写点什么

云岫行业研究 - 基于云原生时代的身份安全管理

云岫企服组

  • 2021-03-25
  • 本文字数:3961 字

    阅读完需:约 13 分钟

云岫行业研究-基于云原生时代的身份安全管理

随着业务上云、生态协作、多云混合等场景涌现,过往以防火墙为边界的身份与访问控制遭遇了新的挑战。如何打通云上与本地系统的身份体系,对内部员工和外部合作伙伴的账号、权限、行为进行统一管控,打破企业多个业务应用的数据孤岛,建立全面的身份画像,为用户提供更为顺畅和精准的服务,成为云原生时代新的安全需求。

IT 整体环境的变化,催生了基于云原生安全的统一身份管理需求

IT 架构根源性的变化:随着移动互联、IOT 设备的普及,大量的设备接入让企业的身份信任边界外扩,传统的内外网分离方案,本地化的 IAM 方案已经满足不了当前的需求。


企业数据库从 IDC 迁移到云上:随着云计算的浪潮,越来越多的企业选择全站上云或 50% 业务上云,导致防护环境发生变化。


企业 SaaS 服务发展:企业网盘、钉钉等企业 SaaS 服务的发力,意味着越来越多的企业工作流,数据流和身份都到了外部,而非固定在原本的隔离环境中;大量的 SaaS 服务认证凭据无法得到统一、有效的管理。


多云进一步深化,降本增效需求迫切:多应用、混合云的环境,给企业带来沉重的管理负担。企业 IT 管理员需要维护每个员工在不同系统之间的账号信息,并做日志审计和授权管理。当员工使用企业内部 AD 域账号访问外部系统,以及外部系统需要通过 VPN 登录到内部 AD 域的时候,员工需要维护复杂的账户密码体系。

 

全球身份安全市场将超百亿美元,数据安全领域亟需技术突破迎来爆发

云基础设施的投资推动云安全市场的增长:据 Million Insights 最新报告显示,2020-2027 年全球云安全市场预计将保持 14.6% 的复合年增长率,2027 年全球云安全市场规模或将达到 209 亿美元。身份和访问管理市场全球安全支出呈现出逐年增长的趋势。据 Gartner 数据显示,2017-2019 年身份和访问管理安全全球市场支出分别为 88.2 亿美元、97.7 亿美元、105.8 亿美元。



隐私授权政策加速落地,助推身份安全管理海量需求:2016 年,快速身份在线联盟(FIDO)发布了第二代认证规范,启动了网络身份认证领域的全新标准。我国在《网络安全法》中明确了国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术。2019 年,欧盟修订了《通用数据保护条例》(GDPR),对未能保护个人数据安全的组织加大了罚款数额。2020 年,作为全球第五大经济体的加州颁布了消费者隐私法案(CCPA)。


 

企业需要新身份管理技术,通过对人、终端和系统都进行识别、访问控制、跟踪实现全面的身份化

身份管理与访问控制(Identity and Access Management,简称 IAM):IAM 是一个企业内部身份权限的管理方案,核心思想是以人的数字身份(如账号)为切入点,打通信息孤岛,连接各种应用,对用户访问不同类型的应用系统的行为和权限进行账号管理(Account)、认证管理(Authentication)、授权管理(Authorization)和审计管理(Audit)。


从 IAM 到 IDaaS:IDaaS(Identity as Service,简称 IDaaS)是将身份管理作为一项专门服务,基于云端的 IAM 能够同时管理 SaaS 应用和内部应用。与传统 IAM 相比,IDaaS 的重要性体现在:

1)适配性更强:部署方式上,传统 IAM 仅支持私有化部署,而 IDaaS 支持混合云部署;租户模式上,传统 IAM 仅支持单租户模式,而 IDaaS 在此基础上增加了多租户模式;

2)性能更强:可处理更大规模、更复杂的数据;

3)安全性更强:能保护企业及其用户免受数据泄露风


选择 IDaaS 解决方案的核心要素:IDaaS 的解决方案是客户用来访问所有重要业务的集中化机制,企业需谨慎选择此类产品,因为任何停机/掉线都将导致组织的重大业务中断。判断 IDaaS 核心产品主要基于:

1)足够安全:安全是所有因素的核心,具有最高的优先级别。

2)有良好的“开箱即用”能力:IDaaS 解决方案在前瞻性方面应该具有灵活性,以应用到任何类型的 IT 基础设施,同时 IDaaS 需提供良好的开发/集成模式,方便和任意的应用程序及其他解决方案集成。

3)支持与现有用户目录存储的集成:无论是在内部部署还是在云端,被评估的解决方案都需要以最小中断的目标去支持员工的信息记录系统,例如人力资源系统或是活动目录。这样才能够确保该解决方案的快速部署和在时间方面的优势价值。

