編者按：本文來自微信公眾號“云岫資本”（ID:winsoulcapital），作者：云岫資本企服組，36氪經授權發布。

作者 | 吳曉婷 關若琳

萬豪酒店客戶信息泄露、微盟系統數據遭破壞……近年來，大型企業的數字安全事故頻發，企業對于信息安全也越來越重視，甚至紛紛設立首席信息安全官（CISO）。然而，隨著業務上云、生態協作、多云混合等場景涌現，過往以防火墻為邊界的身份與訪問控制遭遇了新的挑戰。

如何打通云上與本地系統的身份體系，對內部員工和外部合作伙伴的賬號、權限、行為進行統一管控？如何打破企業多個業務應用的數據孤島，建立全面的身份畫像，為用戶提供更為順暢和精準的服務？這些將成為新的安全需求。

本期「云岫研究」，我們總結分析了身份即服務（Identity as Service，簡稱IDaaS）的市場潛力、競爭格局，探究云原生時代下，身份安全管理的趨勢與前景。

行業概覽

（一）誕生背景：IT整體環境的變化，催生了基于云原生安全的統一身份管理需求

1）IT架構發生根源性的變化，本地化的身份管理與訪問控制（Identity and Access Management，簡稱IAM）方案已難以滿足當前需求：

隨著移動互聯、IOT設備的普及，大量的設備接入讓企業的身份信任邊界外擴，傳統的內外網分離。

2）隨著企業SaaS服務的發展，大量服務認證憑據無法得到統一、有效的管理：

企業網盤、釘釘等企業SaaS服務的發力，意味著越來越多的企業工作流、數據流和身份都到了外部，而非固定在原本的隔離環境中。

3）多云進一步深化，降本增效需求迫切：

企業數據庫從IDC遷移到云上，導致防護環境發生變化。云計算的浪潮下，越來越多的企業選擇全站上云或50%業務上云。多應用、混合云的環境，給企業帶來沉重的管理負擔——企業IT管理員需要維護每個員工在不同系統之間的賬號信息，并做日志審計和授權管理。當使用企業內部AD域賬號訪問外部系統，以及外部系統需要通過VPN登錄到內部AD域的時候，員工需要維護復雜的賬戶密碼體系。

（二）行業屬性：通過對人、終端和系統都進行識別、訪問控制、跟蹤，實現全面的身份化

IAM：IAM是一個企業內部身份權限的管理方案，核心思想是以人的數字身份（如賬號）為切入點，打通信息孤島，連接各種應用，對用戶訪問不同類型的應用系統的行為和權限進行賬號管理（Account）、認證管理（Authentication）、授權管理（Authorization）和審計管理（Audit）。

IDaaS：IDaaS是將身份管理作為一項專門服務，基于云端的IAM能夠同時管理SaaS應用和內部應用。

與傳統IAM相比，IDaaS的重要性體現在：

1）適配性更強：部署方式上，傳統IAM僅支持私有化部署，而IDaaS支持混合云部署；租戶模式上，傳統IAM僅支持單租戶模式，而IDaaS在此基礎上增加了多租戶模式；

2）性能更強：可處理更大規模、更復雜的數據；

3）安全性更強：能保護企業及其用戶免受數據泄露風險。

（三）選擇IDaaS解決方案的八個核心要素

IDaaS解決方案使得客戶可以集中化訪問所有重要業務，但任何停機/掉線都將導致組織的重大業務中斷，因此企業需根據特定維度謹慎評估與選擇合適的IDaaS產品。

判斷一款好的IDaaS產品，主要在于八個核心要素：

1） 足夠安全：安全是所有因素的核心，具有最高的優先級別；

2）具備良好的“開箱即用”能力：IDaaS解決方案在前瞻性方面應該具有靈活性，以應用到任何類型的IT基礎設施；同時IDaaS需提供良好的開發/集成模式，便于與任意的其他應用程序及解決方案進行集成；

