Gartner 调研报告:2020 年身份和访问管理情景:助力数字化商务
中国企业市场前瞻:蓬勃发展的企业 SaaS 或将增速 EMM 与 IAM 融合
国信灵通介绍
第 2 期
2
13
20
中国企业市场前瞻
蓬勃发展的企业 SaaS 或将加速 EMM 与 IAM 的融合
2
Gartner 调研报告:
2020 年身份和访问管理情景:助力数字化商务
到 2019 年,30% 的 PAM 实施将利用与 UEBA 能
力相结合的机器学习进行有效的特权分析和威
胁检测,与目前相比,该比例将增加 20% 之多。
到 2019 年,40% 的 IDaaS 实施将取代本地 IAM
实施,目前该比例只有 10%。
到 2020 年,70% 的 IAM 项目将配备永久软件
开发人员,目前该比例只有 15%。
分析
简介
2015 年 3 月,Gartner 分析师聚集在一起,审
议并规划了安全和风险管理实践的长远未来。
为了解即将面临的状况,分析师进行了详细、
合理想象的情景规划工作。这些规划会议产生
了具有前瞻性的调研包及基础性的调研报告,
“Cybersecurity Scenario 2020 Phase 2: Guardians
for Big Change”(2020 年网络安全情景第 2 阶
段:重大变革守卫者)。
尽管以前的 Gartner 安全情景侧重于威胁和网
络风险,但这一最新的情景工作将数字化商务
作为重要主题。这一转变提供了相关框架,以
纳入身份和访问管理 (IAM)(这是一项能支持
业务的安全规定)、运营效率和有效性作为核
心业务驱动因素。
网络安全情景确定了一组重要的根本性变化。
在制造业和公用事业等行业,技术及其对现实
世界的影响是众所周知的。这些行业中所使用
的运营技术 (OT) 与 IT 融合并集成,每种技术都
会对其他技术产生影响。这种集成用于监控和
驱动操作环境中的物理状态变化。一些实例包
括:可穿戴医疗设备如何提醒医疗专业人员,
并根据佩戴者的身体状况变化管理用药;或道
路交通传感器如何向交通管理系统提供数据。
数字化商务将推动企业 IT 的重大变革。业务
透明度、开放性和组织是否在组织边缘支持
物联网 (IoT) 将影响 IAM 市场以及 IAM 负责人
管理 IAM 项目的方式。
重要发现
• 将人与计算机组成的互联网与物联网融合
会将大多数企业转变为数字化企业。
• 事物的身份正在转变 IAM 解决方案,使之
包括以云为中心和“以实体为中心”的可
扩展方案,来代替传统 IAM 方法。
• 数字化商务将加速 IAM 项目管理、技术交
付和规模的变革,以应对业务透明度、价
值交付和安全性的变化。
建议
• 构建、购买和部署支持数字化商务所要求
的规模和可用性的 IAM 组件和服务。
• 在 IAM 负责人与逻辑和物理安全负责人以
及 IT 管理组合作的同时,为工作内容和职
责的变化做好准备,以便为业务部门负责
人提供支持。
• 使用开发资源和购买力,以确保在用于数
字化商务的设备和服务中建立安全性。切
莫错过正确处理该问题的短暂良机。
战略规划设想
到 2019 年,超过 50% 的组织将替换现有的
身份验证方法,投资于具有分析和自适应身
份验证功能的解决方案,与目前相比,此类
组织所占比例将增加 30%。
3
随着新“事物”作为业务价值链的一部分加入
这一生态系统,这种融合也在金融、零售和消
费产品等其他行业进一步发挥作用。相关联事
物的激增,再加上客户服务和竞争力目标,创
造了组织物理环境的“边缘竞争”,而在组织
的物理环境中,设备并不是传统的服务器和用
户计算设备。随着新的设备类型加入到用户与
应用之间的相互作用之中,身份在此类环境中
的作用已呈现出了全新的层面。
安全需求
我们只是刚刚开始体验这种 OT/IT 融合的影
响。由于事物可以改变现实世界的状态,也
可以传递和驱动系统中的状态变化,现在带
来危害的可能性更大。关系、设备和系统可
以用正面方式,也可以用负面方式来控制。
造成实际危害的可能性推动了组织传统上建
立安全控制模式的方式的重大改变。耳熟能
详的保密性、可用性和完整性信息安全品质
现在必须扩大到包括安全性。由于现实世界
和逻辑世界变得相互交织,网络安全管理也
必须如此,这对于开发、测试、操作化以及
组织中管理安全功能的方式都会产生影响。
现在,IAM 的角色包括需要确保人员和环境不
会因访问监管及设备、人员和系统身份完整
性遭到破坏而受到伤害和危害。
2020 年网络安全情景
本节简要介绍“2020 年网络安全情景”,以便
为 IAM 变革提供背景资料。
IT 管理人员曾目睹反复涌现的浪潮,在这些
浪潮中,对 IT 分布式所有权和控制权的需求
与突破性的技术一起重塑了组织的核心业务
职能。接连出现的大型机、分布式、网络化、
客户端 /服务器和移动计算时代说明了变革
如何创造 IT 管理的新边缘,将功能推向网络
更深层,并且更加贴近价值点。随着支持这
一运动的各架构变革趋于成熟,它将成为新
的核心。在物联网 (IoT) 时代,随着具有众多
外形规格的设备激增,IoT 代表着数字化商务
的新边缘。在安全情景中需要考虑的一个连
续体是组织发现自己在管理 IT 时在多大程度
上更接近核心,或者组织是否加入边缘竞争
(参见图 1)。
“核心”是用于描述适用于计算的通用技术和
服务(如服务器、笔记本电脑和移动平台以
及云和移动服务)的术语。它也指提供此类
服务的业务实践和组织。“边缘”是用于描述
非服务器或笔记本电脑设备的术语,这些设
备在企业中执行特定的功能,并被放置在企
业及其客户、合作伙伴和提供商之间的边界
上。随着设备和实物资产变得更加智能,以
满足不断变化的业务需求,边缘本身与其说
是数字化,不如说是实物化。这就是核心到
边缘的连续体,它代表着影响网络安全的因
素,这些因素产生了组织的“价值所在”—
即在从核心到边缘的连续体中,价值的关键
贡献因素所驻留的地方。
随着价值优化的推动力从数字核心移动到物
理边缘,只有一部分事实显露出来。在从大
型机发展到云服务的计算时代,另一种推动
力得以增长。数字化商务迫使组织质疑在组
织中使用的数据对合作伙伴、服务提供商、
客户和公民的透明度或开放性。随着曾经驻
留在企业核心的数据的使用开始从企业核心
移动到企业边缘,就出现了以下问题:哪些
数据应该随时可用,哪些数据应该继续对所
有人(除少数人以外)保密?由于对数据开
放性及系统和服务开放性的担忧,这一问题
不断升级。在追求数字化商务优势的过程中,
组织应该在多大程度上考虑隐私和保密性?
