IAM未来仍是数字化转型和信息化重构升级的重要抓手。
Gartner于2023年底发布了"2024年及未来中国网络安全重要趋势",共提及七大核心板块,与IAM强相关的板块包括"身份优先安全"和"零信任采用"。
目前我国正处于数字化转型和信息化重构升级重要阶段,IAM作为数字身份抓手,同时作为网络安全防护建设的重要工程任务,未来10年甚至更久,IAM市场必将更加有所作为。其驱动因素,主要有以下几点:
国产化进程提速
现如今,各大企业仍然使用微软AD结合IBM的身份认证产品来实现身份目录服务、桌面管理、身份认证等能力,随着国产化进程的加速,尤其是2027年之前"2+8+N"重点行业需完成全面替代、应替尽替、能替尽替等建设任务。而IAM身为企业数字身份基石,在信创替代中被划分为全面替代的范畴,同时国外身份管理系统逐渐无法适配国产化异构 IT 环境。因此在2027年之前,属于"2+8+N"领域的行业客户,将全面完成IAM国产化替代工作。
数字化转型过程中的刚需
在当今社会,政府和企业都在快速推进数字化转型,过程中需要对组织身份的管理模式进行升级。数字身份作为物理世界与数字世界连接的桥梁,能够加速产业生态圈的整合,并成为构建持续安全防护体系的基础。通过统一身份认证建设,可以实现数字化时代信息的有效整合,构建一个资源互认、关系互信、数据互通的数字化组织互动结构,从而更好地推动组织的数字化转型。
全域身份治理
从行业发展的态势来看,统一身份认证管理已经不单单是针对企业员工的数字化身份进行有效管理,正在逐步扩展至上下游合作伙伴、渠道商、供应商,甚至是API接口、IoT设备、PAM特权访问管理等,均属于统一身份认证管理体系的管理范围。因此未来企业将更多的围绕全域身份治理展开身份建设工作,实现集团化身份中台,赋能企业全域资产数字身份。
企业将优先考虑以身份为中心的零信任
传统的网络安全防御模型是"以边界为核心"的防御架构,然而随着信息化和数字化的发展,去边界化已经越来越明显,企业业务系统上云、移动办公等场景均打破了原有边界防御理念的防御机制。而零信任理念的提出,可以完美解决这一问题,强调"以身份为核心",将原有的管"边"、管"端"、改为管"人"、管"权限"。
"Gartner将零信任定义为安全范式,可明确识别用户和设备,并授予其适当的访问权限,以便企业能够以最⼩的摩擦进行运营,同时降低风险。零信任可以作为一种安全方式或范式、一种战略或某些特定架构和技术实施加以应用。"
在以身份为核心的零信任模型中,身份成为安全的基础,这意味着强身份(已知用户和设备)、强身份验证和动态授权。零信任采用持续自适应信任的形式,公司实时监控用户的生物识别、行为和基于上下文的数据,根据策略持续确认用户的身份和访问权限。
从整个国内网安产业上看,零信任在发展上一方面遵循国际上统一平台型产品的发展策略,进而希望将其打造成为预期当中的零信任安全整体架构,这一部分厂商始终坚信零信任未来的无限可能性,并不断集成更多的技术用例,以打造客户侧整体架构型的安全基础设施,使其满足企业对数字化业务的全面的安全保护需求,且全面满足合规遵循。
在解决落地问题方面,专注于零信任实践的创新厂商除了技术平台化发展策略,同时通过微服务、模块化架构,以满足国内甲方客户不同业务场景、不同IT发展阶段,以及零信任整体落地不同阶段下的规划需求。而甲方也从早期的技术关注,到技术了解,开始大范围尝试落地零信任应用,从现有零信任项目观察来看,其未来仍有极大的市场潜力。