云岫資本企服組 2021 年 3 月

【前言】隨著業(yè)務(wù)上云、生態(tài)協(xié)作、多云混合等場景涌現(xiàn)，過往以防火墻為邊界的身份與訪問控制遭遇了新的挑戰(zhàn)。如何打通云上與本地系統(tǒng)的身份體系，對內(nèi)部員工和外部合作伙伴的賬號、權(quán)限、行為進行統(tǒng)一管控，打破企業(yè)多個業(yè)務(wù)應(yīng)用的數(shù)據(jù)孤島，建立全面的身份畫像，為用戶提供更為順暢和精準的服務(wù)，成為云原生時代新的安全需求。

◼ IT 整體環(huán)境的變化，催生了基于云原生安全的統(tǒng)一身份管理需求

➢ IT 架構(gòu)根源性的變化：隨著移動互聯(lián)、IOT 設(shè)備的普及，大量的設(shè)備接入讓企業(yè)的身份信任邊界外擴，傳統(tǒng)的內(nèi)外網(wǎng)分離方案，本地化的 IAM 方案已經(jīng)滿足不了當前的需求。

➢ 企業(yè)數(shù)據(jù)庫從 IDC 遷移到云上：隨著云計算的浪潮，越來越多的企業(yè)選擇全站上云或 50% 業(yè)務(wù)上云，導致防護環(huán)境發(fā)生變化。

➢ 企業(yè) SaaS 服務(wù)發(fā)展：企業(yè)網(wǎng)盤、釘釘?shù)绕髽I(yè) SaaS 服務(wù)的發(fā)力，意味著越來越多的企業(yè)工作流，數(shù)據(jù)流和身份都到了外部，而非固定在原本的隔離環(huán)境中；大量的 SaaS 服務(wù)認證憑據(jù)無法得到統(tǒng)一、有效的管理。

➢ 多云進一步深化，降本增效需求迫切：多應(yīng)用、混合云的環(huán)境，給企業(yè)帶來沉重的管理負擔。企業(yè) IT 管理員需要維護每個員工在不同系統(tǒng)之間的賬號信息，并做日志審計和授權(quán)管理。當員工使用企業(yè)內(nèi)部 AD 域賬號訪問外部系統(tǒng)，以及外部系統(tǒng)需要通過虛擬網(wǎng)絡(luò)登錄到內(nèi)部 AD 域的時候，員工需要維護復雜的賬戶密碼體系。

◼ 全球身份安全市場將超百億美元，數(shù)據(jù)安全領(lǐng)域亟需技術(shù)突破迎來爆發(fā)

➢ 云基礎(chǔ)設(shè)施的投資推動云安全市場的增長：據(jù) Million Insights 最新報告顯示，2020-2027 年全球云安全市場預(yù)計將保持 14.6% 的復合年增長率，2027 年全球云安全市場規(guī)?；?qū)⑦_到 209 億美元。身份和訪問管理市場全球安全支出呈現(xiàn)出逐年增長的趨勢。據(jù) Gartner 數(shù)據(jù)顯示，2017-2019 年身份和訪問管理安全全球市場支出分別為 88.2 億美元、97.7 億美元、105.8 億美元。

➢ 隱私授權(quán)政策加速落地，助推身份安全管理海量需求：2016 年，快速身份在線聯(lián)盟（FIDO）發(fā)布了第二代認證規(guī)范，啟動了網(wǎng)絡(luò)身份認證領(lǐng)域的全新標準。我國在《網(wǎng)絡(luò)安全法》中明確了國家實施網(wǎng)絡(luò)可信身份戰(zhàn)略，支持研究開發(fā)安全、方便的電子身份認證技術(shù)。2019 年，歐盟修訂了《通用數(shù)據(jù)保護條例》（GDPR），對未能保護個人數(shù)據(jù)安全的組織加大了罰款數(shù)額。2020 年，作為全球第五大經(jīng)濟體的加州頒布了消費者隱私法案（CCPA）。

◼ 企業(yè)需要新身份管理技術(shù)，通過對人、終端和系統(tǒng)都進行識別、訪問控制、跟蹤實現(xiàn)全面的身份化

➢ 身份管理與訪問控制（Identity and Access Management，簡稱 IAM）：IAM 是一個企業(yè)內(nèi)部身份權(quán)限的管理方案，核心思想是以人的數(shù)字身份（如賬號）為切入點，打通信息孤島，連接各種應(yīng)用，對用戶訪問不同類型的應(yīng)用系統(tǒng)的行為和權(quán)限進行賬號管理（Account）、認證管理（Authentication）、授權(quán)管理（Authorization）和審計管理（Audit）。

➢ 從 IAM 到 IDaaS：IDaaS（Identity as Service，簡稱 IDaaS）是將身份管理作為一項專門服務(wù)，基于云端的 IAM 能夠同時管理 SaaS 應(yīng)用和內(nèi)部應(yīng)用。與傳統(tǒng) IAM 相比，IDaaS 的重要性體現(xiàn)在：

