云岫資本企服組 2021 年 3 月

【前言】隨著業(yè)務(wù)上云、生態(tài)協(xié)作、多云混合等場(chǎng)景涌現(xiàn)，過往以防火墻為邊界的身份與訪問控制遭遇了新的挑戰(zhàn)。如何打通云上與本地系統(tǒng)的身份體系，對(duì)內(nèi)部員工和外部合作伙伴的賬號(hào)、權(quán)限、行為進(jìn)行統(tǒng)一管控，打破企業(yè)多個(gè)業(yè)務(wù)應(yīng)用的數(shù)據(jù)孤島，建立全面的身份畫像，為用戶提供更為順暢和精準(zhǔn)的服務(wù)，成為云原生時(shí)代新的安全需求。

◼ IT 整體環(huán)境的變化，催生了基于云原生安全的統(tǒng)一身份管理需求

➢ IT 架構(gòu)根源性的變化：隨著移動(dòng)互聯(lián)、IOT 設(shè)備的普及，大量的設(shè)備接入讓企業(yè)的身份信任邊界外擴(kuò)，傳統(tǒng)的內(nèi)外網(wǎng)分離方案，本地化的 IAM 方案已經(jīng)滿足不了當(dāng)前的需求。

➢ 企業(yè)數(shù)據(jù)庫從 IDC 遷移到云上：隨著云計(jì)算的浪潮，越來越多的企業(yè)選擇全站上云或 50% 業(yè)務(wù)上云，導(dǎo)致防護(hù)環(huán)境發(fā)生變化。

➢ 企業(yè) SaaS 服務(wù)發(fā)展：企業(yè)網(wǎng)盤、釘釘?shù)绕髽I(yè) SaaS 服務(wù)的發(fā)力，意味著越來越多的企業(yè)工作流，數(shù)據(jù)流和身份都到了外部，而非固定在原本的隔離環(huán)境中；大量的 SaaS 服務(wù)認(rèn)證憑據(jù)無法得到統(tǒng)一、有效的管理。

➢ 多云進(jìn)一步深化，降本增效需求迫切：多應(yīng)用、混合云的環(huán)境，給企業(yè)帶來沉重的管理負(fù)擔(dān)。企業(yè) IT 管理員需要維護(hù)每個(gè)員工在不同系統(tǒng)之間的賬號(hào)信息，并做日志審計(jì)和授權(quán)管理。當(dāng)員工使用企業(yè)內(nèi)部 AD 域賬號(hào)訪問外部系統(tǒng)，以及外部系統(tǒng)需要通過虛擬網(wǎng)絡(luò)登錄到內(nèi)部 AD 域的時(shí)候，員工需要維護(hù)復(fù)雜的賬戶密碼體系。

◼ 全球身份安全市場(chǎng)將超百億美元，數(shù)據(jù)安全領(lǐng)域亟需技術(shù)突破迎來爆發(fā)

➢ 云基礎(chǔ)設(shè)施的投資推動(dòng)云安全市場(chǎng)的增長(zhǎng)：據(jù) Million Insights 最新報(bào)告顯示，2020-2027 年全球云安全市場(chǎng)預(yù)計(jì)將保持 14.6% 的復(fù)合年增長(zhǎng)率，2027 年全球云安全市場(chǎng)規(guī)模或?qū)⑦_(dá)到 209 億美元。身份和訪問管理市場(chǎng)全球安全支出呈現(xiàn)出逐年增長(zhǎng)的趨勢(shì)。據(jù) Gartner 數(shù)據(jù)顯示，2017-2019 年身份和訪問管理安全全球市場(chǎng)支出分別為 88.2 億美元、97.7 億美元、105.8 億美元。

➢ 隱私授權(quán)政策加速落地，助推身份安全管理海量需求：2016 年，快速身份在線聯(lián)盟（FIDO）發(fā)布了第二代認(rèn)證規(guī)范，啟動(dòng)了網(wǎng)絡(luò)身份認(rèn)證領(lǐng)域的全新標(biāo)準(zhǔn)。我國(guó)在《網(wǎng)絡(luò)安全法》中明確了國(guó)家實(shí)施網(wǎng)絡(luò)可信身份戰(zhàn)略，支持研究開發(fā)安全、方便的電子身份認(rèn)證技術(shù)。2019 年，歐盟修訂了《通用數(shù)據(jù)保護(hù)條例》（GDPR），對(duì)未能保護(hù)個(gè)人數(shù)據(jù)安全的組織加大了罰款數(shù)額。2020 年，作為全球第五大經(jīng)濟(jì)體的加州頒布了消費(fèi)者隱私法案（CCPA）。