图 1 说明了从现在到 2020 年组织面临的困
境:价值在何处实现(从核心到边缘),在追
求该价值的过程中,组织的业务数据和系统
应在多大程度上开放或封闭?
4
网络安全价值和开放性情景
这些因素 — 核心和边缘、开放和封闭 — 相
交形成了四个象限,代表未来五年组织网络
安全开发方面的可能性。使用该连续体(核
心到边缘和封闭到开放),组织可以对其目前
的网络安全状态进行分类,并确定这些因素
正在如何塑造成熟度和战略。组织可能会发
现,他们的情况并不是界定明确的几个象限,
而是可能会相互重叠,这取决于组织目前在
应对这些因素方面的成熟度和进展。或者,
组织可能会发现不同的计划或使用案例符合
不同象限的情况。
根据组织的价值所在和开放性,可赋予每个
象限名称:
• 守护珠宝
• 扩张帝国
• 共享财富
• 领导变革
组织不太可能发现自己的情况仅通过其中一个
象限即可说明。相反,会有许多具有特定特征
的项目和计划,它们更符合不同的象限。我们
现在来分析一下 IAM 在每个情景中的角色。
来源:Gartner(2015 年 12 月)
图 1 网络安全情景
5
在网络安全情景的背景中,IAM 有
哪些特征?
守护资产
位于此象限的组织非常依赖传统核心服
务,且在网络安全保密性、完整性、可用
性和安全性方面采用的方法通常较为保
守。示例包括负责保管机密的政府机构,
或严格控制其数字资产的金融公司。守
护珠宝型的组织往往是不透明的。一些守
护珠宝型的组织的特点是规避与其他组织
(如政府)共享知识,并且依赖自己的商
业机密在市场上开展竞争。它们拥有一种
“围墙花园”式的控制心态,并且会采取
重大措施来实施控制。
IAM 项目通常更面向内部,以便为员工和
业务合作伙伴提供支持。访问控制符合传
统的“最小特权”和默认拒绝原则。基于
角色的访问控制 (RBAC) 较为常见,通过传
统身份验证方法(如一次性密码 (OTP) 令
牌以及采用 凭据的智能令牌)进行
增强的 VPN 也是如此。身份监管和管理
(IGA) 实施采用传统的本地交付软件,且
通常已定制到难以接受调整的程度。这使
IAM 即服务 (IDaaS) 成为一种罕见的方案。
所有情景都需要进行特权访问管理 (PAM);
不过,为了防止对“珠宝”进行不当的管
理访问,尤其需要 PAM。
共享资产
位于此象限的组织在信息的计算和分析方
面仍然采用以核心为中心的方法,但其业
务部门和竞争对手所施加的增加透明度的
压力日益增加。对于重要资产或专利,他
们可能会采用数字权限管理,以便获得竞
争优势。面向公民的政府机构等组织需要
向这些公民传递信息和服务,在此象限可
以看到允许透明度的情况。此象限还包括
可在制造或生物制药等行业看到的 B2B 关
系,以围绕共享知识产权或敏感信息进行
协作。尽管安全性在任何象限中都仍然令
人关注,但共享财富型的组织更为关注传
统 IT 风险和安全。因此,他们与物理边缘
的互动少于其他组织。他们的重点仍然是
在建立有效的网络安全的同时达到平衡,
以使数字资产更开放、可访问性更高。
此情景中的 IAM 项目侧重于允许适当的信息披
露,同时仍然隔离敏感信息。B2B 互动包括双
边和基于中心的联盟。在一定程度上需要自适
应访问控制及用户和实体行为分析 (UEBA),以
允许适当的访问,并检测、应对和解决不当访问。
在 SaaS 是目标应用组合的一部分时,云访问安
全代理 (CASB) 在保护信息方面发挥一定的作用。
扩张帝国
位于此象限的组织已开始移动到其企业的边缘,
使用更多的云服务和移动服务,或者放宽访问
某些低风险数字资产的限制。这些组织可能会
致力于管理和保护对人员和环境产生直接物理
影响的关键基础设施,并且在根据保密性、完
整性和可用性 (CIA) 核心 IT 安全原则来调整安全
性方面非常谨慎。关键基础设施组织(如公用
事业和电信公司)是此象限的典型代表。扩张
帝国型的组织可能因其十分接近边缘而非常关
注安全问题,并会采取措施将新的数字化业务
整合到安全战略以及传统信息安全战略中。
遗憾的是,扩张帝国型的组织可能正以不加控
制的方式移动到边缘,这类似于 Web 时代,组
织推行未经协调或不受管理的 IoT 项目,而来自
核心的反馈信息却非常少。因此,边缘可能是
一个难以保障的混乱之地。面向 IT 的传统 IAM
项目管理可能会面临压力,并且需要采取双模
式投资和资源分配战略来适应这种情况。IAM
技术需要设备感知和连接性 — 直接或通过网关
或代理。IAM 数据模型必须扩大以考虑到设备
以及人员和设备之间的关系,并且 IAM 基础设
施必须能够横向扩展,以处理增加的负载。“事
物身份”可能会作为设备、人员和系统之间的
关系和互动管理(例如,应用和基础设施)的
新模式被引入。
6
领导变革
位于此象限的组织是新型数字化商务领域中的
领先实体。此类组织已经接受了各自市场所促
成的波动性和快速变化,已经变得更加开放,
并且已将其价值生成器移动到更靠近其企业边
缘的位置,即物理与数字汇合的位置。消费类
电子产品、医疗和公共安全机构可能占据此象
限。他们已经经历了国家、社会经济和社会对
