【干货分享】竹云董宁：SaaS城堡：天空中的城堡成为现实

　　2018年1月21日，由中国新一代IT产业推进联盟指导，CIO时代学院与北京大学软件工程研究所联合主办，CIO时代APP承办的“第八届中国云计算应用论坛”于北京大学成功举行。来自北大CIO班和CIO时代学院学员、央企CIO论坛成员、金融CIO论坛成员及特邀嘉宾近200人出席了本次活动，共同就主题“SaaS时代的创业创新” 展开了深度的研讨与互动交流。竹云荣膺“2018中国最值得关注的十大SaaS厂商” 荣誉，据悉此次奖项是通过行业专家多轮评选和网络在线投票完成。董事长董宁作为IAM身份管理行业领先代表，在论坛上就云环境下的安全与便捷性问题作了“天空中的城堡成为现实”的精彩发言。

　　过去我们可能常听到身边人说“不要幻想那些不可能的事情”。英文也有类似的表达：“don’t dream about or build castles in the clouds”（“不要梦想在云中建筑城堡”）。因为在云中建筑一座城堡意味着梦想一个不切实际且难于成功的计划。

　　我们知道亚马逊的创始人杰夫·贝佐斯从少年时就着迷于云中的太空漫步，而那时很多人告诉他“不要梦想云中的城堡”。还好他一直坚持于自己的梦想最终一步步实现。过去的20年中，我们欣喜地看到科技让人们梦想的很多事情成为现实。我们先看云服务构建主要有几个层面，包括IaaS、PaaS、SaaS。云硬件简单可以理解为IaaS，基础设施即服务；云软件讲的是SaaS层面，是软件即服务；而软、硬件产品与技术服务的完美结合就是PaaS，即云平台层面所整体展现的云服务能力。

　　当竹云团队8年前就开始专注于IAM身份管理与访问控制领域时，伴随着IaaS基础设施即服务的云计算开始发展。当客户关系管理、人力资源、存储等SaaS服务逐步开始出现时，那时我们会听到有关大企业不适合使用SaaS服务的种种理由。大企业虽然关注运用SaaS所带来的各种管理维护、采购和安装成本的大幅降低，但其始终存在的顾虑是：安全和稳定性问题以及对现实环境的适应性和用户体验。首先最重要的第一个问题是安全和稳定。企业需要信任第三方没有窃取他们的数据，而且需要这些SaaS供应商提供99.99%的正常运行时间。

　　现今，显而易见通过技术的不断进步，安全和稳定方面的问题被逐步克服了。我们已看到一些PaaS提供商如亚马逊、浪潮、华为、金山云的收入在持续增长，更多的SaaS服务提供商收入也呈快速增长趋势。第二个是更为复杂的问题，目前许多企业仍然无法有效解决，比如如何一键赋能给予人员同时开通内部特定权限的系统以及SaaS应用服务，提高用户体验；更重要的是在人员离职时如何一键回收其所有在内部及云端的访问权限，对用户访问权限的管理实现自动化控制，以避免手工操作造成的遗漏账号、违规私建账号等安全后门隐患。由于大企业拥有成千上万的内部员工以及外包人员、供应商、客户等多种不同角色的人员，同时这些人员在组织中存在动态性流动的现象，使得企业用户访问权限的审批与流程管理变得繁琐低效。另外，不断增加的SaaS应用仍然如多数企业当前的内部环境一样，存在大量信息孤岛，“线下孤岛与云端孤岛并存“成为当前国内信息环境的现状，从而让安全、便捷的SaaS服务犹如天空中的城堡成为不切实际的计划。

　　这里，引用着名哲学家戴维·梭罗的一句话：“如果你的梦想宏大就像是天空中的城堡，请不要放弃，因为梦想本应就是宏大的正如天空中的城堡。你须要做的就是筑好坚实的基础才可能实现。”（“If you have built castles in the air, your work need not belost; that is where they should be. Now put the foundations under them.”）

　　为了让“云中城堡”成为现实，有效解决云环境下的安全与便捷性问题，IDaaS身份管理即服务，作为云环境中的平台级服务应运而生。在如今瞬息万变的信息化时代，无论是政府、企业还是个人，除了自身所积累的优势资源，信息的流通速度和能否有效应用已然成为竞争优势的关键条件。因此，对所有内、外部系统的统一身份安全管理成为安全、高效云平台的核心基础。我们须要确保知道是什么人，在何时间，访问了哪些云端应用，以及对用户通过手机、iPad等不同移动终端进入云平台的访问行为进行安全、便捷地管理。

　　下面，我们重点看下“竹云城堡”给予企业客户和SaaS服务提供商所带来的核心价值。“竹云城堡”作为高效连接企业客户以及各类型SaaS服务商的安全枢纽，提供安全便捷的统一平台入口服务。对企业客户而言，可以用多租户的服务方式打通企业现有不同类型的SaaS应用孤岛，实现云用户的统一授权、统一登录、统一访问控制、统一安全审计等服务。

　　这里，我要重点强调的是，如果仅仅是管理云端应用是相对容易的，因为对于新兴发展起来的云应用来说基本都有现代的标准、协议或API，因而较容易连接或集成。而实际上更具有挑战的是与内部应用打通以及如何将内部应用与云端应用进行统一的身份安全管理。为什么这样的场景远远难于仅是对云应用的认证管理？这是因为一些大企业的行业特色应用是在不同时期使用了旧的不同标准或没有标准。许多系统仍然运行在Unix、Linux或Windows的旧版本上，因而需要企业通过建立众多健壮的连接器来打通信息孤岛，而这些连接器与平台的适配性开发则需要丰富的开发与项目管理经验以及多年深厚的技术积淀与大量的性能测试。因此，需要通过云身份安全管理组件、智能风险引擎以及数据脱敏等创新技术实现内外部应用访问的无缝融合，从而帮助企业不仅能够高效地运用不同SaaS应用服务的业务能力，而且可以将认证源及数据存储依然存在客户本地环境。另外，在当前多数企业存在混合云部署环境下，一部分应用系统部署在本地或者私云，一部分部署在公云，“竹云城堡”可以为企业提供用户仅输入一次账号密码就能够高效登录本地和云端不同应用的安全服务，并实现跨平台系统访问权限的流程自动化控制。

　　对于SaaS服务提供商来讲，入驻“竹云城堡”不仅安全、快捷，而且可以帮助节省品牌推广及平台运维服务的成本，更重要的是通过入驻“云城堡”让SaaS应用不再成为孤岛。具备更强的可信度，在行业形成优势互补，共同为企业客户提供便利、安全的云服务，有效提高云应用在安全与便捷方面的可信度，从而大幅促进销售。

　　尤其结合当前国内现实的信息化环境，一个合格IDaaS供应商，须要证明他们是否具备企业内部应用系统集成的大量成功案例与丰富经验，同时也须要拥有能够打通系统孤岛的众多成熟可靠的“连接器”以及智能风控引擎+融合认证的安全组合功能，以实现企业内外部系统的无缝融合，从而为企业顺利迁入云端提供最佳安全、实践的路线图。

　　我们需要的不仅仅是一个SaaS服务的普通超市或购物中心，而应该选择的是一个能够在企业混合云部署环境下的深度防御体系，这也是今天我所介绍的竹云城堡所独特的优势与核心竞争力。欢迎更多的伙伴一起携手在未来云服务发展的道路上实现共赢。最后，有请我的同事就竹云城堡的运行环境以及在智能风险引擎、内外部融合等创新技术做演示。谢谢大家！