◼ 企業(yè)需要新身份管理技術(shù)，通過對(duì)人、終端和系統(tǒng)都進(jìn)行識(shí)別、訪問控制、跟蹤實(shí)現(xiàn)全面的身份化

➢ 身份管理與訪問控制（Identity and Access Management，簡(jiǎn)稱 IAM）：IAM 是一個(gè)企業(yè)內(nèi)部身份權(quán)限的管理方案，核心思想是以人的數(shù)字身份（如賬號(hào)）為切入點(diǎn)，打通信息孤島，連接各種應(yīng)用，對(duì)用戶訪問不同類型的應(yīng)用系統(tǒng)的行為和權(quán)限進(jìn)行賬號(hào)管理（Account）、認(rèn)證管理（Authentication）、授權(quán)管理（Authorization）和審計(jì)管理（Audit）。

➢ 從 IAM 到 IDaaS：IDaaS（Identity as Service，簡(jiǎn)稱 IDaaS）是將身份管理作為一項(xiàng)專門服務(wù)，基于云端的 IAM 能夠同時(shí)管理 SaaS 應(yīng)用和內(nèi)部應(yīng)用。與傳統(tǒng) IAM 相比，IDaaS 的重要性體現(xiàn)在：

1）適配性更強(qiáng)：部署方式上，傳統(tǒng) IAM 僅支持私有化部署，而 IDaaS 支持混合云部署；租戶模式上，傳統(tǒng) IAM 僅支持單租戶模式，而 IDaaS 在此基礎(chǔ)上增加了多租戶模式；

2）性能更強(qiáng)：可處理更大規(guī)模、更復(fù)雜的數(shù)據(jù)；

3）安全性更強(qiáng)：能保護(hù)企業(yè)及其用戶免受數(shù)據(jù)泄露風(fēng)險(xiǎn)。

➢ 選擇 IDaaS 解決方案的核心要素：IDaaS 的解決方案是客戶用來訪問所有重要業(yè)務(wù)的集中化機(jī)制，企業(yè)需謹(jǐn)慎選擇此類產(chǎn)品，因?yàn)槿魏瓮C(jī)/掉線都將導(dǎo)致組織的重大業(yè)務(wù)中斷。判斷 IDaaS 核心產(chǎn)品主要基于：

1）足夠安全：安全是所有因素的核心，具有最高的優(yōu)先級(jí)別。

2）有良好的“開箱即用”能力：IDaaS 解決方案在前瞻性方面應(yīng)該具有靈活性，以應(yīng)用到任何類型的 IT 基礎(chǔ)設(shè)施，同時(shí) IDaaS 需提供良好的開發(fā)/集成模式，方便和任意的應(yīng)用程序及其他解決方案集成。

3）支持與現(xiàn)有用戶目錄存儲(chǔ)的集成：無論是在內(nèi)部部署還是在云端，被評(píng)估的解決方案都需要以最小中斷的目標(biāo)去支持員工的信息記錄系統(tǒng)，例如人力資源系統(tǒng)或是活動(dòng)目錄。這樣才能夠確保該解決方案的快速部署和在時(shí)間方面的優(yōu)勢(shì)價(jià)值。

4）提供 SSO 的體驗(yàn)和關(guān)鍵用戶接入的管理能力：被評(píng)估的解決方案應(yīng)該對(duì)廣泛的 SSO 技術(shù)提供靈活的支持，例如安全聲明標(biāo)記語言(SAML)、OpenID 連接、活動(dòng)目錄聯(lián)合服務(wù)(ADFS)及其它技術(shù)。這將保證能與各類企業(yè)級(jí)應(yīng)用的集成。

5）支持智能的安全認(rèn)證策略：被評(píng)估的解決方案應(yīng)該提供一種智能化，以適應(yīng)各種應(yīng)用的風(fēng)險(xiǎn)狀況并適于檢測(cè)到可疑的訪問情況的不同，該解決方案應(yīng)該支持多種不同的認(rèn)證因素，包括軟和硬件令牌、終端證書、并期待能支持新的，諸如生物識(shí)別之類的創(chuàng)新因素。

6）提供自動(dòng)化的用戶行為跟蹤和審計(jì)：IDaaS 是否能夠?qū)崿F(xiàn)全面的行為審計(jì)，跟蹤用戶的每一次登錄和訪問行為，是我們要考察的另外一個(gè)重要因素。因?yàn)閷?duì)企業(yè)管理者而言，審計(jì)永遠(yuǎn)是安全的最后一道屏障，無法審計(jì)的訪問，永遠(yuǎn)不是真正的安全。

