身份危机：安全领域的最大奖赏

这是我们网络安全系列的第四篇，也是最后一篇。之前的文章包括《揭秘网络安全格局》、《终端时代》和《向云端发起挑战》。在本报告中，我们将深入探讨当今的身份安全格局及其未来展望。

• 边界侵蚀在安全社区内部造成了严重的信任问题。如果你无法信任收到的消息，就必须信任发送消息的人。这意味着你必须弄清楚对方是谁，他们为何试图与你互动，以及你是否应该打开这条消息。
• 截至 2023 年，75%的安全漏洞是由身份、访问或特权管理不善造成的。2020 年的一份报告发现，79%的组织在过去两年内发生过与身份相关的漏洞。如果身份相关的问题能够一劳永逸地解决，那么大多数其他安全产品就不再需要了。但要做到这一点却异常艰难。
• 近一半的组织使用超过25个系统来管理身份和访问权限。随着公司发展壮大、收购和被收购，中层管理人员在一个季度内第三次建立和重组组织，以及自下而上的采用逐渐削弱了集中采购的势头，身份复杂性只会变得更加严重。
• Novell 成立于1979 年，是身份和访问管理领域的先驱，其文件共享系统允许管理员和用户在文件级别而非整个磁盘卷级别控制访问权限。这极大地改变了业界对访问控制的认知。
• 1994年，Novell的年收入达到顶峰，超过20亿美元，员工人数达1万。但最终，微软却成了Novell的败笔。1999年，微软预览了其Active Directory（AD），它本质上是一个带有业务逻辑的数据库，用于处理目录请求。这款产品奠定了微软在企业领域的未来，并对Novell的业务造成了致命打击。
• 2001年底，安然丑闻爆发，导致《萨班斯-奥克斯利法案》（SOX）于2002年通过。这项新法规要求企业监控和审计登录信息、用户活动和信息访问权限。几乎所有美国上市公司都因此开始购买身份访问管理（IAM）解决方案。
• 微软的 Active Directory 越来越难用。尽管如此，要摆脱它并切换到其他产品仍然很困难。迁移过程漫长而繁琐，而且 Active Directory 已经深深植根于业务流程，以至于依赖关系管理令人头痛不已。
• Todd McKinnon和Frederic Kerrest是 Salesforce 的资深员工，他们有一些非常深刻的见解：(1) 本地身份识别工具正在成为团队发展的瓶颈；(2) 脆弱的身份识别系统阻碍了云应用的发展；(3) 微软将很难将客户迁移到云版本的 Active Directory。因此，Okta于 2009 年成立。
• 随着越来越多的公司资产转移到防火墙之外，诸如“自带设备办公”(BYOD)之类的策略应运而生。跨移动、云等多模式安全的需求，使得安全格局不断拓宽。这加速了移动设备管理 (MDM)、客户身份和访问管理 (CIAM)、机器和工作负载身份等新类别的诞生。
• 如今，身份识别市场正处于一个奇怪的境地。供应商的数量比以往任何时候都多，每家公司都在处理身份识别生命周期中的重要环节。然而，超过 60%的安全领导者认为，截至 2022 年 8 月，该领域正在整合。
• 身份已成为新的边界，并导致了一些灾难性的后果（根据2023年的一份报告，五分之四的违规行为源于身份问题）。要解决这个问题，需要大量的创新，无论是在平台超大规模层面，还是在单个产品初创企业层面。

资料来源：Contrary Research

过去几年，网络安全生态系统日益碎片化。本报告是 Contrary Research 网络安全系列报告的一部分，旨在揭秘这个复杂的生态系统。

在我们之前对该主题的深入探讨中，我们首先从宏观角度审视网络安全，并分析其更广泛的发展态势，为读者提供一个理解该行业的框架。我们的第二份报告涵盖了端点安全及其相关行业，例如安全运营和 SIEM 平台。我们还介绍了生态系统中值得关注的新兴初创企业。在第三份报告中，我们深入剖析了云安全领域，这是一个相对较新且瞬息万变的领域。在本系列的最后一篇中，我们将深入分析身份在快速变化的数字环境中所扮演的角色。

身份识别是一个复杂的问题，部分原因在于它涉及到组织机构的方方面面。每个职能部门，无论是销售、人力资源还是财务，对身份追踪都有各自的理解。此外，长期以来，身份识别一直被认为主要是一个IT问题。但如今，身份识别正日益成为网络安全领域的核心问题。

2023年11月，Okta 向客户发出警报，称其数据遭到泄露。虽然这对任何可能受到影响的客户来说都是一个令人担忧的公告，但大多数人只是希望自己不会受到影响。不幸的是，这次事件中，100%的客户都受到了影响。一个月前，Okta 估计只有约 1%的客户会受到影响。结果错失了良机。

但 Okta 并非孤例。高达80%的数据泄露事件源于身份问题，例如凭证泄露。仅在 2023 年下半年，米高梅 (MGM)、凯撒娱乐 (Caesar’s)、Atlassian和New Relic等公司就加入了 Okta 的行列，成为受身份信息影响的数据泄露事件的受害者。这些数据泄露造成的损失可能高达数亿美元。

此次深入研究的目的是揭示身份如何成为如此严重的威胁面，以及形势如何演变以应对这些威胁。

2023年3月，Rak发表了一篇关于Palo Alto Networks ($PANW)的文章。在文中，他指出，Palo Alto Networks作为企业边界防护的作用已经消亡：

边界侵蚀在安全社区内部造成了严重的信任问题。如果你无法信任收到的消息，就必须信任发送消息的人。这意味着你必须弄清楚对方是谁，他们为何试图与你互动，以及你是否应该打开这条消息。

身份领域包括 Okta 和 CyberArk 等上市公司， Centrify、ForgeRock、Sailpoint和Ping Identity等私有化公司，以及数十家初创公司。这些初创公司每年都获得数十亿美元的风险投资。几乎每个人都清楚，作为一家公司，您希望控制谁有权访问您的哪些文件和应用程序。员工在操作您的系统之前应该验证他们的身份，这是毫无争议的。众所周知，您设置了一些策略，审核谁使用了什么以及为什么使用，并每隔几个月向您的组织发布一些声明（“伙计们，不要再邀请您的朋友和家人加入我们的 Jira 实例了”），那么您就安全了！开玩笑的。

资料来源：摩根大通，《安全软件入门》（2023 年 1 月）；Contrary Research；近年来被 PE 收购的知名身份或访问相关公司

截至 2023 年 7 月，75%的违规行为是由身份、访问或特权管理不善造成的。2020 年，79%的组织报告称曾发生过与身份相关的违规行为。鉴于身份安全所能带来的杠杆作用，身份认证催生了多家大型公司。如果身份问题真的能够一劳永逸地“解决”，那么您就不需要很多其他安全产品了！如果只有受信任的工作负载、受信任的 API 和受信任的用户才能访问 S3 存储桶中的数据，谁会在乎它是否配置错误呢？

但要做到这一点极其困难。部分原因是企业足迹不断复杂化，部分原因是攻击者不断变换攻击手段。致力于身份安全的公司通常会解决两个问题：(1) 身份验证（例如，您是谁？）和 (2) 授权（例如，您是否被允许执行您正在做的事情？）。但有几个关键领域通常会失效。