透明度的需求,并通过作为以人为中心的安全
性和数字化工作场所成为这些领域的领导者来
回应此类需求。他们已经接受适合其流程用途
的设备,并已在访问、保护和控制以及检测和
响应方面采用新的网络安全方法来平衡风险。
此类组织已经接受针对传统 IT 安全、OT 安全、
物理安全的集成监管战略,在考虑到个人和环
境安全的情况下确保 IoT 安全。消费规模技术
推动着服务交付方法的快速变化,从而提高了
云服务在边缘处的参与度,甚至推动交付选择
更为开放。
领导变革型的组织集成 IAM、资产管理、企
业移动性管理 (EMM) 和 CASB 等先前分离的
安全和 IT 管理功能,以应对 IoT 和集成云服
务方面复杂性的急剧增加。此外,他们也接
受了在核心与边缘之间多个层次的安全分析
和机器学习,以更加有效地管理不断增加的
复杂性。IAM 规模方面的问题类似于扩张帝
国型情景或比它更严重。B2C IAM 类型占主
导地位,并包括使用第三方身份提供程序。
作为自适应访问的一部分,基于分析的识别
技术已成为规范(请参见注释 1)。IDaaS 是
实现灵活性和规模的重要选择。
考虑到组织的使命,“领导变革”是一种并
非所有组织都需要达到的理想状态;不过,
它代表着许多组织的未来状态。
来源:Gartner(2015 年 12 月)
图 2 用户身份验证趋势
7
在迈向 2020 年的过程中,IAM 技
术、市场和项目管理将如何发展?
用户身份验证方法
守护珠宝型组织会继续依赖 OTP 身份验证
令牌或采用 凭据的智能令牌。一段
时间之后,随着组织转向开放性和边缘,
用户身份验证将更具适应性。由于用户
便利性优于传统 OTP,将更多地使用带外
(OOB) 推送方式。位于扩张帝国和领导变革
象限的组织将使用能够利用分析和生物识
别技术的用户身份验证方法,并将转向真
正的识别,而不需要侵扰性的用户身份验
证方法(参见图 2 和注释 1)。当然,事物
并不是用户;不过,事物必须经过身份验
证才能安全地参与。
访问实施
倾向核心的组织将继续使用传统的访问控制解决方
案。他们将使用目录组及其他半静态库保存的属性
来呈现访问决策,但也可以使用一些“轻型”自适
应功能,如互联网协议 (IP) 地址和设备识别。信任
升级基于相对简单的策略,如访问特定应用时,强
制使用附加用户身份验证方法。随着组织转向开放
和边缘情景,将有更多身份来源,且第三方身份提
供程序的使用将变得很普遍。自适应访问控制将使
用整合 UEBA 和云交付威胁情报的识别技术。将需
要实施针对事物的身份验证和授权。2020 年,这
些功能将成为市场上的主流,位于各个象限的组织
都将能够利用这些功能集。领导变革型的计划将推
动组织慢慢减少使用纯粹基于角色的访问控制模
式,并开始采用通过在基于属性的访问控制 (ABAC)
方法中评估动态属性提供的灵活、精细的环境感知
(参见图 3)。
来源:Gartner(2015 年 12 月)
图 3 访问实施趋势
8
身份监管和管理
在图 4 所示的情景中有两个重要的 IGA 轨
迹。首先,在倾向核心的组织中,传统本地
IGA 实施将继续专注于对资源访问的适当授
权、职责分离、用户配置自动化和审计(橙
色箭头)。随着组织转向共享财富模式,就
需要将其中一些功能扩展到外部组织。利用
IDaaS 或本地和 IDaaS 的混合架构作为选择变
得更为合适。
其次,随着计划从核心和封闭转向开放和边
缘,IGA 必须不断发展以解决目前的一些不
足之处(绿色箭头)。随着手动访问认证因
规模而变得更不实用,将需要在自动化管理
策略管理方面进行改进。在管理用户对应用
的访问时,IGA 已充分发挥作用;不过,它
尚未解决更为精细的数据访问需求。组织将
必须承认对授权的精细控制将更加难以实现,
并且需要使用基于可能不完整的信息的访问
策略,以及基于风险的访问许可方法。IGA 将
与数据安全控制集成。除少数供应商的产品
外,IGA 工具通常无法感知 IoT。领导变革需
求将推动 IGA 支持将 IoT 用于设备注册和管理
— 从而产生更精简的 IGA 技术,此类技术将
围绕提供专门的核心服务,同时侧重于管理
关于人员、事物和关系的信息,较不注重配
置传统应用。属于此象限中的计划范围内的
组织还将利用 B2C 类型,并对 IGA 会产生显
著的可扩展性和性能影响。
来源:Gartner(2015 年 12 月)
图 4 IGA 趋势
9
特权访问管理
PAM 针对限制对关键帐户的不当访问、管理
超级用户的特权升级、管理共享密码以及监
控特权访问会话提供了专门的功能集。这是
跨越不同情景象限的技术和流程集。2016 年,
我们预计市场产品或服务将提供在某种程度
上迥然不同的功能组的集成平台 - 尤其是在捆
绑功能方面,而不是针对每个单独的功能块
额外收费方面。与其他管理框架(如安全信
息和事件管理 (SIEM) 以及 IT 服务管理 (ITSM))
也将有更好的集成,通过云提供适用于云
服务的 PAM 的供应商数量将增加。在迈向
2018 年的过程中,PAM 功能将与 IGA 有更好
的集成,以支持特权帐户管理。通常为劳动密