1）適配性更強：部署方式上，傳統(tǒng) IAM 僅支持私有化部署，而 IDaaS 支持混合云部署；租戶模式上，傳統(tǒng) IAM 僅支持單租戶模式，而 IDaaS 在此基礎(chǔ)上增加了多租戶模式；

2）性能更強：可處理更大規(guī)模、更復雜的數(shù)據(jù)；

3）安全性更強：能保護企業(yè)及其用戶免受數(shù)據(jù)泄露風險。

➢ 選擇 IDaaS 解決方案的核心要素：IDaaS 的解決方案是客戶用來訪問所有重要業(yè)務(wù)的集中化機制，企業(yè)需謹慎選擇此類產(chǎn)品，因為任何停機/掉線都將導致組織的重大業(yè)務(wù)中斷。判斷 IDaaS 核心產(chǎn)品主要基于：

1）足夠安全：安全是所有因素的核心，具有最高的優(yōu)先級別。

2）有良好的“開箱即用”能力：IDaaS 解決方案在前瞻性方面應(yīng)該具有靈活性，以應(yīng)用到任何類型的 IT 基礎(chǔ)設(shè)施，同時 IDaaS 需提供良好的開發(fā)/集成模式，方便和任意的應(yīng)用程序及其他解決方案集成。

3）支持與現(xiàn)有用戶目錄存儲的集成：無論是在內(nèi)部部署還是在云端，被評估的解決方案都需要以最小中斷的目標去支持員工的信息記錄系統(tǒng)，例如人力資源系統(tǒng)或是活動目錄。這樣才能夠確保該解決方案的快速部署和在時間方面的優(yōu)勢價值。

4）提供 SSO 的體驗和關(guān)鍵用戶接入的管理能力：被評估的解決方案應(yīng)該對廣泛的 SSO 技術(shù)提供靈活的支持，例如安全聲明標記語言(SAML)、OpenID 連接、活動目錄聯(lián)合服務(wù)(ADFS)及其它技術(shù)。這將保證能與各類企業(yè)級應(yīng)用的集成。

5）支持智能的安全認證策略：被評估的解決方案應(yīng)該提供一種智能化，以適應(yīng)各種應(yīng)用的風險狀況并適于檢測到可疑的訪問情況的不同，該解決方案應(yīng)該支持多種不同的認證因素，包括軟和硬件令牌、終端證書、并期待能支持新的，諸如生物識別之類的創(chuàng)新因素。

6）提供自動化的用戶行為跟蹤和審計：IDaaS 是否能夠?qū)崿F(xiàn)全面的行為審計，跟蹤用戶的每一次登錄和訪問行為，是我們要考察的另外一個重要因素。因為對企業(yè)管理者而言，審計永遠是安全的最后一道屏障，無法審計的訪問，永遠不是真正的安全。

7）提供一種統(tǒng)一且集中化的體驗：一種統(tǒng)一且集中化的體驗對于最終用戶和 IT 管理員來說是非常重要的。對用戶來說，一個統(tǒng)一且易用的門戶極大地提升使用體驗。對管理員來說，一個統(tǒng)一集中化的身份管理平臺，能節(jié)約大量的時間，成倍地提高效率。

8）使用成本：IDaaS 解決方案的成本，需要被通過一種靈活且簡單的授權(quán)模式來予以合理的定價。

◼ 國內(nèi) IDaaS 主要服務(wù)商對比

➢ IDaaS 玩家主要分為兩類：云計算背景成熟企業(yè)，以及創(chuàng)業(yè)背景云安全服務(wù)專門廠商。云計算背景成熟企業(yè)在 IDaaS 領(lǐng)域的部署主要聚焦在身份認證環(huán)節(jié)。其競爭優(yōu)勢為更有力的資源支撐、更豐富的運營經(jīng)驗和更高的知名度。IDaaS 專門廠商主要是創(chuàng)業(yè)類公司，產(chǎn)品實現(xiàn)從云身份的認證到管理全場景、全流程打通。其競爭優(yōu)勢為平臺的靈活性、獨立性與可擴展性。

表 2：國內(nèi)創(chuàng)業(yè)背景 IDaaS 主要服務(wù)商產(chǎn)品及基本信息對比（數(shù)據(jù)來源：公司官網(wǎng)，企名片）

◼ 國外對標公司：Okta，全球在線身份與訪問管理領(lǐng)導者

➢ Okta 為美國多云部署及 SaaS 時代的身份認證管理服務(wù)商，成立于 2019 年。Okta 通過兼收并購，快速獲得核心技術(shù)和人才，將業(yè)務(wù)由最初的單點登錄（SSO）逐漸擴張至 IAM 全領(lǐng)域，并同時服務(wù)于 B2E、B2C、B2B 全場景與全生命周期。

➢ Okta 客戶以行業(yè)中大型企業(yè)為主，收費方式以訂閱費為主，近年營收成長性較高。Okta 收獲了大量客戶，滲透至多個垂直化行業(yè)中，致力于付費全球大中型客戶，包括 Adobe、Colorx、MGM Resorts、American Express、Magellan Health 等，目前在全球財富 2000 客戶中滲透率超過 20%。公司按照產(chǎn)品數(shù)量和終端用戶數(shù)量向客戶收取訂閱費，其收入的 85% 來自于美國本土市場。FY2021 Q2，公司實現(xiàn)收入 2 億美元，同比增長 43 %，客戶數(shù)量達 8,950 家。目前，公司市值接近 300 億美元，股價自上市以來累計上漲近 9 倍。

