解读IDaaS：云原生时代下的百亿美元市场

2021-04-19

随着业务上云、生态协作、多云混合等场景涌现，过往以防火墙为边界的身份与访问控制遭遇了新的挑战。

编者按：本文为专栏作者云岫资本企业服务组授权创业邦发表，作者吴晓婷，关若琳。版权归原作者所有。

万豪酒店客户信息泄露、微盟系统数据遭破坏……近年来，大型企业的数字安全事故频发，企业对于信息安全也越来越重视，甚至纷纷设立首席信息安全官（CISO）。然而，随着业务上云、生态协作、多云混合等场景涌现，过往以防火墙为边界的身份与访问控制遭遇了新的挑战。

如何打通云上与本地系统的身份体系，对内部员工和外部合作伙伴的账号、权限、行为进行统一管控？如何打破企业多个业务应用的数据孤岛，建立全面的身份画像，为用户提供更为顺畅和精准的服务？这些将成为新的安全需求。

本期「云岫研究」，我们总结分析了身份即服务（Identity as Service，简称IDaaS）的市场潜力、竞争格局，探究云原生时代下，身份安全管理的趋势与前景。

行业概览

（一）诞生背景：IT整体环境的变化，催生了基于云原生安全的统一身份管理需求

1）IT架构发生根源性的变化，本地化的身份管理与访问控制（Identity and Access Management，简称IAM）方案已难以满足当前需求：

随着移动互联、IOT设备的普及，大量的设备接入让企业的身份信任边界外扩，传统的内外网分离。

2）随着企业SaaS服务的发展，大量服务认证凭据无法得到统一、有效的管理：

企业网盘、钉钉等企业SaaS服务的发力，意味着越来越多的企业工作流、数据流和身份都到了外部，而非固定在原本的隔离环境中。

3）多云进一步深化，降本增效需求迫切：

企业数据库从IDC迁移到云上，导致防护环境发生变化。云计算的浪潮下，越来越多的企业选择全站上云或50%业务上云。多应用、混合云的环境，给企业带来沉重的管理负担——企业IT管理员需要维护每个员工在不同系统之间的账号信息，并做日志审计和授权管理。当使用企业内部AD域账号访问外部系统，以及外部系统需要通过VPN登录到内部AD域的时候，员工需要维护复杂的账户密码体系。

（二）行业属性：通过对人、终端和系统都进行识别、访问控制、跟踪，实现全面的身份化

IAM：IAM是一个企业内部身份权限的管理方案，核心思想是以人的数字身份（如账号）为切入点，打通信息孤岛，连接各种应用，对用户访问不同类型的应用系统的行为和权限进行账号管理（Account）、认证管理（Authentication）、授权管理（Authorization）和审计管理（Audit）。

IDaaS：IDaaS是将身份管理作为一项专门服务，基于云端的IAM能够同时管理SaaS应用和内部应用。

与传统IAM相比，IDaaS的重要性体现在：

1）适配性更强：部署方式上，传统IAM仅支持私有化部署，而IDaaS支持混合云部署；租户模式上，传统IAM仅支持单租户模式，而IDaaS在此基础上增加了多租户模式；

2）性能更强：可处理更大规模、更复杂的数据；

3）安全性更强：能保护企业及其用户免受数据泄露风险。

（三）选择IDaaS解决方案的八个核心要素

IDaaS解决方案使得客户可以集中化访问所有重要业务，但任何停机/掉线都将导致组织的重大业务中断，因此企业需根据特定维度谨慎评估与选择合适的IDaaS产品。

判断一款好的IDaaS产品，主要在于八个核心要素：

1）足够安全：安全是所有因素的核心，具有最高的优先级别；

2）具备良好的“开箱即用”能力：IDaaS解决方案在前瞻性方面应该具有灵活性，以应用到任何类型的IT基础设施；同时IDaaS需提供良好的开发/集成模式，便于与任意的其他应用程序及解决方案进行集成；