资料来源：SSL2BUY；反向研究

危机

在与数百名 IT 和安全领导者、身份产品负责人和企业家会面后，我们发现身份领域存在三个核心问题：

1. 大多数身份产品都受静态的、基于组的策略管理。用户会不断移动，无论是他们的实际位置还是他们在组织内的职位。因此，他们需要使用的软件每天都会发生变化，他们在该软件中应该被允许执行的操作也会随着时间而变化。策略控制着谁在什么情况下可以做什么，但创建策略非常繁琐，而且根据不断变化的环境更新策略几乎是不可能的。
2. 基础设施的行为与用户的行为类似。从安全角度来看，用户操作应用程序、第三方 API 令牌、Lambda 环境中的临时函数以及 LLM 代理并无太大区别。但是，缺乏一个功能抽象层来控制这些基础设施参与者的行为，从而避免影响开发人员的敏捷性。
3. IT 部门（最有权拥有身份的部门）并非决策者。这激励了负责管理的产品团队，让他们努力与竞品保持同等水平，然后就此罢休。换句话说，如果因为你构建了更好的 SSO 而没人选择你的产品，你不妨先把产品发布出去，然后再去做更有趣的事情。SaaS 创始人深谙此道；当我们问他们计划如何将现有产品盈利时，许多人耸耸肩，回答说：“或许是 SSO。”

现有的身份识别公司并不是为他们所面临的现实而建立的，而管理员、首席信息安全官和创始人等用户则不得不面对越来越多的问题。

身份认同是老年政治

目前，一些最有价值的独立身份公司包括 Okta（成立于 2009 年）、CyberArk（成立于1999 年）、TPG 旗下的 Delinea（成立于1996 年的 Thycotic + 成立于2004 年的 Centrify ）、Thoma Bravo 旗下的 Ping Identity（成立于2002 年）和 ForgeRock（成立于2010 年）。在所有这些公司中，只有 Okta 诞生于云端，并在将世界转向云目录方面取得了进展，但并未在此基础上进行有意义的扩展。

近一半的组织使用25 个以上的系统来管理身份和访问权限。随着公司发展壮大、收购和被收购，中层管理人员在一个季度内第三次建立和重组组织，以及自下而上的采用逐渐削弱集中采购，身份复杂性只会加剧。哪里有复杂性，哪里就有不法分子利用系统的机会。使用软件的人越多，意味着凭证填充和密码喷洒的攻击面就越广。2022年 8 月， Rockstar Games 的一名员工的 Slack 帐户就以这种方式被盗用。

远程办公的兴起意味着没有全面的IP地址保护，这使得供应商在试图实现随时随地办公时面临安全隐患。公司使用的基础设施供应商越多，就越容易受到跨平台风险的影响，例如会话劫持，这正是2022年7月Office 365用户遭遇的。更不用说新威胁的出现，例如利用基础模型通过完美模仿语音进行大规模社会工程攻击，以及日益复杂的网络钓鱼电子邮件等等。

那么，让我们回到最初。身份空间是如何发展到今天这个样子的？

资料来源：Contrary Research

推出 Novell

1979年，两位小型计算机行业的资深人士乔治·卡诺瓦（George Canova）和杰克·戴维斯（Jack Davis）凭借200万美元的种子资金，在犹他州白雪皑皑的奥勒姆市创立了Novell数据系统公司。该公司最初从事小型计算机和打印机的设计和销售，但发展并不顺利。这项业务极其资本密集，但销售额却微乎其微。公司必须迅速找到一个利润更高的新业务。一群自称“SuperSet”的杨百翰大学学生受聘担任顾问，负责实施一套系统，将打印机和小型计算机连接起来，进行文件交换。十年后，他们的系统成为了局域网（LAN）的基础，并引领了目录、用户身份验证和传输加密技术的广泛应用。

不幸的是，当时这种做法收效甚微。1982 年，通用电气的一位老将雷·诺达 (Ray Noorda) 在一次贸易展会上偶然发现了这家当时名为 Novell Data Systems 的公司，当时该公司正濒临破产。他加入这家陷入困境的公司担任首席执行官，将公司名称缩短为 Novell，并将文件共享产品作为公司新战略的核心。如今，这就像萨蒂亚·纳德拉 (Satya Nadella) 在 KubeCon 大会上遇到一家处于种子期、产品尚未成熟且市场尚未匹配的初创公司，然后说：“好的，我会帮你解决这个问题。”

这一策略奏效了。到1994年达到顶峰时，Novell的年收入已超过20亿美元，员工人数已达1万人。SuperSet之前为Novell开发的文件共享系统NetWare 4.0允许管理员和用户在文件级别而非整个磁盘卷级别控制访问权限。这极大地改变了业界对访问控制的认知。

大约在同一时期，苹果、IBM、DEC 等公司竞相将个人电脑商业化，这为 Novell NetWare 创造了巨大的潜在需求。该公司明智地将该产品定位为一个跨公司内各种打印机、计算机和其他联网设备进行安全协作的不可知论解决方案。NetWare 是首批支持基于用户和组的访问控制的产品之一，这使其对管理员极具吸引力，因为随着 PC 逐渐侵蚀多路复用的中央计算机，管理员面临着日益分散的计算基础设施。

来源：Novell

四十年后，身份识别行业的两种动态仍然存在：

1. 核心应用程序和治理系统都趋向于权限细粒度化，以赋予管理员更多控制权。访问治理在每一代技术栈中都逐渐下降，从磁盘卷到文件、应用程序、应用程序内部的权限，再到底层的微服务。
2. 身份工具的成功之处在于它们能够与已知企业领域中的所有应用程序、服务、容器和其他实体良好地协作。这在 80 年代被Noorda称为“合作竞争” 。

竞争喜欢自满

Netware 4.0于 1993 年推出，其中包含 Novell 目录服务 (NDS)，这是一个分布式复制数据库，可在网络层存储目录。用户登录网络后即可查看他们有权访问的文件，而无需尝试访问特定位置的特定资源。此时，身份验证和访问仍然主要以资源为中心，而非以参与者为中心。

同年，密歇根大学的Tim Howes、Gordon Good和Mark Smith发布了首个LDAP（轻量级目录访问协议）规范，该规范因其开放性、厂商中立性、性能和可靠性而具有开创性意义。该协议的核心是为目录服务器创建了一种标准化的方式，用于查找、检索并提供用户请求的相应资源或信息。这项工作在很大程度上处于学术阶段，直到 1996 年，这三人受聘于 Netscape，从而引发了一场 LDAP 军备竞赛。

来源：Okta

1998年1月，Netscape发布了LDAPv3的首个商业实现，其中包含SASL（简单身份验证和安全层），并成为MFA和其他质询-响应身份验证范例的基础。仅仅六个月后，Sun Microsystems也发布了类似的目录服务器。Novell在目录服务市场的霸主地位似乎随着每一次产品发布而有所动摇，但没有什么产品能像微软的新产品Active Directory那样具有颠覆性。

