云岫資本企服組 2021 年 3 月

【前言】隨著業務上云、生態協作、多云混合等場景涌現，過往以防火墻為邊界的身份與訪問控制遭遇了新的挑戰。如何打通云上與本地系統的身份體系，對內部員工和外部合作伙伴的賬號、權限、行為進行統一管控，打破企業多個業務應用的數據孤島，建立全面的身份畫像，為用戶提供更為順暢和精準的服務，成為云原生時代新的安全需求。

◼ IT 整體環境的變化，催生了基于云原生安全的統一身份管理需求

➢ IT 架構根源性的變化：隨著移動互聯、IOT 設備的普及，大量的設備接入讓企業的身份信任邊界外擴，傳統的內外網分離方案，本地化的 IAM 方案已經滿足不了當前的需求。

➢ 企業數據庫從 IDC 遷移到云上：隨著云計算的浪潮，越來越多的企業選擇全站上云或 50% 業務上云，導致防護環境發生變化。

➢ 企業 SaaS 服務發展：企業網盤、釘釘等企業 SaaS 服務的發力，意味著越來越多的企業工作流，數據流和身份都到了外部，而非固定在原本的隔離環境中；大量的 SaaS 服務認證憑據無法得到統一、有效的管理。

➢ 多云進一步深化，降本增效需求迫切：多應用、混合云的環境，給企業帶來沉重的管理負擔。企業 IT 管理員需要維護每個員工在不同系統之間的賬號信息，并做日志審計和授權管理。當員工使用企業內部 AD 域賬號訪問外部系統，以及外部系統需要通過虛擬網絡登錄到內部 AD 域的時候，員工需要維護復雜的賬戶密碼體系。

◼ 全球身份安全市場將超百億美元，數據安全領域亟需技術突破迎來爆發

➢ 云基礎設施的投資推動云安全市場的增長：據 Million Insights 最新報告顯示，2020-2027 年全球云安全市場預計將保持 14.6% 的復合年增長率，2027 年全球云安全市場規?；驅⑦_到 209 億美元。身份和訪問管理市場全球安全支出呈現出逐年增長的趨勢。據 Gartner 數據顯示，2017-2019 年身份和訪問管理安全全球市場支出分別為 88.2 億美元、97.7 億美元、105.8 億美元。

➢ 隱私授權政策加速落地，助推身份安全管理海量需求：2016 年，快速身份在線聯盟（FIDO）發布了第二代認證規范，啟動了網絡身份認證領域的全新標準。我國在《網絡安全法》中明確了國家實施網絡可信身份戰略，支持研究開發安全、方便的電子身份認證技術。2019 年，歐盟修訂了《通用數據保護條例》（GDPR），對未能保護個人數據安全的組織加大了罰款數額。2020 年，作為全球第五大經濟體的加州頒布了消費者隱私法案（CCPA）。

◼ 企業需要新身份管理技術，通過對人、終端和系統都進行識別、訪問控制、跟蹤實現全面的身份化

➢ 身份管理與訪問控制（Identity and Access Management，簡稱 IAM）：IAM 是一個企業內部身份權限的管理方案，核心思想是以人的數字身份（如賬號）為切入點，打通信息孤島，連接各種應用，對用戶訪問不同類型的應用系統的行為和權限進行賬號管理（Account）、認證管理（Authentication）、授權管理（Authorization）和審計管理（Audit）。

➢ 從 IAM 到 IDaaS：IDaaS（Identity as Service，簡稱 IDaaS）是將身份管理作為一項專門服務，基于云端的 IAM 能夠同時管理 SaaS 應用和內部應用。與傳統 IAM 相比，IDaaS 的重要性體現在：

1）適配性更強：部署方式上，傳統 IAM 僅支持私有化部署，而 IDaaS 支持混合云部署；租戶模式上，傳統 IAM 僅支持單租戶模式，而 IDaaS 在此基礎上增加了多租戶模式；