4)提供 SSO 的体验和关键用户接入的管理能力:被评估的解决方案应该对广泛的 SSO 技术提供灵活的支持,例如安全声明标记语言(SAML)、OpenID 连接、活动目录联合服务(ADFS)及其它技术。这将保证能与各类企业级应用的集成。

5)支持智能的安全认证策略:被评估的解决方案应该提供一种智能化,以适应各种应用的风险状况并适于检测到可疑的访问情况的不同,该解决方案应该支持多种不同的认证因素,包括软和硬件令牌、终端证书、并期待能支持新的,诸如生物识别之类的创新因素。

6)提供自动化的用户行为跟踪和审计:IDaaS 是否能够实现全面的行为审计,跟踪用户的每一次登录和访问行为,是我们要考察的另外一个重要因素。因为对企业管理者而言,审计永远是安全的最后一道屏障,无法审计的访问,永远不是真正的安全。

7)提供一种统一且集中化的体验:一种统一且集中化的体验对于最终用户和 IT 管理员来说是非常重要的。对用户来说,一个统一且易用的门户极大地提升使用体验。对管理员来说,一个统一集中化的身份管理平台,能节约大量的时间,成倍地提高效率。

8)使用成本:IDaaS 解决方案的成本,需要被通过一种灵活且简单的授权模式来予以合理的定价。


国内 IDaaS 主要服务商对比

IDaaS 玩家主要分为两类:云计算背景成熟企业,以及创业背景云安全服务专门厂商。云计算背景成熟企业在 IDaaS 领域的部署主要聚焦在身份认证环节。其竞争优势为更有力的资源支撑、更丰富的运营经验和更高的知名度。IDaaS 专门厂商主要是创业类公司,产品实现从云身份的认证到管理全场景、全流程打通。其竞争优势为平台的灵活性、独立性与可扩展性。



表 2:国内创业背景 IDaaS 主要服务商产品及基本信息对比(数据来源:公司官网,企名片)

 

国外对标公司:Okta,全球在线身份与访问管理领导者

Okta 为美国多云部署及 SaaS 时代的身份认证管理服务商,成立于 2019 年。Okta 通过兼收并购,快速获得核心技术和人才,将业务由最初的单点登录(SSO)逐渐扩张至 IAM 全领域,并同时服务于 B2E、B2C、B2B 全场景与全生命周期。


 

 

Okta 客户以行业中大型企业为主,收费方式以订阅费为主,近年营收成长性较高。Okta 收获了大量客户,渗透至多个垂直化行业中,致力于付费全球大中型客户,包括 Adobe、Colorx、MGM Resorts、American Express、Magellan Health 等,目前在全球财富 2000 客户中渗透率超过 20%。公司按照产品数量和终端用户数量向客户收取订阅费,其收入的 85% 来自于美国本土市场。FY2021 Q2,公司实现收入 2 亿美元,同比增长 43 %,客户数量达 8,950 家。目前,公司市值接近 300 亿美元,股价自上市以来累计上涨近 9 倍。

 

综上,我们对国内 IDaaS 行业现状及发展前景给出以下观点:

中国在云计算的发展阶段和云原生技术的程度上与海外市场还有一定差距。主要原因有两点:

1)中国私有云市场比公有云市场发展更为领先,对安全资源池等私有化部署的安全机制需求较大。中国的云计算发展是从虚拟化起步,从私有云到公有行业云。通常商用私有云系统是封闭的,缺乏对网络流量按需控制的应用接口。因而,针对这类私有云的安全机制多为基于本地部署的安全资源池。

2)从技术应用上来说,中国对于新兴云安全技术尚处于早期阶段。一方面,国内缺乏重量级的企业级 SaaS 而导致市场较小;另一方面,国内的公有云相比私有云、行业云仍较少,因此基于云原生的身份认证与管理尚未得到重视。


对于国内 IDaaS 创业公司而言,中小企业客群的商业机会较大。从需求角度来看,中小企业对云原生身份管理技术的需求更急迫。国外云计算基因厂商 IDaaS 产品的目标客户以行业中大型企业为主,但国内大 B 过去的业务目前仍多基于私有云部署,预计部署方式的转型时间较长,实施云原生安全的急迫性低。在此背景下,传统 IAM 产品更加有优势。而反观中小企业,业务上云导致其对 IDaaS 的潜在需求更大。从供给角度来看,创业基因使得年轻 IDaaS 服务商更易抢占中小客群市场。老牌厂商拥有更强大的资源整合能力以及更高的知名度,且可以基于已有产品线增加 IDaaS 分支,更加容易在 IDaaS 领域快速获取已有的大 B 客群。但 IDaaS 创业服务商拥有模式轻、创新能力强的独特优势,使得企业在快速变化的底层技术大环境中占据主动权,年轻的团队能快适应技术发展的趋势。


