雲岫行業研究｜基于雲原生時代的身份安全管理

雲岫資本企服組 2021 年 3 月

【前言】随着業務上雲、生态協作、多雲混合等場景湧現，過往以防火牆為邊界的身份與通路控制遭遇了新的挑戰。如何打通雲上與本地系統的身份體系，對内部員工和外部合作夥伴的賬号、權限、行為進行統一管控，打破企業多個業務應用的資料孤島，建立全面的身份畫像，為使用者提供更為順暢和精準的服務，成為雲原生時代新的安全需求。

# ◼ IT 整體環境的變化，催生了基于雲原生安全的統一身份管理需求

➢ **IT 架構根源性的變化：** 随着移動互聯、IOT 裝置的普及，大量的裝置接入讓企業的身份信任邊界外擴，傳統的内外網分離方案，本地化的 IAM 方案已經滿足不了目前的需求。

➢ **企業資料庫從 IDC 遷移到雲上：** 随着雲計算的浪潮，越來越多的企業選擇全站上雲或 50% 業務上雲，導緻防護環境發生變化。

➢ **企業 SaaS 服務發展：** 企業網盤、釘釘等企業 SaaS 服務的發力，意味着越來越多的企業工作流，資料流和身份都到了外部，而非固定在原本的隔離環境中；大量的 SaaS 服務認證憑據無法得到統一、有效的管理。

➢ **多雲進一步深化，降本增效需求迫切：** 多應用、混合雲的環境，給企業帶來沉重的管理負擔。企業 IT 管理者需要維護每個員工在不同系統之間的賬号資訊，并做日志審計和授權管理。當員工使用企業内部 AD 域賬号通路外部系統，以及外部系統需要通過 *** 登入到内部 AD 域的時候，員工需要維護複雜的賬戶密碼體系。

# ◼ 全球身份安全市場将超百億美元，資料安全領域亟需技術突破迎來爆發

➢ **雲基礎設施的投資推動雲安全市場的增長：** 據 Million Insights 最新報告顯示，2020-2027 年全球雲安全市場預計将保持 14.6% 的複合年增長率，2027 年全球雲安全市場規模或将達到 209 億美元。身份和通路管理市場全球安全支出呈現出逐年增長的趨勢。據 Gartner 資料顯示，2017-2019 年身份和通路管理安全全球市場支出分别為 88.2 億美元、97.7 億美元、105.8 億美元。


➢ **隐私授權政策加速落地，助推身份安全管理海量需求：** 2016 年，快速身份線上聯盟（FIDO）釋出了第二代認證規範，啟動了網絡身份認證領域的全新标準。我國在《網絡安全法》中明确了國家實施網絡可信身份戰略，支援研究開發安全、友善的電子身份認證技術。2019 年，歐盟修訂了《通用資料保護條例》（GDPR），對未能保護個人資料安全的組織加大了罰款數額。2020 年，作為全球第五大經濟體的加州頒布了消費者隐私法案（CCPA）。


# ◼ 企業需要新身份管理技術，通過對人、終端和系統都進行識别、通路控制、跟蹤實作全面的身份化

➢ **身份管理與通路控制（Identity and Access Management，簡稱 IAM）：** IAM 是一個企業内部身份權限的管理方案，核心思想是以人的數字身份（如賬号）為切入點，打通資訊孤島，連接配接各種應用，對使用者通路不同類型的應用系統的行為和權限進行賬号管理（Account）、認證管理（Authentication）、授權管理（Authorization）和審計管理（Audit）。

➢ **從 IAM 到 IDaaS：** IDaaS（Identity as Service，簡稱 IDaaS）是将身份管理作為一項專門服務，基于雲端的 IAM 能夠同時管理 SaaS 應用和内部應用。與傳統 IAM 相比，IDaaS 的重要性展現在：