集型的特权会话审计流程经过改进之后将能自
动执行这些功能,以便更轻松地进行审计并解
决不当访问。到 2020 年,PAM 产品或服务 —
或融合的 PAM 和 IGA 产品或服务 — 将为 IoT
提供支持。单独或作为集成产品或服务一部
分的 UEBA 产品或服务将提供增强的自动化功
能,以检测和阻止通过特权帐户进行的不当访
问(参见图 5)。
来源:Gartner(2015 年 12 月)
图 5 PAM 趋势
10
IDaaS 提供对所有情景的支持
将应用平稳地迁移到云和移动架构的宏观趋
势将会决定 IDaaS 采用的性质。对传统应用
支持的需求不会消失,但会随着时间的推移
有所减少。目前,需要功能全面的 IGA 功能
的组织很少使用 IDaaS 交付模式,这是由于
在本地部署了成熟的、或多或少受到良好支
持的定制 IGA 实施。以 Web 为中心的 IDaaS
提供商尚未对此类实施产生兴趣,因为很难
实现快速销售和实施来满足此类需求。
不过,供应商的确认识到有必要部分弥合他
们目前出售的轻量级功能与更大、更复杂的
实施所需要的更深层次的功能之间的鸿沟,
为此,以 Web 为中心的 IDaaS 供应商已经开
始增加新的功能。配置好的(而不是定制的)
更深层次的功能性产品或服务与更现代的应
用架构的宏观趋势相结合,将导致愿意采用
IDaaS 的市场比例有所增加。增强的 IAM 功能
将在 IDaaS 中提供良好的表现,以支持更高比
例的组织 IAM 工作负载。
IDaaS 已被证明能够扩展以满足工作人员、
B2C 和 B2B 需求。云平台开始呈现类似的规
模,以通过提供事件流服务和弹性计算来支
持 IoT 实施。因此,云实施成为大规模实施的
IoT 和身份功能的重要选择。未来两年,将开
始出现对与 IDaaS 集成的 IoT 的支持,并且随
着我们迈向 2020 年,这种支持应该会变得更
强大、更普遍(参见图 6)。
来源:Gartner(2015 年 12 月)
图 6 IDaaS 转变为支持所有情景
11
IAM 项目管理趋势
目前,运营效率和安全有效性是 IAM 提供的最
常见的业务价值驱动因素。边缘竞争将有助于
IAM 从锅炉房转移到会议室。业务支持驱动因
素将涌现出来。管理得当的 IAM 将在吸引消费
者和支持数字化工作场所方面发挥重要作用。
计划从纯粹的“守护珠宝”型管理转向“领导
变革”的组织将需要采取双模式战略,以便在
维持正常运转的同时,将一部分投资分配给能
够纳入灵活、快速开发和透明度的计划。
IAM 负责人必须将软件开发注入 IAM 计划的
DNA — 许多 IAM 服务将在 API 级别交付,并
由其他应用使用。这意味着更多 IAM 团队将
吸纳开发人员,以支持业务服务和 IAM 功能
的集成。
将 IoT 纳入 IAM 战略引入并增强了安全需求。
因此,IAM 不能作为一种管理实践单独存在。
在边缘运营的组织需要将 IAM 项目管理与设
备管理及逻辑和物理安全性相集成。这不一定
意味着必须合并不同的组织单位;但是必须大
力协调总体监管、规划和战略。云服务市场将
有助于推动这种协调。基于云、支持各种设备
的市场产品或服务将与以用户为中心的传统
IAM 功能集成。这将提供“设备身份”,并将
使访问控制功能能够利用设备特定的信息来支
持访问决策。这些服务还将与历来分离的威胁
分析、UEBA、数据安全、设备安全和管理功
能集成,以帮助提供集成、可扩展的服务,以
便为边缘竞争提供支持(参见图 7)。
来源:Gartner(2015 年 12 月)
图 7 IAM 项目和战略必须改变
12
建议
IAM 负责人首先应确定他们的计划作为连续体
(而不是离散、静态的点)属于网络安全情景
象限的哪个位置,并确定发展方向。应该认
识到,对以前属于封闭和核心型的组织而言,
转向开放和边缘可能需要组织、监管和技术
方面的重大变革。可能需要矩阵关系或者需
要将 IAM 项目与其他安全团队进行整合。
IAM 负责人和执行者必须做好准备,以应对工
作内容的变化。只是针对用户访问应用来管理
身份生命周期、访问认证和访问控制是不够的。
在力求支持以 IoT 为中心的项目过程中,将需
要具备资产管理、供应链管理、OT、物理安全
和机器对机器通信方面的专业知识。由于潜在
的技术侵袭以及可能收集的关于消费者的大量
数据,在面向边缘的计划中,IAM 负责人需要
谨慎面对日渐产生压力的隐私要求。
应转向云服务来为倾向边缘的计划提供可扩
展性和功能。IaaS 和 PaaS 供应商是最有可能
开发或获取全套所需服务的供应商。与大多
数尝试在内部提供这些功能的消费组织相比,
云服务供应商还可以提供组件之间的集成和
较快的更新。云服务可能会最终解决 IoT 项目
的一些 IAM 实施将会面临的规模问题,但设
备的多样性仍将是一个挑战。
在业务中规划网络安全,而不是之后再迎头
赶上。每次出现新的计算模式时,通常是在
已经部署新模式并且漏洞已变得为人所知之
后才增加安全功能。现在就是内置安全性的
机会。IAM 负责人拥有很好的机会来推动变
革。如果你不这样做,别人就会采取行动!
