昨天一條朋友圈的文章被刷屏了,國(guó)內(nèi)身份認(rèn)證服務(wù)產(chǎn)品洋蔥即將全部停止服務(wù),在洋蔥服務(wù)的官網(wǎng)上發(fā)布了來(lái)自CEO奶罩的公告,公告中最后奶罩的總結(jié)是:
I never said it would be easy, I only said it would be worth it.
企業(yè)身份認(rèn)證服務(wù)的大方向是沒(méi)錯(cuò)的,可能是時(shí)間和產(chǎn)品形態(tài)目前這個(gè)階段不對(duì)。
筆者作為洋蔥服務(wù)CEO奶罩的前同事,對(duì)洋蔥的關(guān)閉深表遺憾,奶罩作為國(guó)內(nèi)最為成功DNS服務(wù)商DNSPOD的創(chuàng)始人,把DNS服務(wù)做到了極致,最后通過(guò)資本運(yùn)作體現(xiàn)了其產(chǎn)品的價(jià)值,在奶罩選擇二次創(chuàng)業(yè)的時(shí)候選擇了身份認(rèn)證服務(wù)這塊安全領(lǐng)域,筆者認(rèn)為奶罩的眼光還是很獨(dú)到的,看準(zhǔn)了未來(lái)企業(yè)身份認(rèn)證中安全和便捷的痛點(diǎn),只可惜時(shí)機(jī)和場(chǎng)景沒(méi)有選對(duì),不過(guò)筆者對(duì)洋蔥的嘗試和堅(jiān)持還是深表敬佩。
那么筆者帶大家看下:
洋蔥服務(wù)是解決什么樣的問(wèn)題?
洋蔥作為一款解決身份認(rèn)證問(wèn)題的產(chǎn)品,主要解決兩個(gè)問(wèn)題:便捷和安全。
便捷:不管是個(gè)人用戶(hù)還是企業(yè)用戶(hù),在面臨各種系統(tǒng)和服務(wù)時(shí)候,需要?jiǎng)?chuàng)建和維護(hù)不同的賬號(hào)和密碼,這個(gè)很麻煩,比如對(duì)于企業(yè)用戶(hù)來(lái)說(shuō),可能HR系統(tǒng)一套賬號(hào)密碼,財(cái)務(wù)系統(tǒng)又一套賬號(hào)密碼,企業(yè)出于安全考慮還經(jīng)常要求員工定期維護(hù)密碼的復(fù)雜度,導(dǎo)致員工要記住復(fù)雜的賬號(hào)密碼,甚至出現(xiàn)有的員工為了記住不同系統(tǒng)賬號(hào)密碼把賬號(hào)密碼記錄在云盤(pán)或者各種筆記軟件上,最后導(dǎo)致重要賬號(hào)密碼泄露,所以洋蔥要解決的其中的一個(gè)問(wèn)題就是統(tǒng)一所有系統(tǒng)的賬號(hào)密碼,讓員工用一個(gè)ID去登錄和維護(hù)所有系統(tǒng)。
安全:解決了便捷的問(wèn)題后,就需要企業(yè)去管理和維護(hù)各種賬號(hào)的系統(tǒng)權(quán)限,訪問(wèn)權(quán)限,甚至知道每個(gè)賬號(hào)訪問(wèn)的文件路徑等信息,隨著企業(yè)越來(lái)越多使用公有云SaaS服務(wù),如何避免員工把內(nèi)部資料泄露出去和避免員工越級(jí)獲取到非法文件,包括有員工離職后,合理的回收賬號(hào)權(quán)限,合作伙伴賬號(hào)如何合法接入企業(yè)內(nèi)部的系統(tǒng),分配什么樣的權(quán)限,這些都是要解決的權(quán)限,數(shù)據(jù)防泄露安全問(wèn)題。
這種身份認(rèn)證管理的產(chǎn)品,我們有一個(gè)名字叫IDaaS(身份即服務(wù))。
IDaaS服務(wù)商以【身份】作為紐帶,鏈接企業(yè)和服務(wù)商,當(dāng)企業(yè)和第三方服務(wù)商都接入IDaaS,那么ID服務(wù)商就成了一個(gè)認(rèn)證中心,企業(yè)用戶(hù)訪問(wèn)內(nèi)部和外部應(yīng)用時(shí)候,只用一個(gè)賬號(hào)登錄所有內(nèi)部和外部的應(yīng)用,不需要一大堆賬號(hào)密碼了。
國(guó)外IDaaS服務(wù)的情況是怎么樣的?