**1）适配性更強：** 部署方式上，傳統 IAM 僅支援私有化部署，而 IDaaS 支援混合雲部署；租戶模式上，傳統 IAM 僅支援單租戶模式，而 IDaaS 在此基礎上增加了多租戶模式；

**2）性能更強：** 可處理更大規模、更複雜的資料；

**3）安全性更強：** 能保護企業及其使用者免受資料洩露風險。

➢ **選擇 IDaaS 解決方案的核心要素** ：IDaaS 的解決方案是客戶用來通路所有重要業務的集中化機制，企業需謹慎選擇此類産品，因為任何停機/掉線都将導緻組織的重大業務中斷。判斷 IDaaS 核心産品主要基于：

**1）足夠安全：** 安全是所有因素的核心，具有最高的優先級别。

**2）有良好的“開箱即用”能力：** IDaaS 解決方案在前瞻性方面應該具有靈活性，以應用到任何類型的 IT 基礎設施，同時 IDaaS 需提供良好的開發/內建模式，友善和任意的應用程式及其他解決方案內建。

**3）支援與現有使用者目錄存儲的內建：** 無論是在内部部署還是在雲端，被評估的解決方案都需要以最小中斷的目标去支援員工的資訊記錄系統，例如人力資源系統或是活動目錄。這樣才能夠確定該解決方案的快速部署和在時間方面的優勢價值。

**4）提供 SSO 的體驗和關鍵使用者接入的管理能力：** 被評估的解決方案應該對廣泛的 SSO 技術提供靈活的支援，例如安全聲明标記語言(SAML)、OpenID 連接配接、活動目錄聯合服務(ADFS)及其它技術。這将保證能與各類企業級應用的內建。

**5）支援智能的安全認證政策：** 被評估的解決方案應該提供一種智能化，以适應各種應用的風險狀況并适于檢測到可疑的通路情況的不同，該解決方案應該支援多種不同的認證因素，包括軟和硬體令牌、終端證書、并期待能支援新的，諸如生物識别之類的創新因素。

**6）提供自動化的使用者行為跟蹤和審計：** IDaaS 是否能夠實作全面的行為審計，跟蹤使用者的每一次登入和通路行為，是我們要考察的另外一個重要因素。因為對企業管理者而言，審計永遠是安全的最後一道屏障，無法審計的通路，永遠不是真正的安全。

**7）提供一種統一且集中化的體驗：** 一種統一且集中化的體驗對于最終使用者和 IT 管理者來說是非常重要的。對使用者來說，一個統一且易用的門戶極大地提升使用體驗。對管理者來說，一個統一集中化的身份管理平台，能節約大量的時間，成倍地提高效率。

**8）使用成本：** IDaaS 解決方案的成本，需要被通過一種靈活且簡單的授權模式來予以合理的定價。

# ◼ 國内 IDaaS 主要服務商對比

➢ **IDaaS 玩家主要分為兩類：** 雲計算背景成熟企業，以及創業背景雲安全服務專門廠商。雲計算背景成熟企業在 IDaaS 領域的部署主要聚焦在身份認證環節。其競争優勢為更有力的資源支撐、更豐富的營運經驗和更高的知名度。IDaaS 專門廠商主要是創業類公司，産品實作從雲身份的認證到管理全場景、全流程打通。其競争優勢為平台的靈活性、獨立性與可擴充性。



# ◼ 國外對标公司：Okta，全球線上身份與通路管理上司者

➢ **Okta 為美國多雲部署及 SaaS 時代的身份認證管理服務商，成立于 2019 年。** Okta 通過兼收并購，快速獲得核心技術和人才，将業務由最初的單點登入（SSO）逐漸擴張至 IAM 全領域，并同時服務于 B2E、B2C、B2B 全場景與全生命周期。