证据
G. Sorebo,"The Internet of Things: The Death of
General Purpose Computing?" (物联网:一般计
算的死亡?),RSA Conference 日志,2014 年
9 月 29 日
A. Walls,E. Perkins and J. Weiss,“Definition:
Cybersecurity”(定义:网络安全),Gartner,
2013 年 6 月 7 日
"Confidentiality, Integrity and Availability (CIA
Triad)"(保密性、完整性和可用性 (CIA 三位
一体)),
H. Levy,"How the Internet of Things Is
Changing Cybersecurity"(物联网如何改变网
络安全),,2015 年 6 月 8 日
K. Steenstrup 与 D. Kutnick,“The Internet of Things
Revolution: Impact on Operational Technology
Ecosystems”(物联网革命:对运营科技生态系
统的影响),Gartner,2015 年 4 月 23 日
T. Scholtz 与 R. McMillan,"Experiences and Lessons
Learned From Implementing People-Centric Security"
(以人为中心的安全实施经验教训),Gartner,
2013 年 6 月 7 日
注释 1
识别技术将结合大数据分析、被动生物识别
模式和设备嵌入式公钥凭据,以提供对所声
称的数字身份的信任,而无需用户进行任何
主动身份验证操作。识别技术可以从较低的
初始级别快速提高信任级别,并在整个会话
中维持所需的信任级别,而不是在登录时提
供所需的信任级别,后者是传统身份验证方
法的常态。
来源:Gartner 核心研究纪要,G00292678,
Gregg Kreizman、Ant Allan、Felix Gaehtgens、
Brian Iverson、Anmol Singh,
2015 年 12 月 3 日
13
中国企业市场前瞻
蓬勃发展的企业 SaaS 或将加速 EMM 与 IAM
的融合
随着移动互联网的飞速发展,企业信息移动
化将加速向 SaaS 解决方案倾斜和演进。根
据 Gartner 的预测,到 2020 年,云端 SaaS
模式、移动平台优先、身份安全融合将成为
企业信息化的三大主流趋势。1
云端 SaaS 蓬勃发展
SaaS(Software-as-a-Service,软件即
服务)是近年来兴起的新型软件应
用模式。厂商将应用软件统一部署
在云端,客户根据自己的需求,通
过互联网向厂商订购所需的应用及
相关服务,并按订购的服务多少和
时间长短向厂商支付费用。
与传统软件应用模式相比,SaaS 给
企业带来了诸多的好处:
第一,首次采购成本显著降低。企
业根据业务需求购买服务,无须购买配套的
服务器和网络设备等基础设施,并且服务费
用是按月或按年缴纳,显著降低了首次采购
成本。
第二,更低的管理和维护成本。SaaS 厂商负
责对软件及软件部署的云平台进行维护和管
理,企业只需配置极少量的系统管理员即可
正常使用 SaaS 应用,不需要像使用传统软件
那样,维护从软件、硬件到网络的全套设施。
第三,系统升级更加即时。软件产品的升级
和更新由 SaaS 厂商直接在云端完成,不需
要企业客户参与,极大提高了产品升级和更
新的即时性。
第四,更高的可用性。SaaS 应用部署在云端,
企业客户无需额外部署即可获得冗余备份、
异地容灾等服务,确保数据安全和业务的可
持续性,从而保证了服务的高可用性。
第五,更高的可扩展性。对于传统软件,扩
容是一件非常困难的事情,需要全面考虑软
件、硬件、网络等因素。但对于 SaaS应用,
只需缴纳相应的服务费用,即可完成扩容。
目前市场上的 SaaS 应用,已经涵盖了从 OA、
CRM、ERP,到 SCM、eHR、协同办公等企业应
用与服务。SaaS 应用的易用性和良好的使用体
验,使得 SaaS 模式已经逐渐被广大企业客户
所了解,企业客户全面接受 SaaS 指日可待。
1 Gartner,2020 年身份和访问管理情景:助力数字化商务,2015 年 12 月 3 日,G00292678
14
云+移动是大势所趋
随着移动互联网的发展,人们已经习惯了使
用移动终端来满足日常生活中的各项需求,
例如社交、购物、出行、生活缴费等,移动
终端已经成为人们生活中必不可缺的工具。
这一用户习惯必将影响到企业的 IT 建设。企
业信息化进程中,需要重点考虑对各类移动
终端的支持,满足人们随时随地移动办公的
需求。从厂商自身发展角度来看,伴随着传
统行业的萎缩,传统 IT 解决方案厂商急需寻
找新的发展模式。同时,大量产业资本需要
寻找新的投资增长点,而移动互联网无疑是
目前最有吸引力的领域。以上两方面共同作
用,推动着传统 IT 解决方案厂商向移动互联
网方向发展或转型,2015 年成为移动化优先
之年,智能手机和平板电脑成为企业业务的
主要创新平台。
同时,在 2015 年,中国云计算发展也进入加
速期。根据阿里研究院报告数据:企业应用
从传统 IT 架构迁移到公有云能节省 70% 的成
本。云计算相对于传统 IT 平台来说,互联网
创新效率提升高达 300%。据初步测算,云计