◼ 綜上，我們對國內(nèi) IDaaS 行業(yè)現(xiàn)狀及發(fā)展前景給出以下觀點：

➢ 中國在云計算的發(fā)展階段和云原生技術(shù)的程度上與海外市場還有一定差距。主要原因有兩點：

1）中國私有云市場比公有云市場發(fā)展更為領(lǐng)先，對安全資源池等私有化部署的安全機制需求較大。中國的云計算發(fā)展是從虛擬化起步，從私有云到公有行業(yè)云。通常商用私有云系統(tǒng)是封閉的，缺乏對網(wǎng)絡(luò)流量按需控制的應(yīng)用接口。因而，針對這類私有云的安全機制多為基于本地部署的安全資源池。

2）從技術(shù)應(yīng)用上來說，中國對于新興云安全技術(shù)尚處于早期階段。一方面，國內(nèi)缺乏重量級的企業(yè)級 SaaS 而導致市場較?。涣硪环矫?，國內(nèi)的公有云相比私有云、行業(yè)云仍較少，因此基于云原生的身份認證與管理尚未得到重視。

➢ 對于國內(nèi) IDaaS 創(chuàng)業(yè)公司而言，中小企業(yè)客群的商業(yè)機會較大。從需求角度來看，中小企業(yè)對云原生身份管理技術(shù)的需求更急迫。國外云計算基因廠商 IDaaS 產(chǎn)品的目標客戶以行業(yè)中大型企業(yè)為主，但國內(nèi)大 B 過去的業(yè)務(wù)目前仍多基于私有云部署，預(yù)計部署方式的轉(zhuǎn)型時間較長，實施云原生安全的急迫性低。在此背景下，傳統(tǒng) IAM 產(chǎn)品更加有優(yōu)勢。而反觀中小企業(yè)，業(yè)務(wù)上云導致其對 IDaaS 的潛在需求更大。從供給角度來看，創(chuàng)業(yè)基因使得年輕 IDaaS 服務(wù)商更易搶占中小客群市場。老牌廠商擁有更強大的資源整合能力以及更高的知名度，且可以基于已有產(chǎn)品線增加 IDaaS 分支，更加容易在 IDaaS 領(lǐng)域快速獲取已有的大 B 客群。但 IDaaS 創(chuàng)業(yè)服務(wù)商擁有模式輕、創(chuàng)新能力強的獨特優(yōu)勢，使得企業(yè)在快速變化的底層技術(shù)大環(huán)境中占據(jù)主動權(quán)，年輕的團隊能快適應(yīng)技術(shù)發(fā)展的趨勢。

➢ 產(chǎn)品體驗、使用成本是中小企業(yè)客群的主要考量因素。產(chǎn)品層面，保證良好用戶體驗是關(guān)鍵。服務(wù)商需要從顧客角度出發(fā)，考慮產(chǎn)品的性能、易用性以及服務(wù)能力。產(chǎn)品設(shè)計應(yīng)遵循奧卡姆剃刀原則。身份驗證必須讓用戶易于執(zhí)行，讓 IT 部門易于部署，因此，IDaaS 廠商應(yīng)關(guān)注客戶核心訴求，僅保留必要的關(guān)鍵功能，增強產(chǎn)品的易用性。服務(wù)模式應(yīng)以顧問模式為主，持續(xù)服務(wù)客戶從籌備、設(shè)計、實施、應(yīng)用的全流程。收費方式層面，國內(nèi)更適用于彈性收費模式。中小企業(yè)對成本敏感，照搬國外主流的訂閱費模式收費，可能會導致客戶付費意愿不強，從而引起獲客難、客戶黏性降低。國內(nèi)廠商可按照客戶的調(diào)用次數(shù)進行彈性收費。

➢ 云安全市場正伴隨著云計算市場的快速發(fā)展，及云原生技術(shù)的廣泛應(yīng)用快速增長。目前，云安全支出占云計算支出比例尚處于較低水平，2020 年約為 1%，長期來看該比例將提升至 5% 左右。至 2023 年，全球市場規(guī)模將超百億美元。此外，國內(nèi)云安全市場需求旺盛，在新興云安全技術(shù)應(yīng)用上不斷追趕，高速發(fā)展可期。疫情使得企業(yè)對云身份管理服務(wù)的需求延續(xù)。對標國外企業(yè)，國內(nèi) IDaaS 創(chuàng)業(yè)企業(yè)隨著客戶需求升溫、用戶單價的提升以及規(guī)模效應(yīng)帶來的利潤改善，預(yù)計行業(yè)中獨角獸公司的中長期成長性突出。

部分參考資料

[1] 天風證券,計算機行業(yè)專題研究：Okta，三年十倍，美國最大網(wǎng)絡(luò)安全公司.

[2] 開源證券,云安全專題報告：網(wǎng)絡(luò)安全的未來在云端。