抓住IDaaS这个增长点:要克服这些问题

身份认证即服务一直以来被视为一个重要的市场增长点,但是有一些困难阻碍着它的企业应用。

在今年夏天的Cloud Identity Summit 2016大会上,Ping Identity公司的 CEO Andre Durand身份认证即服务的巨大应用潜力,这项服务能够帮助解决相关的安全性问题,以便让企业能够放心地更多使用云服务和移动服务。IdaaS本身作为一个市场还是比较小的;Gartner公司在今年早些时候曾报道说,在企业中实施IdaaS只占所有IAM实施中的一成左右。但是,Gartner预测IDaaS部署到2019年将提升至40%。

在接受SearchCloudSecurity采访时,Durand介绍了IdaaS市场是如何发展以及为什么一些技术和业务问题阻碍了它的大规模应用。他还谈到了人们对于企业数据泄密感到疲劳的问题,诸如Facebook和Twitter这样的社交媒体巨头是如何影响IDaaS市场以及为什么现在企业用户变得越来越关注身份认证和访问管理。以下是与Durand采访谈话中的部分摘录:

您近来已经多次对身份认证即服务发表了看法。那么它是否会在未来成为标准呢,如果是的话,我们应当如何使用和部署这项服务呢?

Andre Durand:有两个方法来看待这个问题。事实上,身份认证即服务这个术语本身就有点名不副实。它在目前来说其实就是身份认证基础设施即服务,而不是身份认证即服务。登录Facebook实际是就是身份认证即服务,因为用户是在使用一个Facebook身份进行登录。那就是身份认证即服务。无论用户想在哪里使用它,都是在使用这个身份。正如IDaaS今天在企业市场中所描绘的那样,我们所做的一切事实上就是在提供软件即服务。但是身份认证又不是一个服务。企业仍然在把他们的身份认证功能纳入软件即服务。因此,它取决于它位于用户服务金字塔中的位置。是消费者?是中小型企业?还是企业?消费者已经在使用身份认证即服务。中小型企业更在意的是身份认证软件,或者是身份认证软件基础设施即服务。根据身份认证用例的不同,位于金字塔顶端的企业将是一个有最多遗留系统需要适应和集成的组织,企业的损失最多。所以,鉴于如上所有原因,位于金字塔顶端企业的发展有可能是最为缓慢的。

这是否意味着我们会看到诸如Facebook、Twitter等企业说,“你可以使用你的登录”?他们是否将在身份认证即服务领域展开竞争?

Durand:当然。那就是我认为我之前进入的初始业务。在十四年前,我认为我正在开发一个用户身份认证服务。这就是最初PindID名称的由来。同时,我认识到如果我的身份认证无法与其他任何应用交互,那么我就无法开发出一个身份认证服务。在用户能够开发出一个可用于任何应用的身份认证服务之前,我们必须开发软件来连接身份认证服务。这就如同是:在没有路由器之前我们是没有互联网的。我们必须首先为数据流量确定好传输路径,然后架设一个Web服务器。在此,我们必须安装实现联网的身份认证基础设施,然后我们就可以运行身份认证服务了。整个过程需要15至20年的时间。

这是否意味着在我们这个市场中将出现更多的同类供应商?您是否认为会有越来越多的身份认证基础设施即服务供应商和更多的企业将涉足消费者IDaaS领域?

Durand:是的。我认为企业身份认证与消费者个人身份认证的差异性将越来越明显。 我认为个人身份认证已经是一个身份认证即服务了。至少两者是非常接近的。我认为企业中的IDaaS将如我所说的那样先软件后身份认证,因为对于企业来说,责任转移是非常不同的。消费者只是注册一个服务。对于一家实际上拿着别人的身份并在他们的环境中使用这个身份的企业来说,如果服务供应商行为不端,那么必须有一个责任关系。如果身份认证供应商在为Andre提供了身份认证即服务的过程中出了差错,那实际的用户就不是我了。企业必须对他们的所作所为承担责任。必须签署一份关于责任的协议。这是一个复杂的问题,就好像陷入泥潭一般,这就是企业身份认证即服务的应用速度不尽如人意的原因所在。

因此,举例来说,暴雪娱乐公司在最近与Facebook建立了一个合作关系,游戏玩家可以使用他们的Facebook登录身份来注册或登录暴雪游戏,如魔兽世界。但是,如果某人的Facebook帐户被盗,而被盗的帐户被用于登录暴雪游戏并开始进行未经授权的交易,那么应当由谁来承担责任呢?

Durand:你的问题刚好切中了重点。应当由谁来承担责任?因为从理论上来说,身份认证供应商应当承担这个责任。但是问题是他们是否真的会承担责任或者他们是否会对受害者进行赔偿?这是个问题。对于一个游戏厂商而言,这是一码事。对于使用真金白银的企业来说,则又是另一回事了。我们将不得不依次解决责任转移的业务难题,以便于身份认证即服务在企业应用中变得合理。这不是一个简单的事。

近来,人们似乎越来越多地关注身份认证和访问管理。您是否认为这个群体的意识已有所变化,不仅是企业,连用户和安全团队都觉得他们需要开始正确地使用身份认证?

