“身份与访问管理 (IAM)” 属于安全牛定义的发展市场。IAM 的技术框架很早就传入国内,但由于国内网络与信息系统普及和标准化程度较低,逐渐演化成运营商行业的 4A,以及具备国内应用特色的堡垒机等。但近年来随着国内信息技术的发展,对 IAM 的需求开始上升。
IAM 系统的核心目标是为每个用户赋予一个身份。该数字身份一旦建立,就必须对每个用户的 “访问生命周期” 进行维护、修改和监视。身份与访问管理系统 (IAM) 必须包含四个基本元素:集中账号管理、身份认证管理、授权管理、集中日志审计。IAM 的核心组成部分的产品形态,主要有统一身份认证、单点登录、账号及权限管理等。“身份与访问管理” 归属于安全牛全景图【身份与访问安全】的一级分类下。
入选本次 IAM 矩阵的厂商共 7 家,分别为:亚信安全、玉符科技、派拉软件、芯盾时代、竹云、安讯奔、九州云腾。
目前国内 95% 以上提供 IAM 整体解决方案的厂商具备 “特权账号访问管理 (PAM)” 的技术能力。从 IAM 及堡垒机厂商在 PAM 技术及市场的调研结果来看,目前对于国内厂商,一方面因 PAM 技术门槛较高,技术基本借鉴国外技术,再根据国内实际案例及行业特性进行开发和融合从而加快产品的市场化,另一面 PAM 技术本身对客户信息化水平及 IT 资产分级分类成熟度有一定要求,综合以上两点 PAM 技术目前在国内落地项目屈指可数,仅在IT环境较为复杂且信息安全风险较高的金融领域及运营商领域已逐渐开始有应用案例。
随着企业内部数据泄漏事件频发、企业云端 IAM 的管理需求增长、用户访问企业资源场景多样化,一些新兴技术已逐渐融入到 IAM 整体方案中,如:API 安全、UEBA(用户与实体行为分析)、CARTA(持续自适应风险与信任评估)、生物识别等。调研发现,目前行业成熟度和客户经验积累仍是国内 IAM 提供商的主要竞争力。而未来,IAM 将会逐渐向平台化、移动化、互联网化发展,而不仅局限于企业内部业务场景。
在国内IAM主要应用在运营商行业、金融行业及涉及复杂业务系统的企业事业单位,本地部署和定制化是依然是大型高端客户的主要需求。随着云和 SaaS 应用的发展,中型企业面临云端 IAM 的管理需求也日益增长,目前国内云 IAM 主要应用于云业务提供商及中小企业租户,IDaaS 是其主要形态。
据统计,2018 年国内 IAM 市场约 7 亿人民币,云 IAM 市场占 IAM 市场总收入的 1/3,约 2.5 亿人民币。预计 2020 年国内 IAM 市场将达到 13 至 15 亿人民币。
三、Web应用防火墙 (WAF,Matrix)
Web 应用防火墙 (WAF) 属于安全牛定义的成熟市场,云 WAF 服务则属于发展市场。
WAF 是一款集 Web 防护、网页保护、负载均衡、应用交付于一体的 Web 整体安全防护设备,和防火墙的区别是,它是工作在应用层,主要对 Web 请求进行防护,有效阻止各类针对 Web 应用和 API 的攻击,如 SQL 注入、XML 注入、跨站脚本 (XSS)、自动化攻击(机器人程序)和应用层拒绝服务 (DoS) 等。Web 应用防火墙 (WAF) 属于安全牛全景图【应用安全】一级分类。
入选本次 Web 应用防火墙矩阵的厂商共 18 家,分别为:瑞数信息、长亭科技、安信天行、安恒信息、盛邦安全、奇安信、交大捷普、网宿科技、安百科技、东软、任子行、深信服、绿盟科技、阿里云、知道创宇、青松云安全、京东云、上海云盾。
Web 应用防火墙的技术核心是对 Web 入侵的检测能力。目前国内 WAF 产品技术能力包含:特征识别技术(语法语义分析)、机器学习、大数据分析、动态防御、RASP、威胁情报、容器技术和蜜罐技术等。WAF 产品的核心竞争力可以归结为三点:精确的威胁/攻击识别率、相关系统及设备的智能联动、规则数据库的保护和更新能力。
硬件 Web 防火墙为旁路式和串联式部署在 Web 服务器前,软件 WAF 为代理和嵌入式。据调研发现,对于安全需求较高的网站,如政府、金融、运营商多采购易用、稳定、高吞吐量的硬件 WAF 产品。而软件 WAF 需要单台服务器部署,占用内存过多,并可能存在影响正常业务和被绕过的风险,适合中小型网站。云 WAF 服务采用多租户模式、以云为中心,只需通过移交域名解析权就可实现安全防护,大大减轻了用户的运维成本,但对于一些数据保密级别较高的政企,数据上云是否存在数据泄漏风险,也是客户考虑的因素,国内云 WAF 用户更偏向于互联网行业。
腾讯云 Web 应用防火墙(Web Application Firewall,WAF)帮助腾讯云内及云外用户应对 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫等网站及 Web 业务安全防护问题。企业通过部署腾讯云 WAF 服务,将 Web 攻击威胁压力转移到腾讯云 WAF 防护集群节点,分钟级获取腾讯 Web 业务防护能力,为网站及 Web 业务安全运营保驾护航。