7）提供一種統(tǒng)一且集中化的體驗(yàn)：一種統(tǒng)一且集中化的體驗(yàn)對(duì)于最終用戶和 IT 管理員來說是非常重要的。對(duì)用戶來說，一個(gè)統(tǒng)一且易用的門戶極大地提升使用體驗(yàn)。對(duì)管理員來說，一個(gè)統(tǒng)一集中化的身份管理平臺(tái)，能節(jié)約大量的時(shí)間，成倍地提高效率。

8）使用成本：IDaaS 解決方案的成本，需要被通過一種靈活且簡(jiǎn)單的授權(quán)模式來予以合理的定價(jià)。

◼ 國(guó)內(nèi) IDaaS 主要服務(wù)商對(duì)比

➢ IDaaS 玩家主要分為兩類：云計(jì)算背景成熟企業(yè)，以及創(chuàng)業(yè)背景云安全服務(wù)專門廠商。云計(jì)算背景成熟企業(yè)在 IDaaS 領(lǐng)域的部署主要聚焦在身份認(rèn)證環(huán)節(jié)。其競(jìng)爭(zhēng)優(yōu)勢(shì)為更有力的資源支撐、更豐富的運(yùn)營(yíng)經(jīng)驗(yàn)和更高的知名度。IDaaS 專門廠商主要是創(chuàng)業(yè)類公司，產(chǎn)品實(shí)現(xiàn)從云身份的認(rèn)證到管理全場(chǎng)景、全流程打通。其競(jìng)爭(zhēng)優(yōu)勢(shì)為平臺(tái)的靈活性、獨(dú)立性與可擴(kuò)展性。

表 2：國(guó)內(nèi)創(chuàng)業(yè)背景 IDaaS 主要服務(wù)商產(chǎn)品及基本信息對(duì)比（數(shù)據(jù)來源：公司官網(wǎng)，企名片）

◼ 國(guó)外對(duì)標(biāo)公司：Okta，全球在線身份與訪問管理領(lǐng)導(dǎo)者

➢ Okta 為美國(guó)多云部署及 SaaS 時(shí)代的身份認(rèn)證管理服務(wù)商，成立于 2019 年。Okta 通過兼收并購(gòu)，快速獲得核心技術(shù)和人才，將業(yè)務(wù)由最初的單點(diǎn)登錄（SSO）逐漸擴(kuò)張至 IAM 全領(lǐng)域，并同時(shí)服務(wù)于 B2E、B2C、B2B 全場(chǎng)景與全生命周期。

➢ Okta 客戶以行業(yè)中大型企業(yè)為主，收費(fèi)方式以訂閱費(fèi)為主，近年?duì)I收成長(zhǎng)性較高。Okta 收獲了大量客戶，滲透至多個(gè)垂直化行業(yè)中，致力于付費(fèi)全球大中型客戶，包括 Adobe、Colorx、MGM Resorts、American Express、Magellan Health 等，目前在全球財(cái)富 2000 客戶中滲透率超過 20%。公司按照產(chǎn)品數(shù)量和終端用戶數(shù)量向客戶收取訂閱費(fèi)，其收入的 85% 來自于美國(guó)本土市場(chǎng)。FY2021 Q2，公司實(shí)現(xiàn)收入 2 億美元，同比增長(zhǎng) 43 %，客戶數(shù)量達(dá) 8,950 家。目前，公司市值接近 300 億美元，股價(jià)自上市以來累計(jì)上漲近 9 倍。

◼ 綜上，我們對(duì)國(guó)內(nèi) IDaaS 行業(yè)現(xiàn)狀及發(fā)展前景給出以下觀點(diǎn)：

➢ 中國(guó)在云計(jì)算的發(fā)展階段和云原生技術(shù)的程度上與海外市場(chǎng)還有一定差距。主要原因有兩點(diǎn)：

1）中國(guó)私有云市場(chǎng)比公有云市場(chǎng)發(fā)展更為領(lǐng)先，對(duì)安全資源池等私有化部署的安全機(jī)制需求較大。中國(guó)的云計(jì)算發(fā)展是從虛擬化起步，從私有云到公有行業(yè)云。通常商用私有云系統(tǒng)是封閉的，缺乏對(duì)網(wǎng)絡(luò)流量按需控制的應(yīng)用接口。因而，針對(duì)這類私有云的安全機(jī)制多為基于本地部署的安全資源池。

2）從技術(shù)應(yīng)用上來說，中國(guó)對(duì)于新興云安全技術(shù)尚處于早期階段。一方面，國(guó)內(nèi)缺乏重量級(jí)的企業(yè)級(jí) SaaS 而導(dǎo)致市場(chǎng)較??；另一方面，國(guó)內(nèi)的公有云相比私有云、行業(yè)云仍較少，因此基于云原生的身份認(rèn)證與管理尚未得到重視。