2）性能更強：可處理更大規模、更復雜的數據；

3）安全性更強：能保護企業及其用戶免受數據泄露風險。

➢ 選擇 IDaaS 解決方案的核心要素：IDaaS 的解決方案是客戶用來訪問所有重要業務的集中化機制，企業需謹慎選擇此類產品，因為任何停機/掉線都將導致組織的重大業務中斷。判斷 IDaaS 核心產品主要基于：

1）足夠安全：安全是所有因素的核心，具有最高的優先級別。

2）有良好的“開箱即用”能力：IDaaS 解決方案在前瞻性方面應該具有靈活性，以應用到任何類型的 IT 基礎設施，同時 IDaaS 需提供良好的開發/集成模式，方便和任意的應用程序及其他解決方案集成。

3）支持與現有用戶目錄存儲的集成：無論是在內部部署還是在云端，被評估的解決方案都需要以最小中斷的目標去支持員工的信息記錄系統，例如人力資源系統或是活動目錄。這樣才能夠確保該解決方案的快速部署和在時間方面的優勢價值。

4）提供 SSO 的體驗和關鍵用戶接入的管理能力：被評估的解決方案應該對廣泛的 SSO 技術提供靈活的支持，例如安全聲明標記語言(SAML)、OpenID 連接、活動目錄聯合服務(ADFS)及其它技術。這將保證能與各類企業級應用的集成。

5）支持智能的安全認證策略：被評估的解決方案應該提供一種智能化，以適應各種應用的風險狀況并適于檢測到可疑的訪問情況的不同，該解決方案應該支持多種不同的認證因素，包括軟和硬件令牌、終端證書、并期待能支持新的，諸如生物識別之類的創新因素。

6）提供自動化的用戶行為跟蹤和審計：IDaaS 是否能夠實現全面的行為審計，跟蹤用戶的每一次登錄和訪問行為，是我們要考察的另外一個重要因素。因為對企業管理者而言，審計永遠是安全的最后一道屏障，無法審計的訪問，永遠不是真正的安全。

7）提供一種統一且集中化的體驗：一種統一且集中化的體驗對于最終用戶和 IT 管理員來說是非常重要的。對用戶來說，一個統一且易用的門戶極大地提升使用體驗。對管理員來說，一個統一集中化的身份管理平臺，能節約大量的時間，成倍地提高效率。

8）使用成本：IDaaS 解決方案的成本，需要被通過一種靈活且簡單的授權模式來予以合理的定價。

◼ 國內 IDaaS 主要服務商對比

➢ IDaaS 玩家主要分為兩類：云計算背景成熟企業，以及創業背景云安全服務專門廠商。云計算背景成熟企業在 IDaaS 領域的部署主要聚焦在身份認證環節。其競爭優勢為更有力的資源支撐、更豐富的運營經驗和更高的知名度。IDaaS 專門廠商主要是創業類公司，產品實現從云身份的認證到管理全場景、全流程打通。其競爭優勢為平臺的靈活性、獨立性與可擴展性。

表 2：國內創業背景 IDaaS 主要服務商產品及基本信息對比（數據來源：公司官網，企名片）

◼ 國外對標公司：Okta，全球在線身份與訪問管理領導者

➢ Okta 為美國多云部署及 SaaS 時代的身份認證管理服務商，成立于 2019 年。Okta 通過兼收并購，快速獲得核心技術和人才，將業務由最初的單點登錄（SSO）逐漸擴張至 IAM 全領域，并同時服務于 B2E、B2C、B2B 全場景與全生命周期。

➢ Okta 客戶以行業中大型企業為主，收費方式以訂閱費為主，近年營收成長性較高。Okta 收獲了大量客戶，滲透至多個垂直化行業中，致力于付費全球大中型客戶，包括 Adobe、Colorx、MGM Resorts、American Express、Magellan Health 等，目前在全球財富 2000 客戶中滲透率超過 20%。公司按照產品數量和終端用戶數量向客戶收取訂閱費，其收入的 85% 來自于美國本土市場。FY2021 Q2，公司實現收入 2 億美元，同比增長 43 %，客戶數量達 8,950 家。目前，公司市值接近 300 億美元，股價自上市以來累計上漲近 9 倍。