3）支持與現有用戶目錄存儲的集成：無論是在內部部署還是在云端，IDaaS解決方案都需要以“最小中斷的目標”去支持員工的信息記錄系統，例如人力資源系統或活動目錄，這樣才能確保該解決方案的快速部署和在時間方面的優勢價值；

4）提供單點登錄（Single Sign On，簡稱SSO）的體驗和關鍵用戶接入的管理能力：IDaaS解決方案應該對廣泛的SSO技術提供靈活的支持，例如安全聲明標記語言(SAML)、OpenID連接、活動目錄聯合服務(ADFS)及其它技術，這將保證能與各類企業級應用的集成；

5）支持智能的安全認證策略：IDaaS解決方案應該提供一種智能化認證機制，以應對各種應用的風險狀況，并可以檢測到各種可疑的訪問情況；此外，IDaaS解決方案應支持多種安全認證方式，包括但不限于軟件和硬件令牌、終端證書、生物識別等；

6）提供自動化的用戶行為跟蹤和審計：IDaaS是否能夠實現全面的行為審計，跟蹤用戶的每一次登錄和訪問行為，是我們要考察的另外一個重要因素。因為對企業管理者而言，審計永遠是安全的最后一道屏障，無法審計的訪問，永遠不是真正的安全；

7）提供一種統一且集中化的體驗：對用戶來說，一個統一且易用的門戶將極大地提升使用體驗；對管理員來說，一個統一集中化的身份管理平臺，能節約大量時間，成倍提高效率；

8）使用成本低：IDaaS解決方案的成本，需要被通過一種靈活且簡單的授權模式來予以合理的定價。

（四）市場潛力：全球身份安全市場將超百億美元，數據安全領域迎來爆發

1）云基礎設施的投資推動云安全市場的增長。

據Million Insights最新報告顯示，2020-2027年全球云安全市場預計將保持14.6%的復合年增長率，2027年全球云安全市場規模或將達到209億美元。身份和訪問管理市場全球安全支出也呈現出逐年增長的趨勢。據Gartner數據顯示，2017-2019年身份和訪問管理安全全球市場支出分別為88.2億美元、97.7億美元、105.8億美元。

2）隱私授權政策加速落地，助推身份安全管理海量需求。

2016年，快速身份在線聯盟（FIDO）發布了第二代認證規范，啟動了網絡身份認證領域的全新標準。我國在《網絡安全法》中明確了國家實施網絡可信身份戰略，支持研究開發安全、方便的電子身份認證技術。2019年，歐盟修訂了《通用數據保護條例》（GDPR），對未能保護個人數據安全的組織加大了罰款數額。2020年，作為全球第五大經濟體的加州頒布了消費者隱私法案（CCPA）。

競爭格局

國內IDaaS玩家主要分為兩類：云計算背景成熟企業，以及云安全創業服務商。

云計算背景成熟企業在IDaaS領域的部署主要聚焦在身份認證環節。其競爭優勢為更有力的資源支撐、更豐富的運營經驗和更高的知名度。

云安全創業服務商主要是聚焦于IDaaS領域的創業公司，產品實現從云身份的認證到管理全場景、全流程打通。其競爭優勢為平臺的靈活性、獨立性與可擴展性。

國外對標公司：Okta，全球在線身份與訪問管理領導者

Okta為美國多云部署及SaaS時代的身份認證管理服務商，成立于2019年。Okta通過兼收并購，快速獲得核心技術和人才，將業務由最初的單點登錄（SSO）逐漸擴張至IAM全領域，并同時服務于B2E、B2C、B2B全場景與全生命周期。

Okta客戶以行業中大型企業為主，收費方式以訂閱費為主，近年營收成長性較高。Okta收獲了大量客戶，滲透至多個垂直化行業中，致力于付費全球大中型客戶，包括Adobe、Colorx、MGM Resorts、American Express、Magellan Health等，目前在全球財富2000客戶中滲透率超過20%。

