身份认证即服务一直以来被视为一个重要的市场增长点,但是有一些困难阻碍着它的企业应用。
在今年夏天的Cloud Identity Summit 2016大会上,Ping Identity公司的 CEO Andre Durand身份认证即服务的巨大应用潜力,这项服务能够帮助解决相关的安全性问题,以便让企业能够放心地更多使用云服务和移动服务。IdaaS本身作为一个市场还是比较小的;Gartner公司在今年早些时候曾报道说,在企业中实施IdaaS只占所有IAM实施中的一成左右。但是,Gartner预测IDaaS部署到2019年将提升至40%。
在接受SearchCloudSecurity采访时,Durand介绍了IdaaS市场是如何发展以及为什么一些技术和业务问题阻碍了它的大规模应用。他还谈到了人们对于企业数据泄密感到疲劳的问题,诸如Facebook和Twitter这样的社交媒体巨头是如何影响IDaaS市场以及为什么现在企业用户变得越来越关注身份认证和访问管理。以下是与Durand采访谈话中的部分摘录:
您近来已经多次对身份认证即服务发表了看法。那么它是否会在未来成为标准呢,如果是的话,我们应当如何使用和部署这项服务呢?
Andre Durand:有两个方法来看待这个问题。事实上,身份认证即服务这个术语本身就有点名不副实。它在目前来说其实就是身份认证基础设施即服务,而不是身份认证即服务。登录Facebook实际是就是身份认证即服务,因为用户是在使用一个Facebook身份进行登录。那就是身份认证即服务。无论用户想在哪里使用它,都是在使用这个身份。正如IDaaS今天在企业市场中所描绘的那样,我们所做的一切事实上就是在提供软件即服务。但是身份认证又不是一个服务。企业仍然在把他们的身份认证功能纳入软件即服务。因此,它取决于它位于用户服务金字塔中的位置。是消费者?是中小型企业?还是企业?消费者已经在使用身份认证即服务。中小型企业更在意的是身份认证软件,或者是身份认证软件基础设施即服务。根据身份认证用例的不同,位于金字塔顶端的企业将是一个有最多遗留系统需要适应和集成的组织,企业的损失最多。所以,鉴于如上所有原因,位于金字塔顶端企业的发展有可能是最为缓慢的。
这是否意味着我们会看到诸如Facebook、Twitter等企业说,“你可以使用你的登录”?他们是否将在身份认证即服务领域展开竞争?
Durand:当然。那就是我认为我之前进入的初始业务。在十四年前,我认为我正在开发一个用户身份认证服务。这就是最初PindID名称的由来。同时,我认识到如果我的身份认证无法与其他任何应用交互,那么我就无法开发出一个身份认证服务。在用户能够开发出一个可用于任何应用的身份认证服务之前,我们必须开发软件来连接身份认证服务。这就如同是:在没有路由器之前我们是没有互联网的。我们必须首先为数据流量确定好传输路径,然后架设一个Web服务器。在此,我们必须安装实现联网的身份认证基础设施,然后我们就可以运行身份认证服务了。整个过程需要15至20年的时间。
这是否意味着在我们这个市场中将出现更多的同类供应商?您是否认为会有越来越多的身份认证基础设施即服务供应商和更多的企业将涉足消费者IDaaS领域?
Durand:是的。我认为企业身份认证与消费者个人身份认证的差异性将越来越明显。 我认为个人身份认证已经是一个身份认证即服务了。至少两者是非常接近的。我认为企业中的IDaaS将如我所说的那样先软件后身份认证,因为对于企业来说,责任转移是非常不同的。消费者只是注册一个服务。对于一家实际上拿着别人的身份并在他们的环境中使用这个身份的企业来说,如果服务供应商行为不端,那么必须有一个责任关系。如果身份认证供应商在为Andre提供了身份认证即服务的过程中出了差错,那实际的用户就不是我了。企业必须对他们的所作所为承担责任。必须签署一份关于责任的协议。这是一个复杂的问题,就好像陷入泥潭一般,这就是企业身份认证即服务的应用速度不尽如人意的原因所在。
因此,举例来说,暴雪娱乐公司在最近与Facebook建立了一个合作关系,游戏玩家可以使用他们的Facebook登录身份来注册或登录暴雪游戏,如魔兽世界。但是,如果某人的Facebook帐户被盗,而被盗的帐户被用于登录暴雪游戏并开始进行未经授权的交易,那么应当由谁来承担责任呢?
