务的需求延续。对标国外企业,国内 IDaaS 创业企业随着客户需求升温、用户单价的提升以及规模效应带来的利润改善,预计行业中独角兽公司的中长期成长性突出。


部分参考资料:
  • 天风证券,计算机行业专题研究:Okta,三年十倍,美国最大网络安全公司.
  • 开源证券,云安全专题报告:网络安全的未来在云端。

0 个评论

要回复文章请先登录注册