Durand:我认为那是因为他们意识到了他们所处的环境正在发生变化,同时他们也将看到他们以前提供安全性的传统方法也在发生变化。他们认识到这些方法之间已经变得更缺乏相关性了。这一状况正在发生。同时正如我们在过去四五年中所说的那样,这一变化的一个主因就是云计算和移动计算。正是云计算和移动计算在改变我们所要保护的事物的拓扑结构。

威胁是什么样的?它是否起到了推动作用?

Durand:毫无疑问。跟我打过交道的每一家公司都被吓坏了,他们的系统都不在一个可检测、防护或保护、或查看漏洞的正确位置。我们总是在谈论网络漏洞。但是,近八成的漏洞事实上都是身份认证漏洞。所以,我们嘴上在说网络保护,但事实上我们所遭遇的都是身份认证漏洞。这就是两张皮的问题。

企业是否关注特定类型的威胁行为,例如民族主义黑客或APT组织,或者他们是否更关注他们自己品牌可预防漏洞的影响?

Durand:我想我没有办法以个人的立场和心态来说话,因为我不是其中之一。但是,至少从我在对话中所听到的和所观察的来看,他们对于企业名誉受损还是相当在意和恐惧的,而个人私密信息的泄露将严重有损企业声誉。这是一个非常重要的问题,因为我们现在谈论的是公众的良好意愿和品牌价值。再也没有什么能比在短时间内发生信息泄露给企业来之不易的品牌声誉带来更大伤害了。

您是否认为目前发生了目标泄露,其反应是否因为它的发生方式不同而不同?具体来说,它是否涉及第三方供应商的目标身份认证?因为这个问题似乎已被过分夸大了,我不知道普通民众是否了解其中的细节。

Durand:我认为这个观点是正确的。他们不知道事件的发生原因、具体过程或者发生了什么。这确实很难说。我们作为一个社会人是否已经对信息泄露事件感到见怪不怪,然后对突发事件也不会认为是大问题了呢?你真的只是说,“好吧,每个人都有可能发生信息泄露,只是或早或晚都会轮到他们。”一般来说,人类是不会重新调整到正常状态的。实际上,有一个被称为稳态的众所周知生物状态,也就是说人类在适应当前状态时,他们只会注意到变化。如果当前状态就是每天发生一次信息泄露,那么能够引起人们注意的一定是信息泄露事件停止,而不是每天一次的信息泄露。这就好像,今天发生的信息泄漏所带来的影响绝对没有在一年半到两年前发生的同样事件的影响大。现在甚至有了这样的说法,“与其说发生信息泄露事件重要,还不如说你知道发生信息泄露事件更重要。”他们甚至不说“那只是时间问题,”他们其实在说,“你已经发生信息泄露了,只不过你还不知道罢了。”有些人知道他们的信息已经被泄露,而有些人不知道,除这两种人外没有第三类。我认为所有这一切都只是识别变化的威胁。

本文作者:Rob Wright

来源:51CTO

时间: 2024-10-08 16:33:54

抓住IDaaS这个增长点:要克服这些问题的相关文章

奥克斯空调全力护航“雪龙号”抵南极圈启动卸货作业

近日,今冬首波强冷空气侵袭我国,受强冷空气影响,我国中东大部分地区均出现强降温天气.奥克斯空调作为深受民众追捧的"制热神器"之一,已全面启动制热工作.而在遥远的南极,地球的另一端,奥克斯空调也跟随着我国南北极科考事业的破冰船"雪龙号"于近日抵达南极圈,目前正全力"护航"着科考队员们开展2014年南征以来的第一波"冰海卸货"攻坚战作业!"雪龙号"抵南极 冰海卸货攻坚战打响!12月2日北京时间11时,"

如何才能寻找到合适的创业机会

创业是发现市场需求,寻找市场机会,通过投资经营企业满足这种需求的活动.创业需要机会,机会要靠发现,在茫茫的市场经济大潮中要想寻找到合适的创业机会,需要创业者具备一定的素质. 不怕没机会,就怕没眼光 我经常听到一些想创业的朋友这样抱怨:"别人机遇好,我运气不好,没有机遇":"我要是早几年做就好了,现在做什么都难了",这都是误解.我们生活在上海这个世界上创业机会最多的城市,机遇无处不在,就看你能不能识别它.比如,修自行车是一个不起眼的小生意,但是我的学员朱跃清却把它做成