➢ **Okta 客戶以行業中大型企業為主，收費方式以訂閱費為主，近年營收成長性較高。** Okta 收獲了大量客戶，***至多個垂直化行業中，緻力于付費全球大中型客戶，包括 Adobe、Colorx、MGM Resorts、American Express、Magellan Health 等，目前在全球财富 2000 客戶中***率超過 20%。公司按照産品數量和終端使用者數量向客戶收取訂閱費，其收入的 85% 來自于美國本土市場。FY2021 Q2，公司實作收入 2 億美元，同比增長 43 %，客戶數量達 8,950 家。目前，公司市值接近 300 億美元，股價自上市以來累計上漲近 9 倍。

# ◼ 綜上，我們對國内 IDaaS 行業現狀及發展前景給出以下觀點：

➢ **中國在雲計算的發展階段和雲原生技術的程度上與海外市場還有一定差距。** 主要原因有兩點：

**1）中國私有雲市場比公有雲市場發展更為領先，對安全資源池等私有化部署的安全機制需求較大。** 中國的雲計算發展是從虛拟化起步，從私有雲到公有行業雲。通常商用私有雲系統是封閉的，缺乏對網絡流量按需控制的應用接口。因而，針對這類私有雲的安全機制多為基于本地部署的安全資源池。

**2）從技術應用上來說，中國對于新興雲安全技術尚處于早期階段。** 一方面，國内缺乏重量級的企業級 SaaS 而導緻市場較小；另一方面，國内的公有雲相比私有雲、行業雲仍較少，是以基于雲原生的身份認證與管理尚未得到重視。

➢ **對于國内 IDaaS 創業公司而言，中小企業客群的商業機會較大。** 從需求角度來看，中小企業對雲原生身份管理技術的需求更急迫。國外雲計算基因廠商 IDaaS 産品的目标客戶以行業中大型企業為主，但國内大 B 過去的業務目前仍多基于私有雲部署，預計部署方式的轉型時間較長，實施雲原生安全的急迫性低。在此背景下，傳統 IAM 産品更加有優勢。而反觀中小企業，業務上雲導緻其對 IDaaS 的潛在需求更大。從供給角度來看，創業基因使得年輕 IDaaS 服務商更易搶占「中小客群市場」。老牌廠商擁有更強大的資源整合能力以及更高的知名度，且可以基于已有産品線增加 IDaaS 分支，更加容易在 IDaaS 領域快速擷取已有的大 B 客群。但 IDaaS 創業服務商擁有模式輕、創新能力強的獨特優勢，使得企業在快速變化的底層技術大環境中占據主動權，年輕的團隊能快适應技術發展的趨勢。

➢ **産品體驗、使用成本是中小企業客群的主要考量因素。産品層面，保證良好使用者體驗是關鍵。** 服務商需要從顧客角度出發，考慮産品的性能、易用性以及服務能力。産品設計應遵循奧卡姆剃刀原則。身份驗證必須讓使用者易于執行，讓 IT 部門易于部署，是以，IDaaS 廠商應關注客戶核心訴求，僅保留必要的關鍵功能，增強産品的易用性。服務模式應以顧問模式為主，持續服務客戶從籌備、設計、實施、應用的全流程。收費方式層面，國内更适用于彈性收費模式。中小企業對成本敏感，照搬國外主流的訂閱費模式收費，可能會導緻客戶付費意願不強，進而引起獲客難、客戶黏性降低。國内廠商可按照客戶的調用次數進行彈性收費。

➢ **雲安全市場正伴随着雲計算市場的快速發展，及雲原生技術的廣泛應用快速增長。** 目前，雲安全支出占雲計算支出比例尚處于較低水準，2020 年約為 1%，長期來看該比例将提升至 5% 左右。至 2023 年，全球市場規模将超百億美元。此外，國内雲安全市場需求旺盛，在新興雲安全技術應用上不斷追趕，高速發展可期。疫情使得企業對雲身份管理服務的需求延續。對标國外企業，國内 IDaaS 創業企業随着客戶需求升溫、使用者單價的提升以及規模效應帶來的利潤改善，預計行業中獨角獸公司的中長期成長性突出。

## 部分參考資料