需要组装

1995年左右，Novell 曾经稳固的地位开始变得岌岌可危。当时，精力充沛的比尔·盖茨意识到，如果每个人都拥有个人电脑，身份认证就无需脱离核心业务应用程序（例如 NetWare）。微软在上世纪80年代曾两次尝试在网络领域挑战 Novell，分别推出了MS-NET和LAN Manager，但均以失败告终。当时，网络是所有技术领域增长最快的市场之一，催生了思科、瞻博网络等众多公司。盖茨没有试图争夺网络市场，而是决定让 Novell 争夺管理权。

当时，Novell 的 CEO 正是埃里克·施密特 (Eric Schmidt)，他于 1997 年至 2001 年任职。他辞去了 Sun Microsystems 首席技术官的职务，加入这家陷入困境的网络巨头，面临着一项艰巨的扭转乾坤的任务。微软的 Windows NT操作系统免费提供TCP/IP 协议栈，蚕食了 Novell 的利润。尽管如此，在施密特任职的头几年，Novell 依然坚持了下来。他将 Novell 的重心重新集中在目录服务产品上，并放弃了其他所有业务。施密特认为，现在不是多元化发展的时机，而是应该加大现有业务的投入。施密特当时表示：

与此同时，微软在 1999 年预览了Active Directory，这款产品奠定了微软在企业领域的未来，并给 Novell 敲响了丧钟。Active Directory (AD) 本质上是一个数据库，它包含业务逻辑来服务目录请求。AD 的结构可以是对象（打印机、服务器等）、主体（用户、帐户、组），也可以是对象和主体的各种排列组合。管理员可以编辑架构，但每次更改都会影响整个系统，如果操作不当，会导致大规模的中断和变更。

资料来源：ConceptDraw；相反的研究

分销之王

一如既往，Microsoft AD与 Windows Server 2000捆绑销售。随着这款服务器操作系统的全面上市，Microsoft AD 迅速成为企业验证身份、存储用户及资产信息的标准方式。正如 Slack 的朋友们所熟知的那样，Novell 早期的产品领先地位，后来败给了微软强大的分销优势，从此一蹶不振，直到 2014 年 Novell 最终被MicroFocus收购。埃里克·施密特的情况略好一些，他于 2001 年离开 Novell，加入了A 轮融资后的谷歌。

IT 部门最初对 Active Directory 的到来欣喜若狂；即使所使用的设备和应用程序类型越来越复杂，他们也首次能够集中且轻松地对所有用户实施策略，例如密码重置和长度要求。随着生态系统的发展，挫败感开始蔓延：集成变得脆弱，管理 Active Directory 成为 IT 管理员团队的全职工作，非 Microsoft 应用和设备难以融入，并且与防火墙之外和网络外部的对象交互非常困难。让新用户访问应用程序需要几天甚至几周的时间，业务用户开始怨恨 IT 妨碍了他们的工作效率。

尽管如此，微软仍然是企业管理领域无可争议的领导者。当你成为唯一的竞争对手时，即使是你的缺陷也会变成功能！微软推出了认证，并部署了大批系统集成商、合作伙伴等等，以帮助客户顺利运营。但身份和访问管理领域的格局即将发生变化。就在埃里克·施密特于2001年底离开Novell时，安然丑闻爆发了。

世界各地都听到的欺诈行为

关于安然丑闻，已经有整本书的著作了，所以我们就不在这里赘述了。只需知道，安然是一家能源公司，最初从事能源衍生品交易，最终利用欺诈性的会计手段人为夸大和掩盖其财务状况，不让投资者知晓。欺诈案曝光后，《萨班斯-奥克斯利法案》（SOX）于2002年通过，通过实施一系列业务和IT控制措施来保护投资者，这些措施包括监控和审计登录信息、用户活动和信息访问权限。

访问管理的诞生

由于这项新立法，几乎所有美国上市公司都开始购买身份访问管理 (IAM) 解决方案。过去，仅靠一个 Active Directory 实例和十几个管理员在其前移动用户和组已经无法满足需求。现在，持续的登录和访问事件流已成为必需，并且需要定期审核这些事件，以确保万无一失。除了访问管理之外，这还对 SIEM 和安全分析市场产生了积极影响，我们之前曾在这里和这里对此进行过介绍。

在此期间出现了三种新的身份类别：单点登录 (SSO)、特权访问管理 (PAM) 和身份治理和管理 (IGA)。

单点登录 (SSO)

别忘了，在 21 世纪初，应用程序才刚刚起步。各组织都在为内部用户和外部客户构建应用程序，员工对每次登录并重新进行身份验证越来越感到厌烦。与此同时，像 Atlassian 和 Salesforce 这样的公司开始采用按用户计费的方式，这使得 IT 团队迫切需要了解哪些人有权访问他们所购买的昂贵软件。单点登录 (SSO) 从技术上来说并非新鲜事物，但微软在2005 年推出 Active Directory 联合身份验证服务 (ADFS)并将其与 Windows Server 2003 R2 捆绑在一起时，才将其推向大众。

ADFS 的工作方式很简单：它不再对每个应用进行身份验证，而是允许用户通过下游应用信任的中央授权进行身份验证。这就像一位名人朋友带你走进一家高级夜总会。如果你独自一人前往 Workday 俱乐部，Workday 会想知道你是谁，以及为什么应该让你进去。但如果你带着你的僚机 ADFS 一起进去，Active Directory 就会向 Workday 和其他所有应用发出一组关于你的断言：“我是 Bob（已通过身份验证），Bob 在我们这里（已验证域名），Bob 应该可以查看费用报告（已授权）等等。” 这也是 SSO 被称为“联合访问”的原因，因为你的单一身份在多个不同的应用中被联合起来。

所有这些信息——您的身份、您所属的组织以及您有权访问的应用程序——在2008 年Azure AD 推出之前，都存储在运行 Windows Server 和 Active Directory 的本地环境中。当然，直到 2015 年AD Connect 推出，将本地 AD 连接到云 AD 后，这些信息才真正发挥作用。随着用户数量的增长，越来越多的人需要使用更多应用程序和服务，其中一些与 Microsoft 兼容良好，而另一些则不然。曾经和谐一致的 IT 政策体系，如今却因供应商锁定、管理和扩展问题而变得杂乱无章。

ForgeRock（成立于2010年）和Ping（成立于2002年）最初是Active Directory的开源竞争对手，旨在挑战微软的垄断地位。此后，两家公司都增加了云功能并实现了业务多元化。解决整个软件生态系统的管理和扩展问题基本上是Okta的理念，稍后将对此进行更详细的讨论。在消费者端，这类似于Facebook登录、Google登录等的运作方式。

来源：Rak Garg

拥有 SSO 变得极具战略意义。首先，它让你有机会了解哪些应用正在蓬勃发展，Okta 多年来在其年度“工作中的业务”报告中一直充分利用这一点。其次，目录之于身份识别，就像 Salesforce 之于销售，Workday 之于人力资源，或 Anaplan 之于财务一样。换句话说，它成为了核心的记录系统。拥有目录和身份验证意味着可以选择扩展到其他几个相邻的身份识别市场，而微软在这方面做得非常出色。如今，像 Cerby、Jumpcloud 和 Ory 这样的公司提供了更轻量级的 IAM 和 SSO 实现方式。

