可以独立存在吗?

北京时间3月4日早间,美国专注身份识别与管理的网络安全公司Okta宣布,将斥资65亿美元,以全股票方式收购其竞争对手Auth0公司。据了解,这笔交易将在今年7月完成。之后Auth0将作为Okta内部的一个独立业务部门来运作。

作为全球身份领域中最为瞩目的公司,Okta的此番收购激起不少水花——单从数额来看,这也是身份管理市场目前诞生的最大规模收购。不过当新闻曝光,市场反应却并不积极。在美股盘后交易中,这一并购交易消息导致Okta公司股价大跌了13%。根据周三收盘价计算,这次收购支付的代价相当于Okta公司市值的两成。

不过,我们或许很难从短期情况判断此次收购是否划算,因为不论花费多少代价,Okta至少通过和Auth0的结合进一步完善了自身客户群体。在全球身份趋势更被肯定的今天,这更是Okta的一步长远打算。

一、为什么是它们?

Okta和Authing同处身份管理市场,也同基于云提供身份管理即服务(即IDaaS)。尤其Okta,成立于2009年,当前市值超300亿美元,是全球市场中最值得关注的身份公司。

简要来讲,这类公司所提供的服务能让客户的员工方便地使用单一、安全的账号,登录工作中需要使用的各种网络服务,或者供承包商、合作伙伴和客户所使用的网络服务。有例子说,Okta的云平台类似一个密码管理器,能够为企业员工和客户提供便利的应用程序访问体验。

从整个行业看,不论在国内还是国外,身份在安全领域中一直关注度较高,原因主要有以下几点:首先,随着内外部人员、合作伙伴和终端用户安全威胁持续增长,它们拥有安全可靠的身份认证管理机制显得越来越重要;第二,除提升企业整体安全系数之外,现代化的身份认证管理解决方案还能帮助企业实现IT运维效率的提升,即身份认证不仅是安全产品,还具备企业管理软件的某些特性。

但对于Okta和Auth0,从资料和一些业内人士的反馈来看,二者的一个细分差别或在于,Auth0的产品更倾向表明开发者友好。

而之所以要主打这个差异,或许也和二者的商业策略有关。Okta和Auth0都想要解决身份管理复杂乃至鉴权困难的问题。它们的方式是集成更多的企业应用,帮助企业客户之间进行连接和身份管理,比如Okta和上千的应用集成实现了SSO和用户目录管理,从而更好地撬动目标客户。

更详细展开,在Okta的服务之下,其客户的一天是这样度过的。员工打开电脑,只需要一次登陆,Okta会带员工进入到一个主界面。通过一次点击,就能指向任何一个其正在使用的应用服务。用户还可以自行在上面添加自己想要的App。其创始人McKinnon 在 2014 年接受采访时说:“你在过去有可能需要记住 60 种不同的密码,但现在我们把这样的苦恼解决掉了,只需要一个密码就能轻松搞定所有问题。密码这个东西是时候消失掉了。”

而Auth0想解决的问题也一样。但这家公司成立于2013年,在先发条件上不具备优势。所以其方式是把自己的认证平台开放给新开发者使用,等于对连接方而言减少了开发认证系统的过程,是更容易操作且降低成本的方式,Auth0也通过这种方式希望获得更多应用的接入。另外,由于客户群的差异,在一些产品细节上Auth0更契合中小客户的需求,而Okta较符合大客户的使用习惯。

这种策略达成的效果,是Auth0作为后入局者接入了不少中小SaaS,也拥有了自身略具备差异化的客户群体。那这些对于Okta来说是被瓜分走的资源,此次收购Auth0也是其补全版图,巩固地位的措施。

二、国内玩家:Okta可以独立存在吗?