算产业在 2015 年为中国产生近 500 万个工
作岗位。云计算带动的创新在 2015 年为中国
带来 1900 亿元的新增收入。2015 年,82%
的新应用都将运行在云计算平台上,阿里云
用户已经超过 140 万,已经从中小企业扩展
到政府、金融、能源等大型企业。到 2020 年,
云计算投资将占到所有 IT 投资的 27%。
根据国际市场 2015 年趋势以及中国产业网的
统计数据,可以预测 2016 年企业 IT发展有如
下趋势:(1)混合云将成为云服务的重要方向。
混合云模式可将私有云和公有云的优点融于一
体。众多大型企业需要私有云和公有云对接,
在私有云和公有云之间自由切换,因此将对混
合云架构产生巨大需求。(2)企业级的移动云
应用将持续升温。越来越多的企业将在 SaaS
应用上增加预算投入,移动云办公领域将成为
优先考虑的项目之一。(3)垂直行业的云应用
将取得突破。企业越来越重视产品的智能化以
及真实、有效地获取用户数据,提供更加细分、
垂直的云计算服务。针对行业特殊需求设计的
SaaS 应用具有极大的潜力。从市场需求反馈来
看,智慧城市和工业信息化是 2016 年度 SaaS
垂直云端市场的两个主战场:各大城市普遍把
智慧城市和民生领域的解决方案当作政务抓
手,大力发展政务云、城市云、教育云、医疗
云等,并上马一系列相关项目。因
此物流、教育、旅游、医疗等行业
的行业云平台发展速度加快,众多
企业积极建设这些重点行业的公共
云平台并提供衍生服务。而随着国
家“工业 ”、“工业互联网”等
战略的提出,面向该领域的“工业
云”得到国家级层面的扶持,也将
迎来迅速发展。
移动互联网的普及使得人们的生
活已经离不开移动终端和网络,
而云端 SaaS 应用的发展又为企业转型提供了
现实基础。在大数据云计算的推动下,人类已
经迎来第三次技术革命。马云在 2015 云栖大
会上说:“第一次技术革命是体能的释放,是
让人的力量更大;第二次技术革命是对能源的
利用,使得人可以走得更遥远;而这一次技术
革命是 IT 时代走向 DT 时代,是真正的脑力的
释放。”通过移动终端访问 SaaS 应用,已经不
再是 IT 部门的需求,而是全面提升企业信息
化水平,建设高效的现代化办公流程的必经之
路,云+移动是大势所趋。
15
EMM 和 IAM 产品为移动化保驾护航
移动化在带来便捷高效的同时也引入了
安全风险,因此 EMM(Enterprise Mobility
Management:企业移动管理)产品应运而
生。EMM 产品从移动设备管理 (MDM) 发展
而来,在移动设备管理的基础上,增加了移
动应用管理 (MAM)、移动内容管理 (MCM) 等
功能,从保护设备发展到保护数据以及控制
企业数据如何在应用间流动,从而保障静态
数据和动态数据的安全。
一方面,EMM 保障设备的安全。智能手机
和平板电脑主要是为消费市场设计的,并
非完全具有符合企业要求的安全属性。并
且由于移动设备的易失性,企业数据泄漏
的风险大幅增加。EMM 产品能够帮助企业
第一时间发现违规的设备,如越狱、
ROOT、安装了恶意软件的设备,并
进行相应惩罚。如设备丢失,EMM
产品可执行远程擦除设备数据,或
者通过合规策略阻止非设备合法用
户使用设备的各项功能。总体来说,
EMM 帮助企业管控完整的移动设备
生命周期,涵盖从企业设备批量注
册激活、批量下发员工使用、保证
设备正常及合规使用,离职或变岗
时给予注销,实现资产与设备系统
安全的双重保护。
另一方面,EMM 保障应用和数据的安全。
EMM 帮助企业构建企业级应用商店,满足
应用分发和管理需求,并确保员工获取到的
应用未被恶意篡改。同时,EMM 从存储和
传输两方面来保障数据的安全。对于数据存
储,EMM 通过安全沙箱技术帮助企业构建
安全的企业加密工作区,从而使企业数据与
私人数据隔离;并且能够分发合规策略,对
违规设备和用户进行包括数据擦除在内的多
种形式的合规管理,从而保证存储安全。对
于数据传输,EMM 采用应用或沙箱级别的
加密传输隧道,保障数据传输过程的安全。
但是,在较为复杂的移动化环境当中,只有
设备、应用和数据安全还是不够的。一个
完整的安全体系,还需要保证用户的合法
性。传统的企业员工身份安全架构是基于 AD
(Active Directory) 系统的,而随着 IT 技术的发
展,企业开始引入身份访问管理系统 (IAM:
Identity and Access Management),将企业网络
环境中的应用系统、数据库、主机、网络设
备和安全设备等资源的帐号、认证、访问控
制和审计进行集中化整合,通过账号同步、
强认证、授权、访问控制和单点登录等技术
手段,将使用资源的用户和各种资源上的账
号纳入统一管理之下。IAM 不仅降低了管理
的复杂性,同时简化了用户在不同资源中重
复登陆认证的繁琐过程,提高了应用访问的
安全性和便捷性。
综上,我们发现,如果 EMM 的安全管控能力
和 IAM 的身份管理能力可以相互结合 ,将会
为企业移动安全和管理提供了一个全新的发
展方向。
16
云+移动,加速 EMM 与 IAM 融合
在企业没有大规模使用 SaaS 应用的时代,移
动化环境相对简单。每当企业应用访问企业
内网资源时,EMM 只需要比对企业 AD 的身
份信息,判断终端登录信息是否合法,同时
验证终端是否合规。当符合这两个条件时,
终端设备上的企业应用就有合法权限访问内
网资源,流程如下图所示:
职,IT 部门需立即删除这个员工的至少 4 个不
同的账号,否则该员工虽然离职了却仍有访问
权限。这种情况不仅使得用户使用应用的体验
变得繁琐,而且使得 IT 管理员的工作量成倍
增加,极为耗费资源且成本高昂。
顾虑二:SaaS 应用的部署,使企业面临数据
安全和合规性得不到保障的风险。
而 SaaS 时代就不一样了,除了传统的企业内
网资源,企业现在允许员工访问公网的 SaaS
应用,并由此引发了身份管理和数据安全方
面的种种顾虑:
顾虑一:各种 SaaS 应用各自使用独立的用户
体系,身份管理会变得异常复杂。
假如企业拥有 3 个 SaaS 业务应用,每个 SaaS
应用都有 500 个员工使用。这意味着 IT 部门
要管理 1500 个帐号 /密码,而这些帐号和密
码是独立于企业 AD 体系的。而每个员工除了
原有的 AD 帐号/密码,还需要额外记忆 3 个
帐号/密码。每次用户访问某一个 SaaS 均需
要输入相对应的帐号/密码。如果这位员工离
只要获取了正确的帐号 /密码,用户通过移动
终端就可以随时随地访问 SaaS 应用,获取企
业核心数据。由于缺乏安全策略,企业很难对
敏感数据进行监测和管理。即使一些 SaaS 厂
商会为自己的产品提供相关的安全策略,但是
每个厂商各自为政,不能为企业客户部署的多
个 SaaS 应用提供统一完整的安全解决方案。
那么如何解决这些顾虑? EMM 和 IAM 产品
各自都能解决其中的一部份问题。但是日趋
复杂的企业移动化架构下,只有这两种产品
深度融合,才会真正全面地解决以上两个顾
虑,实现完整的移动化安全保护。
来源:国信灵通
17
首先,如果 EMM 中融合 IAM 功能,将实现对
所有应用的单点登录,从根本上解决第一个
顾虑。企业在购买或租用 SaaS 服务时,通常
会获得批量的员工帐号和密码信息。IAM 不
仅能帮助企业将这些 SaaS 帐号建立自动缓
存,还能将其与用户的 AD 帐号和 EMM 帐号
进行关联,员工只需记住自己的 EMM 的帐号
和密码,只要在 EMM 上校验通过,即可自动
登录 SaaS 应用,不再需要重复输入 SaaS 应用
的帐号和密码。在 IT 管理方面,当员工入职
时,EMM 可以方便地推送不同 SaaS 应用的客
户端或访问地址到员工手机,并同时自动对
员工 SaaS 帐号/密码初始化,完成其与 AD
和 EMM 帐号的关联,员工只需要首次校验
EMM 帐号密码即可。当员工离职时,EMM 可
以统一删除员工设备上的所有 SaaS
应用,并通过删除 AD 帐号,禁用其
全部 SaaS 帐号。
顾虑二中企业管理者对数据安全性
的担忧,也可以通过 EMM 与 IAM
的融合得到完美解决。EMM 通过
wrapping SaaS 应用的方式,可以实现
对企业部署的所有 SaaS 应用的统一
管理,包括应用静态动态数据加密,
深度配置应用,下发应用级管控策略
和合规动作等 。同时 EMM 与 IAM 的
融合,可以实现合规操作与身份管理
联动,进一步保护企业应用、数据安
全可控。例如当某用户的设备或应用出现违规
时,EMM 可以立即禁用其 SaaS 帐号,防止数
据被窃取,或当用户的 SaaS 帐号出现登录异
常时,除了禁用帐号,EMM 还可以对其设备
和应用作出各类合规操作。
综上,我们可以看到,EMM+ IAM 的全面融
合和有机联动,能够帮助企业实现移动终端
上的 4A 级安全管理:
• Account 帐号管理,企业用户身份的统一管
理:企业的所有用户信息由统一并唯一的
AD 域控来管理。在 AD 域控服务器里可以
对用户进行添加、删除、修改等操作,并可
根据用户的工作性质设定不同的用户角色。
AD 的用户身份信息的变动可通过 EMM 服
务器与外部 SaaS 进行同步。当员工离职时,
仅需从 AD 中将其账户删除,则其所有的访
问权限自动消失。
• Authentication 认证管理,统一的用户 SaaS
身份校验:企业用户在登录时只需在 AD/
EMM 中进行一次身份校验,即可得到自动配
置的所有 SaaS 的使用权限。当其使用这些
SaaS 应用时,不需再次登录即可直接使用。
• Authorization 授权管理,企业管理所有员
工的 SaaS 登录权限:企业可以将所选购的
SaaS 放在 EMM 中的 IAM 管理界面统一管
理。IT 管理员可以查看员工所拥有 SaaS 的
账户数量、有效期,配置各用户的 SaaS 权限,
并随时给予或是吊销其 SaaS 登录权限。
• Audit 审计管理 ,针对 SaaS 日常运维管理进
行安全审计 : EMM 会记录企业 IT 管理员通
过 IAM 对用户和 SaaS 帐号进行的所有管理
行为并生成日志及报告,以供监督和审计人
员使用,有效避免 IT 管理员滥用职权。
18
新一代 EMM 架构将给企业将带来三大益处:
统一性:在公有云和内网业务体系中实现用
户身份的统一验证,解决多应用多身份的困
局,并解决了身份冗余的问题,管理更高效;
扩展性:企业员工唯一身份基于传统 AD,而
IAM 将 AD 的校验能力扩展了,使其能够同时
对内网和公网两类应用身份进行认证,超越
传统 AD;
联动性:移动终端试图访问企业内网或公网
应用时,可以实现身份自动校验,合规实时
评估,威胁实时阻断。
有赖于全新的 EMM 架构提供的保护,企业可
以放心地允许移动终端接入云端办公了。
最后,让我们看的更远一点。对于 SaaS 行业
及 SaaS 应用安全,还有哪些趋势预测?