有趣的是，如果你看看如今你最喜欢的 SaaS 应用的定价和包装，就会发现单点登录 (SSO) 和审计跟踪是升级到企业级应用的基础，而且价格上涨了 4-5 倍。SSO.tax对这些公司的分类做得非常出色。

特权访问管理 (PAM)

2002年，Thycotic和CyberArk分别成立六年和三岁。管理员被赋予（并被要求）跟踪组织内发生的相关安全事件，并决定何时允许或禁止访问关键系统。但谁来审计管理员的行为？如果管理员失控、被欺骗、被入侵，或者账户被盗，会发生什么？

解决方案在某种程度上是为管理员配备一名管理员。特权访问管理 (PRM) 应运而生，其目的在于 (1) 控制 IT 管理员的活动，以及 (2) 保护管理帐户免遭入侵。像Thycotic这样的公司会将受保护帐户的凭证存入保险库，并监控这些凭证的活动会话。CyberArk可以帮助发现哪些内容需要保护，无论是帐户、令牌、密钥还是其他内容，并且是首批将凭证存入保险库与基础设施授权管理（即谁有权访问哪些机器上的哪些工作负载）相结合的公司之一。

除了 IT 之外，每个账户都可能根据具体情况成为特权账户。试图在 AWS 中启动新实例的工程师需要特殊权限才能执行此操作。设计主管可能需要控制其 Figma 许可证的席位数量。财务规划与分析 (FP&A) 人员可能需要获取薪资清单。没有 IT 人员会因为过度配置访问权限而收到恶意邮件，这就是为什么大多数公司会授予用户过多权限的原因。因此，PAM 已发展到涵盖除管理员之外的更多角色类型，并且保护的不仅仅是凭证和机密（请参阅下面的 IDC 调查）。范围的扩展迫使 PAM 供应商在身份治理、数据安全和基础设施授权方面展开竞争。根据 2023 年的一份报告，99%的用户、角色和服务被授予了过多的权限。

资料来源：IDC，《市场分析展望》，《IAM》2022 年 9 月；反向研究

资料来源：Gartner，《IAM 指南：PAM 2022》；Contrary Research

如今，大多数主流身份平台（除了像Delinea这样专注于 PAM 的参与者）都希望 HashiCorp 来保管秘密并与他们的Vault产品合作，而不是自己构建秘密保管库。

身份治理和管理（IGA）

有了这些组件，公司就有了一个目录系统（可能是Active Directory，也可能是 Ping）以及一种追踪管理员工作的方法，但与此同时，公司里还有一群身兼数职的员工，他们每天都需要使用各种软件来完成工作。管理所有这些复杂的访问请求对人类来说非常困难，需要使用工作流软件，至少可以帮助维护一个关于应该发生什么（策略）的真实来源，并跟踪这些策略的遵守情况。

在此基础上，IGA 产品进一步发展，可以收集、分类和自动化访问请求。该领域的主导公司是Sailpoint，Thoma Bravo 于 2022 年以69 亿美元收购了该公司。Mark McClain于 2005 年将他之前的 IAM 公司 Waveset出售给 Sun Microsystems，之后创立了 Sailpoint。

微软的访问控制曾经（并且在很大程度上仍然）受限于基于角色的定义。问题在于，平均每个组织有7.7K 个组，而任何一位工程师可能已经是数百甚至数千个组的成员，每个组的访问权限定义都相互重叠。将所有这一切映射起来，然后手动制定工作流程是一项艰巨的任务。SailPoint 提供了一种解决方案。该公司将自己定位为在目录难以理清时可以采用的产品。该产品声称能够通过分析和机器学习，在尽可能实现自动化方面处于领先地位。

资料来源：Andy Malone

IGA 工具必须处理访问权限的生命周期，协调工作流程（例如在用户加入公司时进行配置），并为特定任务分配合法的所有者。任何熟悉企业软件的人可能都会想：“等等，这不就是 ServiceNow 或 Jira 做的事情吗？”

答案是肯定的——IGA 本质上是一款工作流编排产品。它与 SSO 一样重要，因为每家公司都必须拥有一个解决方案。但随着底层工作流系统变得更加灵活，只要有足够的资源来构建合适的集成，IGA 解决方案就可以构建在公司所选的企业记录系统之上。Multiplier就是一个基于 Jira 构建的 IGA 产品的例子。

由于 IGA 处理何时以及如何授予和撤销用户访问权限，它已成为授权之战的先锋。许多当代身份初创公司正在构建下一代 IGA，其竞争优势在于自动化更多工作流程、更轻松地创建工作流程或专注于某个领域。其梦想是根据与各种服务的历史交互自动推断正确的工作流程，并根据当前情况及时决定是否授予或撤销访问权限。

有几家公司在争夺下一代 IGA 的领先地位，包括Opal、ConductorOne、Noq、AccessOS、Zilla Security、ClearSkye、Pomerium和PlainID等。

碰撞路线

该目录及其后续扩展的单点登录/联合访问，在身份太阳系中拥有最强大的引力。它是最具战略意义的地盘，因此成为许多入侵者梦寐以求的星球。

随着 PAM 和 IGA 等新解决方案的出现和应用，它们立即与 Directory 发生了冲突。事实上，所有主流 Directory 产品（例如 Microsoft、Ping 等）都已扩展；首先是联合访问，然后是特权访问或身份治理。联合访问 (SSO) 已成为 Directory 的代名词，以至于你几乎从未见过哪个商业产品不包含这两者，这就是为什么这些产品现在被称为身份提供者 (IdP)。它们跟踪身份（Directory），然后让应用程序和系统验证这些身份（联合访问/SSO）。

PAM 和 IGA 也正在发生类似的融合，它们多年来一直相互重叠，现在正在融合。IdP 在很大程度上仍然是一种 IT 工具，而 PAM 和 IGA 则更注重安全，这使得构建一个涵盖所有三个领域的统一套件变得困难。微软是个例外，它在 IT 和安全领域都拥有巨额的软件交易。

资料来源：Gartner，《IGA 市场指南》，2022 年 7 月

微软在 1999 年至 2005 年间不断发展其核心 AD 产品，敏锐地察觉到了身份认证领域的扩展机遇。AD 最初是一个域控制器和目录，用于存储有关用户及其凭据的关键信息。到 Windows Server 2003发布时，微软已添加了 SSO（联合服务）、LDAP 支持（以牺牲基础设施为代价，简化了应用程序的管理）、证书（开发人员用来加密静态数据、传输中数据以及签署文档/消息的公钥证书）和权限（Office 和电子邮件的基本 DLP）。

资料来源：Alan Arley；Contrary Research

尽管新增了产品，AD 的使用体验却并不理想。Reddit 的 /r/sysadmin 用户至今仍在哀叹Netware 被 AD 取代，这充分证明了 AD 的使用体验是多么糟糕。首先，手动配置和取消配置的工作流程变得难以忍受。过去和现在，AD 的变更都很难进行，因为在将请求推送到整个系统之前，没有简单的方法可以预测、考虑和测试用户可能提出的各种请求。