3）支持与现有用户目录存储的集成：无论是在内部部署还是在云端，IDaaS解决方案都需要以“最小中断的目标”去支持员工的信息记录系统，例如人力资源系统或活动目录，这样才能确保该解决方案的快速部署和在时间方面的优势价值；

4）提供单点登录（Single Sign On，简称SSO）的体验和关键用户接入的管理能力：IDaaS解决方案应该对广泛的SSO技术提供灵活的支持，例如安全声明标记语言(SAML)、OpenID连接、活动目录联合服务(ADFS)及其它技术，这将保证能与各类企业级应用的集成；

5）支持智能的安全认证策略：IDaaS解决方案应该提供一种智能化认证机制，以应对各种应用的风险状况，并可以检测到各种可疑的访问情况；此外，IDaaS解决方案应支持多种安全认证方式，包括但不限于软件和硬件令牌、终端证书、生物识别等；

6）提供自动化的用户行为跟踪和审计：IDaaS是否能够实现全面的行为审计，跟踪用户的每一次登录和访问行为，是我们要考察的另外一个重要因素。因为对企业管理者而言，审计永远是安全的最后一道屏障，无法审计的访问，永远不是真正的安全；

7）提供一种统一且集中化的体验：对用户来说，一个统一且易用的门户将极大地提升使用体验；对管理员来说，一个统一集中化的身份管理平台，能节约大量时间，成倍提高效率；

8）使用成本低：IDaaS解决方案的成本，需要被通过一种灵活且简单的授权模式来予以合理的定价。

（四）市场潜力：全球身份安全市场将超百亿美元，数据安全领域迎来爆发

1）云基础设施的投资推动云安全市场的增长。

据Million Insights最新报告显示，2020-2027年全球云安全市场预计将保持14.6%的复合年增长率，2027年全球云安全市场规模或将达到209亿美元。身份和访问管理市场全球安全支出也呈现出逐年增长的趋势。据Gartner数据显示，2017-2019年身份和访问管理安全全球市场支出分别为88.2亿美元、97.7亿美元、105.8亿美元。

2）隐私授权政策加速落地，助推身份安全管理海量需求。

2016年，快速身份在线联盟（FIDO）发布了第二代认证规范，启动了网络身份认证领域的全新标准。我国在《网络安全法》中明确了国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术。2019年，欧盟修订了《通用数据保护条例》（GDPR），对未能保护个人数据安全的组织加大了罚款数额。2020年，作为全球第五大经济体的加州颁布了消费者隐私法案（CCPA）。

竞争格局

国内IDaaS玩家主要分为两类：云计算背景成熟企业，以及云安全创业服务商。

云计算背景成熟企业在IDaaS领域的部署主要聚焦在身份认证环节。其竞争优势为更有力的资源支撑、更丰富的运营经验和更高的知名度。

云安全创业服务商主要是聚焦于IDaaS领域的创业公司，产品实现从云身份的认证到管理全场景、全流程打通。其竞争优势为平台的灵活性、独立性与可扩展性。

国外对标公司：

Okta，全球在线身份与访问管理领导者

Okta为美国多云部署及SaaS时代的身份认证管理服务商，成立于2019年。Okta通过兼收并购，快速获得核心技术和人才，将业务由最初的单点登录（SSO）逐渐扩张至IAM全领域，并同时服务于B2E、B2C、B2B全场景与全生命周期。

Okta客户以行业中大型企业为主，收费方式以订阅费为主，近年营收成长性较高。Okta收获了大量客户，渗透至多个垂直化行业中，致力于付费全球大中型客户，包括Adobe、Colorx、MGM Resorts、American Express、Magellan Health等，目前在全球财富2000客户中渗透率超过20%。

公司按照产品数量和终端用户数量向客户收取订阅费，其收入的85%来自于美国本土市场。FY2021 Q2，公司实现收入2亿美元，同比增长43%，客户数量达8,950家。目前，公司市值接近300亿美元，股价自上市以来累计上涨近9倍。