安全路透社
当前位置:安全路透社 > 网络转载 > 正文

观点:洋葱服务为什么没被成功接盘?

yc.jpg

昨天一条朋友圈的文章被刷屏了,国内身份认证服务产品洋葱即将全部停止服务,在洋葱服务的官网上发布了来自CEO奶罩的公告,公告中最后奶罩的总结是:

I never said it would be easy, I only said it would be worth it.

企业身份认证服务的大方向是没错的,可能是时间和产品形态目前这个阶段不对。

笔者作为洋葱服务CEO奶罩的前同事,对洋葱的关闭深表遗憾,奶罩作为国内最为成功DNS服务商DNSPOD的创始人,把DNS服务做到了极致,最后通过资本运作体现了其产品的价值,在奶罩选择二次创业的时候选择了身份认证服务这块安全领域,笔者认为奶罩的眼光还是很独到的,看准了未来企业身份认证中安全和便捷的痛点,只可惜时机和场景没有选对,不过笔者对洋葱的尝试和坚持还是深表敬佩。

那么笔者带大家看下:

洋葱服务是解决什么样的问题?

洋葱作为一款解决身份认证问题的产品,主要解决两个问题:便捷和安全。

便捷:不管是个人用户还是企业用户,在面临各种系统和服务时候,需要创建和维护不同的账号和密码,这个很麻烦,比如对于企业用户来说,可能HR系统一套账号密码,财务系统又一套账号密码,企业出于安全考虑还经常要求员工定期维护密码的复杂度,导致员工要记住复杂的账号密码,甚至出现有的员工为了记住不同系统账号密码把账号密码记录在云盘或者各种笔记软件上,最后导致重要账号密码泄露,所以洋葱要解决的其中的一个问题就是统一所有系统的账号密码,让员工用一个ID去登录和维护所有系统。

安全:解决了便捷的问题后,就需要企业去管理和维护各种账号的系统权限,访问权限,甚至知道每个账号访问的文件路径等信息,随着企业越来越多使用公有云SaaS服务,如何避免员工把内部资料泄露出去和避免员工越级获取到非法文件,包括有员工离职后,合理的回收账号权限,合作伙伴账号如何合法接入企业内部的系统,分配什么样的权限,这些都是要解决的权限,数据防泄露安全问题。

这种身份认证管理的产品,我们有一个名字叫IDaaS(身份即服务)。

IDaaS服务商以【身份】作为纽带,链接企业和服务商,当企业和第三方服务商都接入IDaaS,那么ID服务商就成了一个认证中心,企业用户访问内部和外部应用时候,只用一个账号登录所有内部和外部的应用,不需要一大堆账号密码了。

img1.jpg

国外IDaaS服务的情况是怎么样的?

现在国外有三家厂商分别是Okta,OneLogin,PingID专门做这块领域的服务,以Okta为例:

估值大概14亿美金,企业客户在3000左右,主要靠集成AWS,Office365 这样的支持标准oauth,saml协议的应用平台,提供给企业客户使用。

VMware的Identify Manager和微软的Identify Manager也是做类似的产品,但是IDaaS只是他们提供解决方案里很小的一部分,还有CASB的厂商,比如Netskop这样的厂商是从安全角度来切入,IDaaS作为他们产品中的一部分功能,后面笔者会讲到什么CASB服务。

具体的服务和技术细节可以参考我之前的一篇公众号文章《IAM和AWS的合作伙伴》

洋葱为什么没有被成功接盘?

国外IDaaS服务能够成功的根本原因是:欧美国家经历了合理的经济发展的阶段,所以企业是按照规则和标准来管理和运营的,一切都有标准化的管理和规范,账号接入这件事也是同样适用,每个企业应用的账号系统都是按照标准的auth协议或者Saml,OpenIDconnect协议去完成的,所以当这种服务接入第三方系统时候是很顺滑的接入。

而中国目前还是领导说了算的农业经济发展时代,所有的系统和服务都要自己搞,没有标准化的流程和管理,虽然我们今天直接跳到云计算的时代了,基础设施上去了但是软件服务的理念没上去,思想需要同步上去是需要时间的。

IAM市场是企业级安全市场最大的市场,但是一定不是最赚钱的市场,占流量入口这件事目前来看,在国内还是靠利益绑定的方式去做,而不是靠标准化的技术和产品去做,所以IDaaS厂商们要么抱BAT的大腿,要么被收购,短期来看,创业公司靠这个业务做大的可能性不大,因为云和企业级市场还在跑马圈地。

IDaaS服务春天什么时候能够到来?

IDaaS是云计算时代,移动互联网办公,SaaS服务兴起后的产物,当越来越多的企业需要用到各种SaaS服务的时候,比如ERP,CRM,IT运维系统,每套系统都有分别独立的账号体系,作为企业的IT管理员需要维护每个员工在不同系统之间的账号信息和权限控制,而且还要做日志操作审计和授权管理,包括当企业内部的AD域账号访问外部系统账号,以及外部账号体系需要VPN登录到内部AD的时候,还需要二次认证的过程,用户体验极其差,企业员工需要维护复杂的账号密码体系,企业IT管理员也不愿意做这些复杂麻烦的操作,这个时候,IDaaS的需求就体现出来了,一个账号打通所有的系统,做到账号授权,权限控制,账号认证,操作审计,甚至包括流量监测,上网行为管控,安全威胁监测等等内容。

笔者认为IDaaS服务能够成功的前提条件是企业SaaS服务充分被企业客户认知并接受,并且被广泛的应用,就笔者来看至少还需要3-5年的时间,但是可能会以另外的产品形态呈现。

今天还有哪些公司和产品在坚持?

国内目前只有洋葱和九州云腾,云账号这几家公司在做IDaaS服务,当然也有一些初期做CASB的厂商也在尝试,目前这些厂商最大的问题是有技术和产品,但是缺乏成熟的土壤。

一方面云计算在国内刚刚兴起,移动化办公逐渐被企业接受,而像钉钉这样的系统办公软件还在跑马圈地的过程中,市场占有率是首要的任务,还无暇去推送SaaS标准化接入的标准。

而云计算厂商也更多的关注IaaS的市场份额,SaaS厂商目前面临首要的安全问题是来自于外部入侵威胁导致的客户不信任数据安全的问题,还没有进入到身份管理和账号信息安全这个部分。

当然也不是没有机会,笔者在阿里云的时候曾经帮助九州云腾这家公司引入到阿里云安全市场里,帮助阿里云API网关服务解决了一个企业ISV调用API网关身份合法性认证的问题,将IDaaS服务集成到有实际业务的场景里,让IDaaS服务为真正的客户需求和业务所用,一切的技术的产品一定要服务于实际的业务场景。

对于在身份认证服务商坚持的厂商,笔者还是希望能继续坚持,等风来。

IDaaS后会不会是CASB?

Gartner在企业安全领域里给出了SSO,CASB的预测,认为Cloud Access Security Brokers 和Mobile Single Sign-On 在未来2-5年会是最火的安全服务。

img2.jpg

CASB服务说白了就是集成了IDaaS,云端DLP,流量监测,上网行为管控,安全威胁监测等等功能一种云安全网关服务。

笔者也是很看好这个领域,但是不管是CASB还是IDaaS,都需要但是就像IDaaS服务需要良好的土壤一样,需要云计算在国内的健康的发展,企业对信息化管理的接受度这些条件后,才会孕育出好的服务和厂商。

*本文作者:flashoop,转载请注明来自FreeBuf

未经允许不得转载:安全路透社 » 观点:洋葱服务为什么没被成功接盘?

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册