其次，AD 的构建并未考虑第三方。Windows 牢牢占据了面向终端用户的企业操作系统市场，但并未占领服务器市场（Linux 占据主导地位）、Web 市场（Java Web 应用泛滥）或移动市场（Blackberry 和 Nokia/Symbian 平台上的开发工作）。围墙花园的大门正在打开，现代世界正在基于集成进行重建（MuleSoft 成立于 2006 年）。在 AD 中，将不同的协议、数据格式和身份验证机制拼接在一起既繁琐又成本高昂，需要更多的软件、服务器和存储空间。公司投入了更多人力来驯服怪异的 Active Directory，但熟练管理 AD 的人员却寥寥无几。

尽管如此，你还是无法彻底摆脱 AD。迁移过程漫长而繁琐，而且目录与业务流程紧密相关，依赖关系管理令人头痛。想象一下，你把一个变更推送到市场部，办公室的打印机就停止工作了。这就是管理员要面对的。MuleSoft 成立的同一年，AWS 推出了首个云服务 EC2，身份认证开始向云端联合迈进。

与大多数企业产品经理交谈，他们会告诉你，将现有客户从旧的本地产品迁移到新的云产品，即使两者据称处于同等水平，也是 SaaS 公司最困难的工作之一。Atlassian 的 Jira 经历了这一过程，Adobe 的 Creative Cloud 经历了这一过程，微软的 AD 也经历了这一过程。

Todd McKinnon和Frederic Kerrest都是 Salesforce 的老员工。他们各自在公司工作了五年，直到 2009 年离开并创办了 Okta。他们有三点独到的见解：

1. 随着员工引入更新、更好的软件，内部身份识别工具正在成为团队的瓶颈，产生大量的手动工作并减缓业务节奏。
2. 脆弱的身份系统阻碍了云应用的发展。随着全球开始拥抱云计算，云原生方法可以帮助这些应用充分发挥其潜力。
3. 当微软意识到这一点时，它将很难让其客户迁移到云版本的 Active Directory。

于是 Okta于 2009 年成立。从技术上讲，微软已经在 2008 年推出的 Azure AD 中拥有一款云目录产品。但用户基本上必须重新开始他们的目录才能使用它，因为直到 2015年推出AD Connect（前身AD Sync）之前，它无法与本地 AD 一起使用。这意味着从 2008 年到 2015 年，AD 实际上只对较小的租户有用，因为他们还没有复杂的目录。一流的云应用程序也出现在 2010 年代初，因此当时的初创公司有很多想要引入的云 SaaS，但没有太多方法来保护用户对这些应用程序的访问。这两种动态创造了一个绝佳的机会。

Okta 集洞察力、时机和足够广阔的机会于一身。它开始将世界从本地目录转向云目录。Okta 于 2016 年上市时，拥有2.9K 个客户，用户数量达到“数百万”，集成了5K 个产品，年平均经常性收入(ARR) 达到1.115 亿美元，同比增长 90%。

如果你来是为了国王……

2014年，萨蒂亚·纳德拉（Satya Nadella）出任首席执行官，微软正走出长期的停滞状态，这重新点燃了股东们的热情。纳德拉的使命是摆脱公司以Windows为中心的形象，拥抱云计算。在未来，所有应用和体验都将通过某个地方的集群交付，客户端操作系统将不再重要。Azure AD团队于2015年发布了AD Connect，最终为管理员提供了一种简便的方法，让他们的本地目录能够与云端的Azure AD进行通信。

仅仅两年之后，也就是 2017 年，90% 的《财富》500 强企业都在使用 Azure AD，付费组织数量达到 5.6 万家（同比增长 74%），月活跃用户超过 1.5 亿，第三方应用集成超过 30 万个。换句话说，在两年内，Azure AD 的用户数量增加了约 10 倍（大概如此），付费组织数量是 Okta 七年来的 20 倍。平心而论，这些组织中的许多可能一开始就无法被 Okta 访问，但这凸显了分销的力量。微软拥有四倍于其尚未转换的本地用户，并且可以随时迁移（说起来容易做起来难，但如果迁移工作处理得当，这基本上就是未来的收入）。

事实上，迁移过程既艰难又混乱。从 AD 迁移到 Azure AD 的公司可能会处于一个过渡阶段，需要同时管理两者，因为他们会慢慢地将用户从一个平台迁移到另一个平台。许多传统公司实际上在 2023 年就已经处于这种状态。同时管理两者会带来新的复杂性。迁移的另一个挑战是，大多数现代科技公司最初都使用 Google 来访问 Google 套件（日历、电子邮件、存储、文档等），这使得 Google Cloud 本身就成为了一个强大的身份提供商 (IdP)。

来源：IFTTT

雷德蒙德的云征服

随着自身 Azure 云业务的增长，微软也迅速扩展了其身份产品组合。正如 Okta 能够洞悉哪些 SaaS 应用增长最快一样，微软安全部门很可能也了解到客户在云端扩展方面面临的诸多挑战。

资料来源：微软

Entra 是Azure AD 和微软更广泛的身份产品套件于 2023 年被赋予的新名称。从定价来看，Entra 最昂贵的功能是权利管理 (CIEM)、特权身份管理和治理。请注意免费套餐，它提供：

• 单点登录
• 基于角色的访问控制 (RBAC)
• 同步用户配置 (SCIM)
• 委派管理
• 多因素身份验证
• 无密码认证
• 带有 SIEM 连接器的基本日志

这对软件行业来说总体来说是一件好事；单点登录 (SSO)、基于角色的访问和基本安全功能不应该被限制在“企业”层级之后。然而，那些开发与微软产品竞争的产品的人，不太可能凭借安全或 IT 预算友好度而胜出。

微软的身份组合沿着五个新的方向扩展，每个方向都面临着初创企业和规模化竞争的冲击。

移动设备管理 (MDM)

2010 年代的自带设备 ( BYOD ) 政策将个人和企业移动设备深深地融入了企业工作之中。Windows Phone错过了这个机会，并造成了一场众所周知的灾难。但微软安全部门在 2010 年推出 Microsoft Intune 后，在移动端转型中占据了领先地位。

来源：Microsoft Intune 文档

自推出以来，Intune 已发展成为面向工作设备的端点安全 + 身份识别解决方案。MobileIron和AirWatch是另外两家发展壮大的初创公司，随后分别被 Ivanti 和 VMWare 收购。MDM 解决方案使管理员能够设置策略，规定授权用户如何使用其设备——从设备上安装的应用程序，到设备交换的数据，再到设备通信的网络。

2023年，传统的MDM市场增长乏力。大多数人拥有1-2部手机，并在每部手机上使用单一的企业身份。能够在边缘设备（例如手机）上运行的强大机器学习模型的出现，对于终端保护的未来而言，是一个有趣的思考实验。随着越来越多的信号在设备上收集，我们预计在受管设备上的裁决和风险标记将更接近实时。

该交叉领域的创新主要集中在欺诈预防和持续监控方面，例如Infinipoint、BioCatch和Kandji等公司。

客户身份和访问管理 (CIAM)

CIAM 是面向外部客户的身份管理，内置了欺诈预防功能。用户可以将 IAM 原语（目录系统、密码管理、授权策略）扩展到客户账户，并将客户视为任何其他外部账户（承包商、顾问、合作伙伴）。许多企业 IdP 已从企业身份管理扩展到客户身份管理。示例包括：