➢ 對(duì)于國(guó)內(nèi) IDaaS 創(chuàng)業(yè)公司而言，中小企業(yè)客群的商業(yè)機(jī)會(huì)較大。從需求角度來看，中小企業(yè)對(duì)云原生身份管理技術(shù)的需求更急迫。國(guó)外云計(jì)算基因廠商 IDaaS 產(chǎn)品的目標(biāo)客戶以行業(yè)中大型企業(yè)為主，但國(guó)內(nèi)大 B 過去的業(yè)務(wù)目前仍多基于私有云部署，預(yù)計(jì)部署方式的轉(zhuǎn)型時(shí)間較長(zhǎng)，實(shí)施云原生安全的急迫性低。在此背景下，傳統(tǒng) IAM 產(chǎn)品更加有優(yōu)勢(shì)。而反觀中小企業(yè)，業(yè)務(wù)上云導(dǎo)致其對(duì) IDaaS 的潛在需求更大。從供給角度來看，創(chuàng)業(yè)基因使得年輕 IDaaS 服務(wù)商更易搶占中小客群市場(chǎng)。老牌廠商擁有更強(qiáng)大的資源整合能力以及更高的知名度，且可以基于已有產(chǎn)品線增加 IDaaS 分支，更加容易在 IDaaS 領(lǐng)域快速獲取已有的大 B 客群。但 IDaaS 創(chuàng)業(yè)服務(wù)商擁有模式輕、創(chuàng)新能力強(qiáng)的獨(dú)特優(yōu)勢(shì)，使得企業(yè)在快速變化的底層技術(shù)大環(huán)境中占據(jù)主動(dòng)權(quán)，年輕的團(tuán)隊(duì)能快適應(yīng)技術(shù)發(fā)展的趨勢(shì)。

➢ 產(chǎn)品體驗(yàn)、使用成本是中小企業(yè)客群的主要考量因素。產(chǎn)品層面，保證良好用戶體驗(yàn)是關(guān)鍵。服務(wù)商需要從顧客角度出發(fā)，考慮產(chǎn)品的性能、易用性以及服務(wù)能力。產(chǎn)品設(shè)計(jì)應(yīng)遵循奧卡姆剃刀原則。身份驗(yàn)證必須讓用戶易于執(zhí)行，讓 IT 部門易于部署，因此，IDaaS 廠商應(yīng)關(guān)注客戶核心訴求，僅保留必要的關(guān)鍵功能，增強(qiáng)產(chǎn)品的易用性。服務(wù)模式應(yīng)以顧問模式為主，持續(xù)服務(wù)客戶從籌備、設(shè)計(jì)、實(shí)施、應(yīng)用的全流程。收費(fèi)方式層面，國(guó)內(nèi)更適用于彈性收費(fèi)模式。中小企業(yè)對(duì)成本敏感，照搬國(guó)外主流的訂閱費(fèi)模式收費(fèi)，可能會(huì)導(dǎo)致客戶付費(fèi)意愿不強(qiáng)，從而引起獲客難、客戶黏性降低。國(guó)內(nèi)廠商可按照客戶的調(diào)用次數(shù)進(jìn)行彈性收費(fèi)。

➢ 云安全市場(chǎng)正伴隨著云計(jì)算市場(chǎng)的快速發(fā)展，及云原生技術(shù)的廣泛應(yīng)用快速增長(zhǎng)。目前，云安全支出占云計(jì)算支出比例尚處于較低水平，2020 年約為 1%，長(zhǎng)期來看該比例將提升至 5% 左右。至 2023 年，全球市場(chǎng)規(guī)模將超百億美元。此外，國(guó)內(nèi)云安全市場(chǎng)需求旺盛，在新興云安全技術(shù)應(yīng)用上不斷追趕，高速發(fā)展可期。疫情使得企業(yè)對(duì)云身份管理服務(wù)的需求延續(xù)。對(duì)標(biāo)國(guó)外企業(yè)，國(guó)內(nèi) IDaaS 創(chuàng)業(yè)企業(yè)隨著客戶需求升溫、用戶單價(jià)的提升以及規(guī)模效應(yīng)帶來的利潤(rùn)改善，預(yù)計(jì)行業(yè)中獨(dú)角獸公司的中長(zhǎng)期成長(zhǎng)性突出。

部分參考資料

[1] 天風(fēng)證券,計(jì)算機(jī)行業(yè)專題研究：Okta，三年十倍，美國(guó)最大網(wǎng)絡(luò)安全公司.

[2] 開源證券,云安全專題報(bào)告：網(wǎng)絡(luò)安全的未來在云端。