1. 企业将逐步接纳云端访问安全代理 (Cloud
Access Security Broker, CASB)。通过 CASB
解决方案,企业将重新评估哪些应用程
序和运营业务用例是与云计算兼容的。
企业将更加积极地利用云计算。CASB 投
资将会成为云计算投资的一部分,Gartner
预测,到 2017 年,它们将会成为 SaaS
部署的重要组成部分。2
2. 物联网 (IoT) 接入 SaaS。随着智能手表、
智能家居、智能传感器、RFID、NFC等新
技术、新产品的流行,企业也将逐步采用
这些新的技术,物联网解决方案将基于
SaaS 快速发展。并且将可以通过 EMM+
IAM 的融合架构来进行身份和安全管理。
3. 身份认证因子,将从传统硬件令牌、软
件证书,逐步过渡到生物特征,诸如
Touch ID 指纹识别,微信声纹识别,摄像
头面孔识别,无论采用哪一种,最终目
的都是为用户提供更加便捷优质的用户
体验的同时,维护更加安全的验证闭环。
来源:国信灵通
融合了 IAM 的新一代 EMM 架构如下图所示:
2 Gartner,2020 年身份和访问管理情景:助力数字化商务,2015 年 12 月 3 日,G00292678
19
结语
在互联网+的时代,随着众多 SaaS 应用的广泛使用,我们可以预见:2016 年 SaaS 市场将蓬勃
发展,将督促中国各行各业升级 IT 管理模式,积极拥抱云+移动的新时代。云+移动,将成为
企业的一双翅膀,使人与人的沟通更便捷,智慧与智慧碰撞更频繁,企业创造力得到更充分的
释放,企业竞争力得到全面提高!
来源:国信灵通
20
国信灵通介绍
《中国企业市场前瞻》由国信灵通出版。由国信灵通提供的编辑附注内容与 Gartner 的分析结果相互独立。使用任何 Gartner 调研报告须获得 Gartner 的许可,Gartner
调研报告最初作为 Gartner 面向所有具备资格的 Gartner 客户的联合调研服务的一部分发布。© 2016 Gartner, Inc. 和 /或其附属公司。保留所有权利。本出版物中使
用 Gartner 研究成果并不表示 Gartner 为国信灵通的产品和 /或战略提供保证。未经 Gartner 事先书面许可,不得以任何形式复制或分发本出版物。本出版物中包含
的信息均是从我们认为可靠的来源获取的。Gartner 不对此类信息的准确性、完整性或适宜性做出任何保证,此处表明的观点随时可能更改,恕不另行通知。虽然
Gartner 的调研报告可能会讨论相关的法律问题,但 Gartner 并不提供法律建议或法律服务,不应将其调研报告解释为或用作法律建议或法律服务。Gartner 是一家上
市公司,其股东可能包括与 Gartner 调研报告中涉及的实体有财务利益关系的公司或基金。Gartner 的董事会成员可能包括这些公司或基金的高级管理人员。Gartner
调研报告是由它的调研机构独立完成的,并没有受到这些公司、基金或其管理人员的介入或影响。有关 Gartner 调研报告的独立性和完整性的详细信息,请参阅其
网站上的 “Guiding Principles on Independence and Objectivity”独立性和客观性的指导原则)。
北京国信灵通网络科技有限公司(简称:国信
灵通)成立于 2005 年,注册资金 4000 万,是
一家专注于企业安全移动解决方案的高新技
术公司。国信灵通是全球企业移动联盟 (简称
“GEMA”)成员,苹果中国一级行业授权经销商,
苹果中国区咨询顾问团成员。
作为国内最早的专业企业移动服务提供商,国
信灵通早在 2006 年就开始与电信运营商及黑莓
(BlackBerry) 中国公司合作推动黑莓业务在中国
企业的应用落地服务,并陆续与苹果、三星、联
想、中兴、微软、诺基亚等进行业务合作。凭借
多年对各行业及移动信息化的深刻理解和技术
积累,国信灵通自主研发了多个兼具高安全性、
高管理性并可同时支持 iOS、Android、Windows
多平台的企业移动管理平台 (NQSky EMM),包括
移动设备管理平台 (MDM)、移动应用管理平台
(MAM)、移动内容管理平台 (MCM),及移动应用
开发平台 (MEAP)、移动即时通讯平台、移动邮
件平台,以及移动应用安全加固平台等。
作为国内第一家推出 MDM 产品 (NQSky MDM)
的公司,并在 2013年将其迭代演进成 NQSky
EMM,该产品目前在全球部署用户数已经超过
300 万,涉及政府、电信、金融、能源、制造、
快消、教育等多个行业。同时国信灵通与三星
Knox 企业安全解决方案开展全球产品及销售合
作,成为其中国本土唯一与之合作的 EMM 厂商。
国信灵通长期专注于企业安全移动服务领域,
并与国内外领先移动技术公司保持畅通的业务
合作和交流。作为国产软件商的代表,国信灵
通一直以引领企业移动化为使命,并鼓励创新,
多年来培养并汇聚了一批国内最优秀、拥有多
年 IT 及移动化经验的资深移动化咨询人才,为
政府和大型央企提供了多项国际领先的移动化
整体架构规划服务,以积极推进中国的移动化
进程。
在行业移动应用上,国信灵通尤其聚焦于银
行、保险和证券行业,形成了包括移动保险
展业系统、银行移动财富管理、信用卡开卡
开户管理系统、大堂展业系统、移动微贷系
统等行业应用解决方案,并成功服务于众多
大中型银行、保险、证券公司,区别于传统
的软件开发商,国信灵通将金融的业务与其
自身独有的移动化平台技术和移动交互技术
完美结合,为客户带来了优质的移动体验,
极大满足了客户的需求。
2014 年,国信灵通再上台阶。成功中标中央
政府采购项目,成为中央政府指定采购产品;
与中国电信集团实现强强联手,搭建了“手
机管家”云平台业务;成功中标中国移动集
团 MDM 云平台项目;与国家信息中心签订战
略合作协议,双方确定在移动信息化和移动
安全方面进行深入的战略合作,以加速提升
中国各级政府的政务移动化水平。
国信灵通公司总部位于北京,下设华东、华南、
华中、华西、山东、北方六个大区,产品与
解决方案和专业服务区域覆盖整个中国大陆。