• Okta（2021 年以65 亿美元收购 Auth0 ）
• 微软（客户Entra ID ）
• ForgeRock（客户访问管理，自2023 年 8 月起成为 Ping Identity 的一部分）
• Ping Identity（其现有产品早于 ForgeRock 合并）

CIAM 具有三个主要独特之处：

1. 客户通常自行创建和管理账户。他们可能经常忘记密码，并且可能在世界任何地方发出重置请求。如果身份验证流程过于复杂，他们可能会流失。
2. 用户创建账户的方式并非总是一成不变。他们可能需要根据注册方式跳转到产品内的其他位置，也可能会根据已知属性看到不同的注册流程，还可能会被提示通过 Facebook 或 Twitter 账户关联消费者身份，等等。
3. 开发人员通常是 CIAM 工具的用户，而不是 IT 或安全部门。开发人员拥有产品中面向用户的身份验证流程。

Auth0 的方法是尽可能地方便开发者。其他一些产品则注重安全性，承诺降低账户接管或欺诈率。尽管如此，还有一些产品仍然支持合规团队，因为这些产品还会收集和管理 Cookie 的存储许可，以响应CCPA等法规。这类产品采用了“持续自适应访问”，即从设备、浏览器和网络收集一系列信号，并用于判断可信度。身份验证流程会随之改变。这些差异使得 CIAM 易于理解，但难以实施。

如果用户使用不常见的网络，他们可能需要回答预先选定的安全问题。如果他们前一分钟还在库比蒂诺登录，后一分钟就从深圳登录了，他们的账户可能会被冻结一天。构建这些流程以及其他边缘情况的逻辑是一项复杂的工作，无论是通过代码还是通过拖放式工作流构建器来实现。

CIAM 是一个相当大的机会，至少有一个简单的原因：消费者账户数量远多于企业账户数量。高盛估计，到 2026 年，Okta 超过一半的收入将来自 CIAM，而非企业账户，这是一个超过 15 亿美元的 ARR 机会。

资料来源：高盛，Initiate Security，2023 年 2 月

由于竞争角度多样（更强大的防欺诈能力、更方便开发者使用、更自动化的工作流程、更便捷的客户体验），已有多家公司在 CIAM 领域进行创新。其中值得关注的公司包括Stytch、Transmit Security、Descope（前 Demisto 团队）、Clerk.dev和FusionAuth。*

机器和工作负载身份

到目前为止，我们只是讨论了管理人类身份，但机器身份的数量是人类身份的45 倍！

过去，IP 地址曾被用作机器身份的基础。如果一台主机通过可信 IP 进行通信，那很好，它就能被授予访问其请求内容的权限。但由于各种原因，这种方法如今已不再适用：远程办公、网络地址转换、VPN 等等。因此，我们不再需要根据 IP 地址进行索引，而是需要识别在各个机器上运行的特定工作负载（例如进程），并跟踪这些身份。

SPIFFE框架为每个服务/工作负载创建一个 ID，并使用 x509 证书对该 ID 进行签名，然后为调用者提供 API 来验证工作负载。这对于机密管理至关重要；无需在运行时将机密注入流程，也无需跨工作负载跟踪机密，也无需来回传递机密，只需从正确的服务请求并检索正确的数据即可。

这些证书是长期有效的；它们不会随着时间的推移而改变或消失，这会产生证书劫持的风险（某人用他们的恶意工作负载冒充您的安全工作负载）。理想情况下，颁发短期令牌或证书并经常轮换它们。在公司服务结构中运行的所有微服务和流程中实现这一点相对困难，并且LinkedIn、O2、Microsoft Azure和Equifax等公司都发生过代价高昂的与证书相关的中断和违规事件。我们已经看到各种公司构建自己的公钥基础设施，例如 Airbnb 的Ottr，或者使用Spirl或Smallstep等公司来帮助开发人员和安全团队更自动化地管理工作负载身份。

一旦公司知道谁（哪个工作负载）想要访问什么（请求的数据），他们可能也希望控制其访问的环境。微服务可以向银行 API 发出写入请求，但如果该微服务已被入侵，则不行。超大规模提供商（GCP、Azure、AWS）拥有强大的工作负载身份产品，这些产品可以通过工作负载身份联合，有条件地处理其云平台内外应用程序的认证和授权。可以将其想象成工作负载的单点登录 (SSO)——云提供商将使用已用于验证其完整性的身份提供商对工作负载进行身份验证。

资料来源：谷歌；相反的研究

其中一个例子是Venafi，它与 Hashicorp 合作提供 x509 发行和自动化服务。微软对每台机器身份每月收取 3 美元的费用，这对该公司来说可能是一个巨大的增量收入机会。

资料来源：HashiCorp

资料来源：HashiCorp

有多家公司正在构建现代化的机器身份管理方法，包括Aembit、Astrix、Valence、DoControl、Teleport、Spirl、Andromeda Security和Smallstep。其中一些公司专注于应用程序之间的集成，将身份威胁检测和治理扩展到 API 密钥、OAuth 令牌等；而另一些公司则维护安全网关，供基础设施服务与受保护的应用程序和服务进行通信。

云基础设施授权管理 (CIEM)

正如之前关于特权访问管理的讨论中提到的，任何需要访问云基础设施的用户，从技术层面来说都是特权用户。这包括所有工程师，从经验丰富的架构师到那些因为从未学习过 SQL 中的 LIMIT 10 而疯狂查询的实习生。随着云提供商不断增加功能，工程师可以在这些云提供商之间拥有超过5000 个独特的权限（例如，权限），但超过95%的账户实际使用的权限不到其被授予权限的 3%。像Wiz这样的 CSPM 工具可以标记 IAM 策略漏洞，但其深度不足以处理云权限生命周期治理。

CIEM 工具的出现填补了权限自动调整（撤销特权帐户未使用的权限）、异常检测和分析方面的空白。这些产品还可以帮助管理员在不中断开发人员工作流程的情况下改进策略（不会错过不该错过的内容！）。资源图是 CIEM 类别中的一种流行结构，所有访问路径都通过一个图进行跟踪和连接，以回答以下问题：“这个身份在我的云中可以做什么？”和“谁可以访问此云资源？”。CloudKnox是该领域的主导公司，允许用户在被删除后请求恢复权限，并通过行为信息丰富历史分析，以防止将来轻易撤销权限。CloudKnox于 2021 年被微软收购，之后被纳入 Entra 套件。

CIEM 工具（类似 CSPM 工具）可以识别整个 IAM 设备中的策略漂移，并且与 CSPM 不同的是，它可以动态重建和编辑组成员身份，以更好地反映组织内的使用模式。CIEM 和工作负载身份正在与 PAM 和 IGA 融合，因此很少看到只专注于其中一项而没有计划扩展到其他领域的供应商。微软表面上将 CIEM 视为非商品，因为 CIEM 功能包含了客户升级到最高端 Entra 计划时获得的大部分高级安全功能。