現(xiàn)在國(guó)外有三家廠商分別是Okta,OneLogin,PingID專(zhuān)門(mén)做這塊領(lǐng)域的服務(wù),以O(shè)kta為例:
估值大概14億美金,企業(yè)客戶(hù)在3000左右,主要靠集成AWS,Office365 這樣的支持標(biāo)準(zhǔn)oauth,saml協(xié)議的應(yīng)用平臺(tái),提供給企業(yè)客戶(hù)使用。
VMware的Identify Manager和微軟的Identify Manager也是做類(lèi)似的產(chǎn)品,但是IDaaS只是他們提供解決方案里很小的一部分,還有CASB的廠商,比如Netskop這樣的廠商是從安全角度來(lái)切入,IDaaS作為他們產(chǎn)品中的一部分功能,后面筆者會(huì)講到什么CASB服務(wù)。
具體的服務(wù)和技術(shù)細(xì)節(jié)可以參考我之前的一篇公眾號(hào)文章《IAM和AWS的合作伙伴》。
洋蔥為什么沒(méi)有被成功接盤(pán)?
國(guó)外IDaaS服務(wù)能夠成功的根本原因是:歐美國(guó)家經(jīng)歷了合理的經(jīng)濟(jì)發(fā)展的階段,所以企業(yè)是按照規(guī)則和標(biāo)準(zhǔn)來(lái)管理和運(yùn)營(yíng)的,一切都有標(biāo)準(zhǔn)化的管理和規(guī)范,賬號(hào)接入這件事也是同樣適用,每個(gè)企業(yè)應(yīng)用的賬號(hào)系統(tǒng)都是按照標(biāo)準(zhǔn)的auth協(xié)議或者Saml,OpenIDconnect協(xié)議去完成的,所以當(dāng)這種服務(wù)接入第三方系統(tǒng)時(shí)候是很順滑的接入。
而中國(guó)目前還是領(lǐng)導(dǎo)說(shuō)了算的農(nóng)業(yè)經(jīng)濟(jì)發(fā)展時(shí)代,所有的系統(tǒng)和服務(wù)都要自己搞,沒(méi)有標(biāo)準(zhǔn)化的流程和管理,雖然我們今天直接跳到云計(jì)算的時(shí)代了,基礎(chǔ)設(shè)施上去了但是軟件服務(wù)的理念沒(méi)上去,思想需要同步上去是需要時(shí)間的。
IAM市場(chǎng)是企業(yè)級(jí)安全市場(chǎng)最大的市場(chǎng),但是一定不是最賺錢(qián)的市場(chǎng),占流量入口這件事目前來(lái)看,在國(guó)內(nèi)還是靠利益綁定的方式去做,而不是靠標(biāo)準(zhǔn)化的技術(shù)和產(chǎn)品去做,所以IDaaS廠商們要么抱BAT的大腿,要么被收購(gòu),短期來(lái)看,創(chuàng)業(yè)公司靠這個(gè)業(yè)務(wù)做大的可能性不大,因?yàn)樵坪推髽I(yè)級(jí)市場(chǎng)還在跑馬圈地。
IDaaS服務(wù)春天什么時(shí)候能夠到來(lái)?