◼ 綜上，我們對國內 IDaaS 行業現狀及發展前景給出以下觀點：

➢ 中國在云計算的發展階段和云原生技術的程度上與海外市場還有一定差距。主要原因有兩點：

1）中國私有云市場比公有云市場發展更為領先，對安全資源池等私有化部署的安全機制需求較大。中國的云計算發展是從虛擬化起步，從私有云到公有行業云。通常商用私有云系統是封閉的，缺乏對網絡流量按需控制的應用接口。因而，針對這類私有云的安全機制多為基于本地部署的安全資源池。

2）從技術應用上來說，中國對于新興云安全技術尚處于早期階段。一方面，國內缺乏重量級的企業級 SaaS 而導致市場較?。涣硪环矫?，國內的公有云相比私有云、行業云仍較少，因此基于云原生的身份認證與管理尚未得到重視。

➢ 對于國內 IDaaS 創業公司而言，中小企業客群的商業機會較大。從需求角度來看，中小企業對云原生身份管理技術的需求更急迫。國外云計算基因廠商 IDaaS 產品的目標客戶以行業中大型企業為主，但國內大 B 過去的業務目前仍多基于私有云部署，預計部署方式的轉型時間較長，實施云原生安全的急迫性低。在此背景下，傳統 IAM 產品更加有優勢。而反觀中小企業，業務上云導致其對 IDaaS 的潛在需求更大。從供給角度來看，創業基因使得年輕 IDaaS 服務商更易搶占中小客群市場。老牌廠商擁有更強大的資源整合能力以及更高的知名度，且可以基于已有產品線增加 IDaaS 分支，更加容易在 IDaaS 領域快速獲取已有的大 B 客群。但 IDaaS 創業服務商擁有模式輕、創新能力強的獨特優勢，使得企業在快速變化的底層技術大環境中占據主動權，年輕的團隊能快適應技術發展的趨勢。

➢ 產品體驗、使用成本是中小企業客群的主要考量因素。產品層面，保證良好用戶體驗是關鍵。服務商需要從顧客角度出發，考慮產品的性能、易用性以及服務能力。產品設計應遵循奧卡姆剃刀原則。身份驗證必須讓用戶易于執行，讓 IT 部門易于部署，因此，IDaaS 廠商應關注客戶核心訴求，僅保留必要的關鍵功能，增強產品的易用性。服務模式應以顧問模式為主，持續服務客戶從籌備、設計、實施、應用的全流程。收費方式層面，國內更適用于彈性收費模式。中小企業對成本敏感，照搬國外主流的訂閱費模式收費，可能會導致客戶付費意愿不強，從而引起獲客難、客戶黏性降低。國內廠商可按照客戶的調用次數進行彈性收費。

➢ 云安全市場正伴隨著云計算市場的快速發展，及云原生技術的廣泛應用快速增長。目前，云安全支出占云計算支出比例尚處于較低水平，2020 年約為 1%，長期來看該比例將提升至 5% 左右。至 2023 年，全球市場規模將超百億美元。此外，國內云安全市場需求旺盛，在新興云安全技術應用上不斷追趕，高速發展可期。疫情使得企業對云身份管理服務的需求延續。對標國外企業，國內 IDaaS 創業企業隨著客戶需求升溫、用戶單價的提升以及規模效應帶來的利潤改善，預計行業中獨角獸公司的中長期成長性突出。

部分參考資料

[1] 天風證券,計算機行業專題研究：Okta，三年十倍，美國最大網絡安全公司.

[2] 開源證券,云安全專題報告：網絡安全的未來在云端。