资料来源：Gartner，2021 年 6 月 CIEM 创新洞察

许多 CNAPP（端到端云原生应用保护平台）供应商都将 CIEM 视为其现有套件的一项功能。Zscaler、Wiz、Palo Alto Prisma 和其他一些云套件都提供了 CIEM 产品。最终，无论用户是否能够查看容器运行时（例如 Sysdig、Upwind 等）或云的整体状态，他们都在收集大量的容器和云日志，这些日志有助于解答谁在访问哪些资源以及他们是否应该访问的问题。对此采取一些措施似乎仍然是身份识别产品的职责所在。

CIEM 实际上是 PAM 的演变，一些使用 CIEM 进行构建的公司包括Abbey Labs、CloudKnox（被微软收购）、Obsidian、Sonrai、Ermetic（被 Tenable 收购）等。

资料来源：Gartner，《CIEM 创新洞察》，2021 年 6 月

ReBAC，而非 RBAC

RBAC，即基于角色的访问控制，是指员工的角色（由其所属的组及其身份提供者提供的各种模板角色决定）决定其有权访问的应用和服务。自 Novell 以来，世界一直采用这种访问控制方式，微软也延续了这一观点。随着基础设施的扩张以及用户希望访问的应用和服务网络的不断增长，一种新的授权框架正在被越来越多地采用：基于关系的访问控制，简称 ReBAC。

Graham Neray和 Oso 团队撰写了一篇关于 ReBAC 的精彩解释文章。他们概述了以下示例：

资料来源：Oso

假设我们要评估：Alice 是否被允许编辑 Anvil 仓库？我们首先要找到 Alice 与该仓库的所有关系。现在，我们可以通过遍历整个图并找到所有路径来实现这一点。

我们在上图中表示的数据是：

（Alice，管理员，Acme）

（Acme，母公司，Anvil）

（Anvil，父级，问题#412）

（鲍勃，嘉宾，Anvil）

（Alice，所有者，问题#412）

我们从与 Alice 相关的任意关系开始，然后从源遍历到目标：

Alice -> Acme 管理员

Acme -> Anvil 的父级

因此，Alice 是 Anvil 的维护者”

谷歌在 2019 年的一篇题为“桑给巴尔：谷歌一致的全球授权系统”的论文中介绍了其管理地图或 YouTube 等大型在线应用程序基于关系的授权的方法。

这篇论文还提出了一个相当通用的框架，Carta、Airbnb和 Segment 等公司都已复制该框架。其理念是利用应用程序中已有的数据。以 Github 为例：如果用户提交了一个问题，该问题与 Github 中某个位置的某个问题表关联，并包含一个所有者字段，可供访问。如果能够在各种选定的应用和服务之间获取此类数据，并且能够使用 gRPC 或fRPC高效地完成此操作，那么整个操作就可以扩展到更多应用、更多用户和更多并发访问请求。

存储每个关系都需要大量的关系元组。谷歌存储了数万亿个关系元组来支持 Zanzibar。在谷歌的案例中，这些数据库中的每一个都被缓存并在全球范围内复制。Zanzibar 不执行任何强制执行（这取决于调用者），但提供了一个可用于执行关系的检查函数。

最终，ReBAC 是一种在应用程序中构建权限的更可行的方法。身份本身就是一个数据问题，除非能够轻松地建模应用程序中实体之间的关系，否则很难从应用程序中伪造 ETL 权限。一旦以这种方式对应用程序权限进行建模，解决授权挑战就变成了一个分布式图遍历问题。

Oso、ConductorOne 的Baton项目、Permify、AuthZed、Warrant、Cerbos、Permit、Styra和AuthDynamic均具有用于在应用程序中实现和建模类似桑给巴尔的权限的框架。

微软扩大了差距

如今，身份识别市场正处于一个奇怪的境地。供应商比以往任何时候都多，每家公司都在处理身份识别生命周期中的重要环节。然而，超过 60%的安全领导者认为，截至 2022 年 8 月，该领域正在整合。随着 CIEM 和工作负载身份识别等新兴且相对服务不足的类别不断涌现，但该领域的许多上市公司已被私有化，而唯一一家云原生上市公司正深陷高管更替的泥潭。唯一不变的似乎只有微软，它在大约 30 年前就开始了身份识别领域的统治，并且从未停止——Microsoft Entra 目前拥有6.1 亿月活跃用户，超过了LinkedIn、Twitter/X 和 Snapchat。

对于微软来说，身份安全只是安全领域的一个很小的组成部分，2023 年初，微软的安全收入超过了200 亿美元。人工智能 ( OpenAI )、端点安全 ( Defender ) 和云安全 ( Sentinel ) 无疑是更大的业务，但微软向这些产品的客户交叉销售身份管理（反之亦然）的能力，抑制了竞争对手在身份管理类别中的增长。重要的是，身份管理是所有其他安全业务的核心记录系统。如果您可以识别用户、工作负载或设备，那么您就可以更好地分析他们在端点、网络、SIEM 甚至开发人员供应链中的活动。从逻辑上讲，如果用户在成为 Azure AD 客户之后再购买微软的其他安全业务，它们的表现应该会更好。

机器身份管理作为当今的增长载体

身份市场经历了四个不科学划分的阶段：

• 第一阶段：网络层的访问管理（Novell）与操作系统/应用程序层（Microsoft）的较量，最终 Microsoft 获胜。
• 第二阶段：身份治理、自动化工作流程和特权访问管理，产生了 Sailpoint、CyberArk、Ping 和 ForgeRock 等赢家，但微软很快就适应并发布了自己的产品。
• 第 3 阶段：将目录和身份工作流转移到云端，在微软开始关注 Azure AD 迁移之前，Okta 一直占据主导地位。
• 第四阶段：专注于保护机器身份，并使用机器学习对访问请求进行即时判断，从而抽象出复杂性。多家初创公司正在角逐这一领域，而微软在这方面拥有最强大的功能。

第一阶段和第二阶段已成为历史。第三阶段即将结束。那些原本计划将目录迁移到云端的公司已经这样做了，而那些尚未迁移到云端的公司，由于没有像 RSA 和 Oracle 这样的供应商，目录足迹也变得非常复杂或规范。这些公司很可能正在使用 Office Suite 而不是Notion，使用 Teams 而不是 Slack，因此它们自然会成为微软的攻击目标。

第四阶段能否取得重大成果，还是这些产品仅仅会成为更广泛的身份套件的功能？从机器身份相对于传统身份目录的不透明性、云架构日益增长的复杂性以及微软按身份计费的模式来看，机器身份似乎非常有价值。机器和工作负载身份可能会比传统的以人为本的IT身份产品创造高出一个数量级的收入，但这些收入的大部分也可能流向处于复杂性两端的云计算超大规模提供商（他们构建复杂的服务，并销售身份产品来帮助你降低复杂性）。

由于 authN 取代 authZ，授权在历史上只占身份验证支出的一小部分。除非计算机交互方式发生巨大变化，否则尚不清楚什么因素会改变这一趋势。

资料来源：Contrary Research

六个盲人

有一则古老的寓言故事，讲的是六个盲人在森林里偶然遇见了一头大象。故事大致如下：

身份安全是一个显而易见的隐患，而盲人代表着每家试图解决表面问题而非整体问题的公司。一个运作良好、统一的身份安全解决方案，对于现代企业来说，如同白内障手术一般。这种需求源于两个关键驱动因素。