当前,国内主打身份领域的企业也不少,仅在2020年,就有「竹云科技」、「派拉软件」、「芯盾时代」以及「Authing」等相继完成融资。

不过,也正由于SaaS在国内的困境,当前较多企业仍在做以私有化部署为主的IAM。根据Gartner的定义,IAM的核心主题围绕四个方向展开。首先是认证 ,指的是通过确认实体(包含人与设备等)的身份,建立信任,这其中的概念包括多因素认证等;第二,访问控制,即确定实体通过认证之后,匹配怎样的权限,访问怎样的系统;第三身份治理,对实体在整个生命周期内(如员工入职、转正、调岗、离职等身份变更过程)进行身份管理,匹配正确的权限;第四,特权身份管理,指的是对管理员等权限较高的账户等进行进一步管理。

当前在国内,这类供应商所面对的客户多分处在金融、政府、能源等领域,而云交付的IDaaS产品由于成本较低、部署速度快等因素,在现如今的行业现状下,较多由公有云向中、小型企业提供服务。在具体案例上,阿里曾在2017年收购了「九州云腾」,腾讯也和「玉符科技」关系密切。

当然,现如今随着大客户的实际需要,IAM厂商也多推出云交付的产品线,目的是帮助这类客户将身份认证落在私有云中。

可以看出,在身份领域中,国际国内的市场差异较为明显。而在中国,最早入局者已成立十余年,在客户群方面已经形成较大优势。所以如果想针对大B客户提供服务,这或许是个相对固化的市场。而如果初创公司想完全对标美国的Okta路线,或会受到国内既有现状的影响——首先在云厂商的影响下无法完全拓展小B客户,另外如果要做到像国外市场一样较完善的接入,也受制于各大型生态圈的制约。在这些前提条件下,该领域的初创公司或许要在产品、资源等方面找到细分的破局点。

三、零信任:“身份”有效,但机会不属于所有人

不过,即使国内身份领域已经头部效应突显,但这一市场仍然在不断延展新话题。最典型的是零信任,由于2020年疫情的爆发,这种“从不信任、永远验证”的理念也让身份在更广泛的维度被肯定。

具体展开,零信任理念虽然不是一个新鲜事物,但和近年来企业的业务、IT基础设施变化息息相关。

过去,传统的安全防护基于边界,企业安全防护模式是构建一个内网,通过物理隔离或VPN等设施保证“内部安全区”。而在如今,首先,IT边界被打破。云计算、边缘计算等技术普及,加之大数据与AI的广泛应用,让数据流动与计算环境都发生了显著变化,IT边界变得越来越模糊。并且,当前企业上下游伙伴和内部员工增多,用户访问请求更加复杂,成企业对用户过分授权的情况也更普遍。另外在特殊的2020年,疫情推波助澜,当多地协同办公、远程办公成为新常态,过去的办公习惯也被打破。

所以,零信任由此起势。其主要思想——默认企业内、外部的任何人、事均不可信,对任何试图接入网络和访问网络资源的人、事、物进行持续验证,打破了边界化的网络防御思路,是一种更适应新需求的理念。

理念如何落地?身份成为了基础手段——零信任是以身份为基石的动态访问控制,即以身份为基础,通过动态访问控制技术,以细粒度的应用、接口、数据为核心保护对象,遵循最小权限原则,构筑端到端的身份边界。

可以看出,这件事和IAM以及IDaaS所解决的问题息息相关,从而也让“身份”得到更多肯定。

不过话说回来,如果单纯从身份出发,其实并不算一个非常完善的解决方案。所以业内也有观点提出需要以SIM,即SDP+IAM+MSG结合的方式解决问题,但这种既有技术的组合体,是否可以顺滑糅合解决问题并让客户买单,也是另一个话题。至少从现在来看,要做到零信任可能意味着更高的改造成本。具体展开,如果客户内部的系统非常繁多,那么一个个接入其中会使得实施周期漫长;如果客户此前的安全能力薄弱,则需要弥补的模块更多;如果要做全面的零信任改造,对企业现有流程也会造成些许影响。在此基础上,有观点认为如果一家厂商此前已经将自己的安全产品渗透入足够多的客户中,或会降低改造成本。这或许又回到了残酷的商业话题:即谁能掌握客户——这一因素在国内安全市场中的重要性值得仔细推敲。

但不论如何,当前内外网边界被打破已是既有现状,以身份的判定为切入点进行企业安全管理是不可忽视的一条路——大洋彼岸Okta和Auth0的此次结合,至少也给中国玩家们提供了进一步破圈的机会。

——————————————

由于资源、视角有限,本文难免出现错误、片面等问题,欢迎各位读者指正交流。