IDaaS是云計(jì)算時(shí)代,移動(dòng)互聯(lián)網(wǎng)辦公,SaaS服務(wù)興起后的產(chǎn)物,當(dāng)越來(lái)越多的企業(yè)需要用到各種SaaS服務(wù)的時(shí)候,比如ERP,CRM,IT運(yùn)維系統(tǒng),每套系統(tǒng)都有分別獨(dú)立的賬號(hào)體系,作為企業(yè)的IT管理員需要維護(hù)每個(gè)員工在不同系統(tǒng)之間的賬號(hào)信息和權(quán)限控制,而且還要做日志操作審計(jì)和授權(quán)管理,包括當(dāng)企業(yè)內(nèi)部的AD域賬號(hào)訪問(wèn)外部系統(tǒng)賬號(hào),以及外部賬號(hào)體系需要VPN登錄到內(nèi)部AD的時(shí)候,還需要二次認(rèn)證的過(guò)程,用戶(hù)體驗(yàn)極其差,企業(yè)員工需要維護(hù)復(fù)雜的賬號(hào)密碼體系,企業(yè)IT管理員也不愿意做這些復(fù)雜麻煩的操作,這個(gè)時(shí)候,IDaaS的需求就體現(xiàn)出來(lái)了,一個(gè)賬號(hào)打通所有的系統(tǒng),做到賬號(hào)授權(quán),權(quán)限控制,賬號(hào)認(rèn)證,操作審計(jì),甚至包括流量監(jiān)測(cè),上網(wǎng)行為管控,安全威脅監(jiān)測(cè)等等內(nèi)容。
筆者認(rèn)為IDaaS服務(wù)能夠成功的前提條件是企業(yè)SaaS服務(wù)充分被企業(yè)客戶(hù)認(rèn)知并接受,并且被廣泛的應(yīng)用,就筆者來(lái)看至少還需要3-5年的時(shí)間,但是可能會(huì)以另外的產(chǎn)品形態(tài)呈現(xiàn)。
今天還有哪些公司和產(chǎn)品在堅(jiān)持?
國(guó)內(nèi)目前只有洋蔥和九州云騰,云賬號(hào)這幾家公司在做IDaaS服務(wù),當(dāng)然也有一些初期做CASB的廠商也在嘗試,目前這些廠商最大的問(wèn)題是有技術(shù)和產(chǎn)品,但是缺乏成熟的土壤。
一方面云計(jì)算在國(guó)內(nèi)剛剛興起,移動(dòng)化辦公逐漸被企業(yè)接受,而像釘釘這樣的系統(tǒng)辦公軟件還在跑馬圈地的過(guò)程中,市場(chǎng)占有率是首要的任務(wù),還無(wú)暇去推送SaaS標(biāo)準(zhǔn)化接入的標(biāo)準(zhǔn)。
而云計(jì)算廠商也更多的關(guān)注IaaS的市場(chǎng)份額,SaaS廠商目前面臨首要的安全問(wèn)題是來(lái)自于外部入侵威脅導(dǎo)致的客戶(hù)不信任數(shù)據(jù)安全的問(wèn)題,還沒(méi)有進(jìn)入到身份管理和賬號(hào)信息安全這個(gè)部分。
當(dāng)然也不是沒(méi)有機(jī)會(huì),筆者在阿里云的時(shí)候曾經(jīng)幫助九州云騰這家公司引入到阿里云安全市場(chǎng)里,幫助阿里云API網(wǎng)關(guān)服務(wù)解決了一個(gè)企業(yè)ISV調(diào)用API網(wǎng)關(guān)身份合法性認(rèn)證的問(wèn)題,將IDaaS服務(wù)集成到有實(shí)際業(yè)務(wù)的場(chǎng)景里,讓IDaaS服務(wù)為真正的客戶(hù)需求和業(yè)務(wù)所用,一切的技術(shù)的產(chǎn)品一定要服務(wù)于實(shí)際的業(yè)務(wù)場(chǎng)景。
對(duì)于在身份認(rèn)證服務(wù)商堅(jiān)持的廠商,筆者還是希望能繼續(xù)堅(jiān)持,等風(fēng)來(lái)。
IDaaS后會(huì)不會(huì)是CASB?
Gartner在企業(yè)安全領(lǐng)域里給出了SSO,CASB的預(yù)測(cè),認(rèn)為Cloud Access Security Brokers 和Mobile Single Sign-On 在未來(lái)2-5年會(huì)是最火的安全服務(wù)。
CASB服務(wù)說(shuō)白了就是集成了IDaaS,云端DLP,流量監(jiān)測(cè),上網(wǎng)行為管控,安全威脅監(jiān)測(cè)等等功能一種云安全網(wǎng)關(guān)服務(wù)。
筆者也是很看好這個(gè)領(lǐng)域,但是不管是CASB還是IDaaS,都需要但是就像IDaaS服務(wù)需要良好的土壤一樣,需要云計(jì)算在國(guó)內(nèi)的健康的發(fā)展,企業(yè)對(duì)信息化管理的接受度這些條件后,才會(huì)孕育出好的服務(wù)和廠商。