[[173151]]

身份認證即服務一直以來被視為一個重要的市場增長點，但是有一些困難阻礙著它的企業(yè)應用。

在今年夏天的Cloud Identity Summit 2016大會上，Ping Identity公司的 CEO Andre Durand身份認證即服務的巨大應用潛力，這項服務能夠幫助解決相關的安全性問題，以便讓企業(yè)能夠放心地更多使用云服務和移動服務。IdaaS本身作為一個市場還是比較小的;Gartner公司在今年早些時候曾報道說，在企業(yè)中實施IdaaS只占所有IAM實施中的一成左右。但是，Gartner預測IDaaS部署到2019年將提升至40%。

在接受SearchCloudSecurity采訪時，Durand介紹了IdaaS市場是如何發(fā)展以及為什么一些技術和業(yè)務問題阻礙了它的大規(guī)模應用。他還談到了人們對于企業(yè)數(shù)據(jù)泄密感到疲勞的問題，諸如Facebook和Twitter這樣的社交媒體巨頭是如何影響IDaaS市場以及為什么現(xiàn)在企業(yè)用戶變得越來越關注身份認證和訪問管理。以下是與Durand采訪談話中的部分摘錄：

您近來已經(jīng)多次對身份認證即服務發(fā)表了看法。那么它是否會在未來成為標準呢，如果是的話，我們應當如何使用和部署這項服務呢?

Andre Durand：有兩個方法來看待這個問題。事實上，身份認證即服務這個術語本身就有點名不副實。它在目前來說其實就是身份認證基礎設施即服務，而不是身份認證即服務。登錄Facebook實際是就是身份認證即服務，因為用戶是在使用一個Facebook身份進行登錄。那就是身份認證即服務。無論用戶想在哪里使用它，都是在使用這個身份。正如IDaaS今天在企業(yè)市場中所描繪的那樣，我們所做的一切事實上就是在提供軟件即服務。但是身份認證又不是一個服務。企業(yè)仍然在把他們的身份認證功能納入軟件即服務。因此，它取決于它位于用戶服務金字塔中的位置。是消費者?是中小型企業(yè)?還是企業(yè)?消費者已經(jīng)在使用身份認證即服務。中小型企業(yè)更在意的是身份認證軟件，或者是身份認證軟件基礎設施即服務。根據(jù)身份認證用例的不同，位于金字塔頂端的企業(yè)將是一個有最多遺留系統(tǒng)需要適應和集成的組織，企業(yè)的損失最多。所以，鑒于如上所有原因，位于金字塔頂端企業(yè)的發(fā)展有可能是最為緩慢的。

這是否意味著我們會看到諸如Facebook、Twitter等企業(yè)說，“你可以使用你的登錄”?他們是否將在身份認證即服務領域展開競爭?

Durand：當然。那就是我認為我之前進入的初始業(yè)務。在十四年前，我認為我正在開發(fā)一個用戶身份認證服務。這就是最初PindID名稱的由來。同時，我認識到如果我的身份認證無法與其他任何應用交互，那么我就無法開發(fā)出一個身份認證服務。在用戶能夠開發(fā)出一個可用于任何應用的身份認證服務之前，我們必須開發(fā)軟件來連接身份認證服務。這就如同是：在沒有路由器之前我們是沒有互聯(lián)網(wǎng)的。我們必須首先為數(shù)據(jù)流量確定好傳輸路徑，然后架設一個Web服務器。在此，我們必須安裝實現(xiàn)聯(lián)網(wǎng)的身份認證基礎設施，然后我們就可以運行身份認證服務了。整個過程需要15至20年的時間。

這是否意味著在我們這個市場中將出現(xiàn)更多的同類供應商?您是否認為會有越來越多的身份認證基礎設施即服務供應商和更多的企業(yè)將涉足消費者IDaaS領域?

Durand：是的。我認為企業(yè)身份認證與消費者個人身份認證的差異性將越來越明顯。 我認為個人身份認證已經(jīng)是一個身份認證即服務了。至少兩者是非常接近的。我認為企業(yè)中的IDaaS將如我所說的那樣先軟件后身份認證，因為對于企業(yè)來說，責任轉移是非常不同的。消費者只是注冊一個服務。對于一家實際上拿著別人的身份并在他們的環(huán)境中使用這個身份的企業(yè)來說，如果服務供應商行為不端，那么必須有一個責任關系。如果身份認證供應商在為Andre提供了身份認證即服務的過程中出了差錯，那實際的用戶就不是我了。企業(yè)必須對他們的所作所為承擔責任。必須簽署一份關于責任的協(xié)議。這是一個復雜的問題，就好像陷入泥潭一般，這就是企業(yè)身份認證即服務的應用速度不盡如人意的原因所在。

因此，舉例來說，暴雪娛樂公司在最近與Facebook建立了一個合作關系，游戲玩家可以使用他們的Facebook登錄身份來注冊或登錄暴雪游戲，如魔獸世界。但是，如果某人的Facebook帳戶被盜，而被盜的帳戶被用于登錄暴雪游戲并開始進行未經(jīng)授權的交易，那么應當由誰來承擔責任呢?