公司按照產品數量和終端用戶數量向客戶收取訂閱費，其收入的85%來自于美國本土市場。FY2021 Q2，公司實現收入2億美元，同比增長43%，客戶數量達8,950家。目前，公司市值接近300億美元，股價自上市以來累計上漲近9倍。

總結與展望

綜上，我們對國內IDaaS行業現狀及發展前景給出以下觀點：

第一，伴隨著云計算市場的快速發展及云原生技術的廣泛應用，云安全市場正快速增長：

目前，云安全支出占云計算支出比例尚處于較低水平，2020年約為1%，長期來看該比例將提升至5%左右。至2023年，全球市場規模將超百億美元。此外，國內云安全市場需求旺盛，在新興云安全技術應用上不斷追趕，高速發展可期，疫情也使得企業對云身份管理服務的需求延續。

隨著客戶需求升溫、用戶單價提升以及規模效應帶來的利潤改善，預計國內IDaaS創業企業中獨角獸公司的中長期成長性突出。

第二，中國云計算的發展與海外市場還有一定差距，基于云原生的身份認證與管理尚未得到重視。主要原因有兩點：

1）中國私有云市場比公有云市場發展更為領先，對安全資源池等私有化部署的安全機制需求較大：

中國的云計算發展是從虛擬化起步，從私有云到公有行業云。通常商用私有云系統是封閉的，缺乏對網絡流量按需控制的應用接口。因而，針對這類私有云的安全機制多為基于本地部署的安全資源池；

2）從技術應用上來說，中國對于新興云安全技術尚處于早期階段：

一方面，國內缺乏重量級的企業級SaaS，導致市場較小；另一方面，國內的公有云相比私有云、行業云仍較少，因此基于云原生的身份認證與管理尚未得到重視。

第三，對于國內IDaaS創業公司而言，中小企業客群的商業機會較大：

1）從需求角度來看，中小企業對云原生身份管理技術的需求更急迫：

國外云計算基因廠商IDaaS產品的目標客戶以行業中大型企業為主，但國內大B過去的業務目前仍多基于私有云部署，預計部署方式的轉型時間較長，實施云原生安全的急迫性低。在此背景下，傳統IAM產品更加有優勢。而反觀中小企業，業務上云導致其對IDaaS的潛在需求更大；

2）從供給角度來看，創業基因使得年輕IDaaS服務商更易搶占中小客群市場。

老牌廠商擁有更強大的資源整合能力以及更高的知名度，且可以基于已有產品線增加IDaaS分支，更加容易在IDaaS領域快速獲取已有的大B客群。但IDaaS創業服務商擁有模式輕、創新能力強的獨特優勢，使得企業在快速變化的底層技術大環境中占據主動權，年輕的團隊能快適應技術發展的趨勢。

第四，產品體驗、使用成本是中小企業客群的主要考量因素：

1）產品層面，保證良好用戶體驗是關鍵，服務商需要從顧客角度出發，考慮產品的性能、易用性以及服務能力。

產品設計應遵循奧卡姆剃刀原則。身份驗證必須讓用戶易于執行，讓IT部門易于部署，因此，IDaaS廠商應關注客戶核心訴求，僅保留必要的關鍵功能，增強產品的易用性；服務模式應以顧問模式為主，持續服務客戶從籌備、設計、實施、應用的全流程；

2）收費方式層面，國內IDaaS產品更適用于彈性收費模式。

中小企業對成本敏感，照搬國外主流的訂閱模式收費可能會導致客戶付費意愿不強，從而引起獲客難、客戶黏性降低。國內廠商可按照客戶的調用次數進行彈性收費。

部分參考資料

[1] 天風證券, 計算機行業專題研究：Okta，三年十倍，美國最大網絡安全公司.

[2] 開源證券, 云安全專題報告：網絡安全的未來在云端.

—END—