Durand:你的问题刚好切中了重点。应当由谁来承担责任?因为从理论上来说,身份认证供应商应当承担这个责任。但是问题是他们是否真的会承担责任或者他们是否会对受害者进行赔偿?这是个问题。对于一个游戏厂商而言,这是一码事。对于使用真金白银的企业来说,则又是另一回事了。我们将不得不依次解决责任转移的业务难题,以便于身份认证即服务在企业应用中变得合理。这不是一个简单的事。
近来,人们似乎越来越多地关注身份认证和访问管理。您是否认为这个群体的意识已有所变化,不仅是企业,连用户和安全团队都觉得他们需要开始正确地使用身份认证?
Durand:我认为那是因为他们意识到了他们所处的环境正在发生变化,同时他们也将看到他们以前提供安全性的传统方法也在发生变化。他们认识到这些方法之间已经变得更缺乏相关性了。这一状况正在发生。同时正如我们在过去四五年中所说的那样,这一变化的一个主因就是云计算和移动计算。正是云计算和移动计算在改变我们所要保护的事物的拓扑结构。
威胁是什么样的?它是否起到了推动作用?
Durand:毫无疑问。跟我打过交道的每一家公司都被吓坏了,他们的系统都不在一个可检测、防护或保护、或查看漏洞的正确位置。我们总是在谈论网络漏洞。但是,近八成的漏洞事实上都是身份认证漏洞。所以,我们嘴上在说网络保护,但事实上我们所遭遇的都是身份认证漏洞。这就是两张皮的问题。
企业是否关注特定类型的威胁行为,例如民族主义黑客或APT组织,或者他们是否更关注他们自己品牌可预防漏洞的影响?
Durand:我想我没有办法以个人的立场和心态来说话,因为我不是其中之一。但是,至少从我在对话中所听到的和所观察的来看,他们对于企业名誉受损还是相当在意和恐惧的,而个人私密信息的泄露将严重有损企业声誉。这是一个非常重要的问题,因为我们现在谈论的是公众的良好意愿和品牌价值。再也没有什么能比在短时间内发生信息泄露给企业来之不易的品牌声誉带来更大伤害了。
您是否认为目前发生了目标泄露,其反应是否因为它的发生方式不同而不同?具体来说,它是否涉及第三方供应商的目标身份认证?因为这个问题似乎已被过分夸大了,我不知道普通民众是否了解其中的细节。
Durand:我认为这个观点是正确的。他们不知道事件的发生原因、具体过程或者发生了什么。这确实很难说。我们作为一个社会人是否已经对信息泄露事件感到见怪不怪,然后对突发事件也不会认为是大问题了呢?你真的只是说,“好吧,每个人都有可能发生信息泄露,只是或早或晚都会轮到他们。”一般来说,人类是不会重新调整到正常状态的。实际上,有一个被称为稳态的众所周知生物状态,也就是说人类在适应当前状态时,他们只会注意到变化。如果当前状态就是每天发生一次信息泄露,那么能够引起人们注意的一定是信息泄露事件停止,而不是每天一次的信息泄露。这就好像,今天发生的信息泄漏所带来的影响绝对没有在一年半到两年前发生的同样事件的影响大。现在甚至有了这样的说法,“与其说发生信息泄露事件重要,还不如说你知道发生信息泄露事件更重要。”他们甚至不说“那只是时间问题,”他们其实在说,“你已经发生信息泄露了,只不过你还不知道罢了。”有些人知道他们的信息已经被泄露,而有些人不知道,除这两种人外没有第三类。我认为所有这一切都只是识别变化的威胁。
本文作者:Rob Wright
来源:51CTO