产品体验、使用成本是中小企业客群的主要考量因素。产品层面,保证良好用户体验是关键。服务商需要从顾客角度出发,考虑产品的性能、易用性以及服务能力。产品设计应遵循奥卡姆剃刀原则。身份验证必须让用户易于执行,让 IT 部门易于部署,因此,IDaaS 厂商应关注客户核心诉求,仅保留必要的关键功能,增强产品的易用性。服务模式应以顾问模式为主,持续服务客户从筹备、设计、实施、应用的全流程。收费方式层面,国内更适用于弹性收费模式。中小企业对成本敏感,照搬国外主流的订阅费模式收费,可能会导致客户付费意愿不强,从而引起获客难、客户黏性降低。国内厂商可按照客户的调用次数进行弹性收费。


云安全市场正伴随着云计算市场的快速发展,及云原生技术的广泛应用快速增长。目前,云安全支出占云计算支出比例尚处于较低水平,2020 年约为 1%,长期来看该比例将提升至 5% 左右。至 2023 年,全球市场规模将超百亿美元。此外,国内云安全市场需求旺盛,在新兴云安全技术应用上不断追赶,高速发展可期。疫情使得企业对云身份管理服务的需求延续。对标国外企业,国内 IDaaS 创业企业随着客户需求升温、用户单价的提升以及规模效应带来的利润改善,预计行业中独角兽公司的中长期成长性突出。

 

部分参考资料

[1] 天风证券,计算机行业专题研究:Okta,三年十倍,美国最大网络安全公司.

[2] 开源证券,云安全专题报告:网络安全的未来在云端。

 

2021-03-25 16:342320
用户头像

发布了 74 篇内容, 共 28.7 次阅读, 收获喜欢 83 次。

关注

评论

发布
暂无评论
发现更多内容

HMS Core 3D流体仿真技术,打造移动端PC级流体动效

HarmonyOS SDK

HMS Core

啊哈!缓存

孟君的编程札记

redis 缓存 cache canal Guava

一键导出Gerber文件教学实操,我设计的PCB再也没出过问题!

华秋PCB

工具 PCB PCB设计

软件测试的本质是什么?

测试人

软件测试 自动化测试 测试开发

用Echarts实现前端表格引用从属关系可视化

葡萄城技术团队

培训大数据技术后的职业规划介绍

小谷哥

2022阅读总结

俞凡

阅读

组织上线 | 资源共享,协作自如

Jianmu

Docker k8s 镜像 容器镜像

用优质俘获人心,贾斯特里尼&布鲁克斯葡萄酒成送礼首选

联营汇聚

Vue + SpreadJS 实现高性能数据展示与分析

葡萄城技术团队

测试监控和测试控制

FunTester

OSCS开源安全周报第23期:Foxit PDF Reader/Editor 任意代码执行漏洞

墨菲安全

开源 安全

皇室用酒贾斯特里尼&布鲁克斯,用匠心成就经典

联营汇聚

在今年的数字生态大会上,云原生数据库前进了一大步

腾讯云数据库

数据库 云原生 TDSQL-C 腾讯云数据库

倒酒也是学问,贾斯特里尼&布鲁克斯葡萄酒专家教你如何倒酒

联营汇聚

高效协同: 打造分布式系统的三种模式

俞凡

架构

开源 高性能 云原生!时序数据库 TDengine 上线亚马逊Marketplace

TDengine

数据库 tdengine 开源 时序数据库

【JVM规范】第一章 前言

四月

Java JVM

有备无患!DBS高性价比方案助力富途证券备份上云

腾讯云数据库

数据库 腾讯云 备份 腾讯云数据库 富途证券

SpreadJS集算表联动数据透视表,高效实现前端数据多维分析

葡萄城技术团队

Excel 财务审核系统 #web

华为儿童手表5X系列“腕上学习天地”全新升级,首月0元畅享华为教育中心精品内容

最新动态

适合前端程序员培训的人群有哪些

小谷哥

如何进行晶体负载电容的调试

元器件秋姐

电路设计 电子电路 元器件知识 元器件科普 负载电容

大数据参加培训学习靠谱吗?

小谷哥

前端程序员培训哪家比较好?

小谷哥

葡萄酒选择有技巧,贾斯特里尼&布鲁克斯皇室佳酿值得品尝

联营汇聚

软件测试丨工具在接口测试中发挥什么样的作用?

测试人

软件测试 自动化测试 接口测试 测试开发

开源漏洞数量增长33%!企业安全债务不堪重负丨行业数据

SEAL安全

开源 开源安全 开源安全与治理

Java技术学习培训机构哪个好

小谷哥

Dragonfly 和 Nydus Mirror 模式集成实践

SOFAStack

书单 | 这几本书被输出到德国啦!

博文视点Broadview

云岫行业研究-基于云原生时代的身份安全管理_服务革新_InfoQ精选文章