《抓住听众心理——演讲者要知道的100件事》一第 1 章 人们是怎样思考和学习的

第 1 章 人们是怎样思考和学习的 抓住听众心理--演讲者要知道的100件事 "我从来没有'教导'过我的学生:我只是尝试提供一些他们可以用来学习的东西." --阿尔伯特·爱因斯坦(Albert Einstein) 如果你想与人有效地交流并有说服力,你就需要知道人们是如何思考.过滤信息以及认知的.让他们接受信息不是个问题,如果你想让听众记住.采取行动,那么你呈现信息的方式应该与他们思考和学习的方式相匹配. 1 人更容易处理少量信息 人类的大脑一次只能处理很少量的信息--确切地说是有意识地

抓住云的契机 惠普开启无缝软件服务

从推出面向CIO的IT http://www.aliyun.com/zixun/aggregation/6943.html">绩效管理解决方案,到近期大手笔收购英国软件公司Autonomy,惠普正强化自身在软件领域的地位,向方案和服务供应商转型.据惠普公布的2011年第三财季报告来看,惠普软件整体增长态势强劲,软件许可及软件服务收入分别增长29%及30%.近5年来,惠普先后并购了15家软件公司,对于软件的投资已经占到公司每年研发投入的70%.云计算与软件服务已被公认为下一个业务增长点,其战

中兴通讯新任总裁亮相称09年抓住了难得机遇

中兴通讯董事长侯为贵(右二).总裁史立荣(左二).执行副总裁韦在胜(右一)出席业绩发布会 4月9日消息,上任不久的中兴通讯新任总裁史立荣出席了今天举行的中兴通讯09年业绩发布会,他如此评价2009年财报:"中兴通讯牢牢抓住了难得的市场机遇,实现了规模和盈利的同步增长".他同时认为,2010年中兴通讯仍将高速发展. 史立荣首度以总裁身份公开亮相 这是史立荣首次以总裁的身份出现在媒体面前,此前3月30日下午,中兴通讯召开了第五届董事会第一次会议.会议确定了中兴通讯新一届董事会和高管人员,侯

大数据时代 要抓住未来电网的生产力

电网大数据能让人产生什么新的认知?创造哪些新的价值?这不只是企业或行业的技术行为,经济新常态下,大数据已经成为一种生产资料.一大新兴产业,一个必须抓住的重大机遇. 大数据,或是数据大 7月19日,国家电网公司2016年年中工作会议第二天上午,公司董事长.党组书记舒印彪及全体会议代表都在认真听课.两节课共同聚焦--大数据. "想象一下,未来电网不只是知道客户用了多少度电,而是每一度电都用到了哪里,国家电网公司将可以做更多的事情."主讲人之一,阿里巴巴集团技术委员会主席王坚说,"

松禾资本厉伟:不投二流团队不被猫抓住就是“好老鼠”

9月19日,阿里上市的当天,创业家黑马成长营第七期资本模块课程在深圳鸿丰大酒店30层鸿丰厅举行.松禾资本创始人厉伟给黑马营学员们分享了他做企业.做投资20多年的观察和思考的成果.以下内容是根据他的演讲整理,有删减.不被猫抓住的就是"好老鼠"企业发展有四个阶段,第一个阶段是老鼠.初创企业就像老鼠,老鼠的特点就是只要有东西就吃,只要能拿到就拿,什么老鼠是好老鼠呢?就是不管白老鼠.黑老鼠,猫捉不到的就是好老鼠.这是企业发展的第一个阶段,生存是第一重要的.不要被监管机关,不要被种种比你大的势力

抓住政策扶持机遇做大做强软件产业

软件是信息产业的核心,其价值更在于对信息化.工业化发展的支撑,当前软件服务业已经广泛地渗透到国民经济的各个行业.各个领域,已经成为改造提升传统产业,培育新兴产业的核心竞争力,促进经济社会持续健康发展,丰富人民文化生活的基础性产业. 党中央.国务院高度重视软件服务业的发展.我国扶持软件的政策可以追溯到2000年发布的<鼓励软件产业和集成电路产业发展的若干政策>(国务院18号文).各政府部门密切配合,许多政策实施细则陆续出台,例如双软认证.产业基地建设.振兴软件行动纲要.系统集成资质认证.推进软件

客车市场增速恐放缓宇通谋新增长点

1月7日晚间,宇通客车(600066.SH)发布公告称,公司拟以每10股配售3股的比例,向全体股东配股融资不超过25亿元,用于投建节能与新能源客车基地.而两天前,宇通刚刚发布了2010年产销业绩,年产销均突破4万辆,增长高达46%以上. 作为国内首家年销量突破4万辆的客车企业,宇通可谓并不缺钱,其资本动作背后,是面对客车行业可能迎来的增长放缓以及新挑战所做的新思考. 业内人士认为,2011年中国客车市场增速将放缓.一方面,客车行业容量有限,行业竞争将进一步加剧.另一方面,2011年不确定经济形势