Durand：你的問題剛好切中了重點。應當由誰來承擔責任?因為從理論上來說，身份認證供應商應當承擔這個責任。但是問題是他們是否真的會承擔責任或者他們是否會對受害者進行賠償?這是個問題。對于一個游戲廠商而言，這是一碼事。對于使用真金白銀的企業(yè)來說，則又是另一回事了。我們將不得不依次解決責任轉移的業(yè)務難題，以便于身份認證即服務在企業(yè)應用中變得合理。這不是一個簡單的事。

近來，人們似乎越來越多地關注身份認證和訪問管理。您是否認為這個群體的意識已有所變化，不僅是企業(yè)，連用戶和安全團隊都覺得他們需要開始正確地使用身份認證?

Durand：我認為那是因為他們意識到了他們所處的環(huán)境正在發(fā)生變化，同時他們也將看到他們以前提供安全性的傳統(tǒng)方法也在發(fā)生變化。他們認識到這些方法之間已經(jīng)變得更缺乏相關性了。這一狀況正在發(fā)生。同時正如我們在過去四五年中所說的那樣，這一變化的一個主因就是云計算和移動計算。正是云計算和移動計算在改變我們所要保護的事物的拓撲結構。

威脅是什么樣的?它是否起到了推動作用?

Durand：毫無疑問。跟我打過交道的每一家公司都被嚇壞了，他們的系統(tǒng)都不在一個可檢測、防護或保護、或查看漏洞的正確位置。我們總是在談論網(wǎng)絡漏洞。但是，近八成的漏洞事實上都是身份認證漏洞。所以，我們嘴上在說網(wǎng)絡保護，但事實上我們所遭遇的都是身份認證漏洞。這就是兩張皮的問題。

企業(yè)是否關注特定類型的威脅行為，例如民族主義黑客或APT組織，或者他們是否更關注他們自己品牌可預防漏洞的影響?

Durand：我想我沒有辦法以個人的立場和心態(tài)來說話，因為我不是其中之一。但是，至少從我在對話中所聽到的和所觀察的來看，他們對于企業(yè)名譽受損還是相當在意和恐懼的，而個人私密信息的泄露將嚴重有損企業(yè)聲譽。這是一個非常重要的問題，因為我們現(xiàn)在談論的是公眾的良好意愿和品牌價值。再也沒有什么能比在短時間內(nèi)發(fā)生信息泄露給企業(yè)來之不易的品牌聲譽帶來更大傷害了。

您是否認為目前發(fā)生了目標泄露，其反應是否因為它的發(fā)生方式不同而不同?具體來說，它是否涉及第三方供應商的目標身份認證?因為這個問題似乎已被過分夸大了，我不知道普通民眾是否了解其中的細節(jié)。

Durand：我認為這個觀點是正確的。他們不知道事件的發(fā)生原因、具體過程或者發(fā)生了什么。這確實很難說。我們作為一個社會人是否已經(jīng)對信息泄露事件感到見怪不怪，然后對突發(fā)事件也不會認為是大問題了呢?你真的只是說，“好吧，每個人都有可能發(fā)生信息泄露，只是或早或晚都會輪到他們。”一般來說，人類是不會重新調(diào)整到正常狀態(tài)的。實際上，有一個被稱為穩(wěn)態(tài)的眾所周知生物狀態(tài)，也就是說人類在適應當前狀態(tài)時，他們只會注意到變化。如果當前狀態(tài)就是每天發(fā)生一次信息泄露，那么能夠引起人們注意的一定是信息泄露事件停止，而不是每天一次的信息泄露。這就好像，今天發(fā)生的信息泄漏所帶來的影響絕對沒有在一年半到兩年前發(fā)生的同樣事件的影響大。現(xiàn)在甚至有了這樣的說法，“與其說發(fā)生信息泄露事件重要，還不如說你知道發(fā)生信息泄露事件更重要。”他們甚至不說“那只是時間問題，”他們其實在說，“你已經(jīng)發(fā)生信息泄露了，只不過你還不知道罷了。”有些人知道他們的信息已經(jīng)被泄露，而有些人不知道，除這兩種人外沒有第三類。我認為所有這一切都只是識別變化的威脅。