首先，谁拥有目录，谁就拥有公司。仅此而已。如果攻击者获得了身份提供者的访问权限，他们就可以潜伏下来，慢慢创建新的角色、新账户和新域名，而这些对于任何阅读审计日志的人来说都是完全正常的。与此同时，攻击者可以窃取数据，编辑权限以查看更多数据，并造成严重破坏。

其次，有了对身份的深入了解，所有其他安全攻击面都能得到更好的保护。例如：

• 端点安全：端点保护的演进（首先是防病毒，然后是威胁检测和响应）源于难以协调谁在做什么活动。移动设备管理、欺诈预防和生物认证从IT团队的角度解决了这个问题，但这些数据仍然难以与端点数据统一。因此，大量的监控代理被部署在端点设备上，目前平均每台设备安装了近12个代理，每个代理的数据集相互重叠且相互冲突。
• 云安全：在处理云安全问题时，从代码到运行时管道的每个阶段都需要丰富的身份信息。例如，哪个开发人员想要访问哪些资源、推送了哪些代码行、集成了哪些 GitHub 操作等等。然而，在云基础设施的蔓延中管理特权开发人员访问权限仍然并非易事。因此，云安全领域增长最快的产品是包罗万象的 CSPM，它们可以查看其他地方发生的数百条警报，但无法了解谁可以访问这些漏洞以及如何轻松修复这些漏洞。

身份数据需要成为紧密反馈回路的一部分，它与来自端点、API、云服务、容器等的数据流相结合，然后发送到某个通用授权层，以动态判断是否应该允许某事发生。

然而，物理层面却成了一个障碍：目前还没有一种简单的方法能够在不引入难以忍受的延迟的情况下实现实时执行。逐步实现这一目标意味着需要处理受保护操作/资源的执行，甚至比实时执行更慢（例如，开发人员尝试启动集群时等待 30 秒，总比等待 IT 部门批准访问请求两个工作日要好），同时还要维护一个更加丰富的历史交互图谱，以支持未来的判断。

当前一代身份威胁检测与响应 (ITDR) 公司似乎正在构建这样的未来。例如，Crosswire 使用专有的 IdentityGPT AI 模型来处理来自各种来源（HRIS、UCaaS、IdP 等）的数据，然后判断某个帐户是否可能已被盗用。一家拥有包括帐户保护、检测与响应以及增量授权在内的全套解决方案的公司，可能意义非凡。

Oort（已被思科收购）和Attivo Networks（已被 SentinelOne收购）在 ITDR 领域进行了创新。其他在该领域表现出色的初创公司包括Permiso、SilverFort、Spera Security和Authomize。

挑战者众多

大多数初创公司面临的问题是，构建这个通用授权层的很可能是微软，甚至谷歌云（如果他们能够成功将其安全投资产品化）也会是。如果不是超大规模企业，那么 Crowdstrike 或 SentinelOne 都已表示对身份威胁检测和响应感兴趣，并且拥有强大的数据资源来支持其发展。如果不是终端企业，那么Wiz和 Palo Alto Networks 也同样如此，它们都构建了领先的云安全态势管理业务，通过配置良好的访问策略可以解决许多态势问题。如果不是云安全性能管理器 (CSPM)，那么像 Zscaler 和Netskope这样的安全应用服务器 (SASE) 供应商，它们已经拥有强大的私有访问业务，正在蚕食传统 VPN 公司。请参阅下面的附录，查看领先身份企业的功能比较。

尽管如此，与所有这些参与者相比，初创公司仍享有两大优势。首先，它们不受自身局限，可以放眼全局，洞察全局，从而利用现有企业认知上的差距。其次，它们能够适应并构建未来的威胁向量。

面向未来的身份堆栈

根据我们构建安全平台以及与安全领导者和企业家合作的经验，以下是有关身份堆栈未来的一些看法：

• 覆盖范围将提升：人们使用的大多数应用，尤其是消费者和内部应用，都不支持单点登录 (SSO)。社交登录更为普及，但员工要么被明确建议不要使用，要么出于账户恢复的原因不愿将社交 ID 关联到企业工具。像Cerby这样的公司可以通过 RPA 登录和权限信息进出应用，为用户提供类似 SSO 的体验。随着视觉模型的不断完善，我们还能利用这些流程做些什么呢？
• 永不构建权限：安全从业人员越来越倾向于停止在新应用程序中构建权限。这不仅后期维护麻烦，而且容易出错，风险也更大。建议使用Oso、Warrant或Permit等工具。这样可以让管理员更加喜欢你的企业面板。
• 让 AI 编写 IAM 策略：无论策略是用 Rego、OPA、Polar 还是其他语言表达，LLM 都特别擅长学习新语法，并能够表达原始授权策略。我们期望 IAM 控制台能够与 LLM 集成，以理解企业身份结构的上下文和意图，并与管理员协同生成对公司有意义的 IAM 策略。例如，以下是 ChatGPT 在 Polar 中创建一组 S3 访问策略的示例：

来源：ChatGPT

• 下一代 ITOps：BigPanda已建立起规模可观的业务，利用 AI 解决中断和 IT 问题。我们期待更具表现力的模型和 AI 数据堆栈技术（例如非结构化数据）能够赋能自主的 ITOps 平台，该平台能够以最少的干预来管理、调试和监控 IT/安全问题。
• 已验证凭证：2023 年末，Okta披露几乎所有用户都受到了数据泄露的影响，这凸显了中心化身份认证存在的问题。所有主流平台——谷歌、微软、Meta——都呈现出类似的风险特征。我们需要一种去中心化的方法，让用户自主管理身份，也称为自主主权身份。Microsoft Entra 已验证凭证是一个不错的起点，但对于非企业用户来说，它不太容易上手。
• 检索增强将继续存在，但 RBAC 以及对嵌入和向量存储的访问控制仍然相当困难，甚至在功能上不可能：随着底层模型直接与企业合作或托管和推理提供商将此功能纳入他们的平台，LLM 网关方法正在迅速商品化，因此StrongDM类型的访问播放器可能有机会与 AI 部署所需的向量存储和相邻技术配合使用。
• 代理身份：未来十年，我们预计企业架构中的人类身份将逐渐减少，因为人们依赖人工智能代理来访问和操作核心记录系统。很多方面都可能因此发生变化。例如，CIAM 需要大幅改进，才能允许代理注册新服务或授权访问应用程序、获取相关信息并采取行动。领先的消费者身份提供商（IdP）——Meta（使用 Facebook 登录）、谷歌（使用 Google 登录）和微软（使用 Microsoft/Github 登录）——很可能会推出自己的个人代理，这些代理已经了解我们的访问模式和权限。我们仍然需要赋予它们访问这些平台之外的新外部信息的权限。

身份已成为新的边界，并导致了一些灾难性的后果（根据2023年的一份报告，五分之四的违规行为源于身份问题）。要解决这个问题，需要大量的创新，无论是在平台超大规模层面，还是在单个产品初创企业层面。

* Contrary 通过一个或多个附属公司对 Stytch 进行投资。

身份供应商的功能比较