当前,不断增长的网上交易以及云计算的广泛应用,加上企业成本所带来的压力,使得亚太区企业开始尝试“认证即服务”型架构。但是很多企业对这种模式还存在着很多顾虑。
业内人士表示,亚太地区云计算的增长和企业节省成本的需求将推动认证管理服务的不断发展,但是在服务可靠性和用户公司控制方面还存在着一些隐患。
ZDNet Asia 记者近日通过邮件方式采访了IDC亚太区资深软件市场分析师Naveen Hegde,他表示,在新技术比如云计算技术的环境下,企业不断增长的安全意识和访问控制安全性需求的增长,使得认证成为了安全组件中相当重要的组成部分。
Frost & Sullivan 亚太区ICT研究员AlizaShima也赞同这一观点。他认为,亚太地区企业对云计算的采用率上升,推动了企业对于认证即服务(AaaS)的需求。他表示,很多企业已经意识到需要为业务配备一套强大的认证系统,但是同时他们又不希望在这方面花费过多的经费。要在企业内部建立一套完整的认证系统,需要花费巨资,并且投入大量的人力和时间,建成后还需要专人管理。
因此,Shima说:“在当前的经济环境下,选择托管型的认证解决方案可以帮助企业降低运营成本(POEX)以及总体拥有成本(TCO)。”他还表示,很多企业实际上还不具备合格的技术人员可以承担建立企业内部认证系统的能力。
来自政府和银行业的动力
Shima表示,银行和政府机构是最大的托管认证服务客户。其次是零售商,制造商以及服务供应商,他们都是AaaS的主要客户。
Data Security Systems Solutions (DSSS)的CEO Tan Teik Guan引用了新加坡政府的SingPass 作为企业使用托管认证服务的例子。SingPass为每个新加坡市民和企业制定一个ID号码和密码,通过这个ID号和密码进行与政府电子办公相关的业务,管理方是新加坡本土IT公司CrimsonLogic。他还补充说,作为一个国家策略,新加坡还在实施国家认证框架(NAF),这是一个针对在线服务的全国性的强大的认证服务平台。DSSS则获得了设计、建设、运作和管理NAF架构的五年期合约。
Tan表示,金融行业使用外包的认证服务并不是什么新闻了,只是我们之前不了解罢了。Mastercard和Visa在多年前就开始在多家银行中使用认证服务进行在线卡和ATM交易的认证工作了。
British Telecom (BT) 上个月也发布了一个新的针对金融机构的托管认证服务,这个服务采用硬件或软件制造一个一次性密码,用于BT的客户和他们的消费者之间的身份验证。BT Security的经理Peter Gunning向V3.co.uk表示,该服务也可用于相关的金融领域,比如保险和零售领域。
但是IDC的Hegde却指出,“具有高敏感性的行业”,比如金融财务行业,最好还是选择传统的独立认证产品。
新加坡DBS Bank的电子商务和消费金融部门经理SandeepLal向ZDNet Asia的记者表示,该银行已经预定了托管认证服务,而他们对安全方面的担心主要集中在客户信息的保密、系统安全性以及服务的可靠性方面。他说:“如果服务供应商通过了全部关键性问题的评估,并且拥有良好的可跟踪的安全记录,我们就会将数据迁移过去。”
DBS还补充认为,由于供应商更有可能成为黑客的攻击目标,因此托管服务也面临着“风险增加”的问题。DSS的Tan对此表示赞同。他说:“从某种角度说,越成功的认证服务供应商,他的认证服务越有可能‘不安全’。”
Frost & Sullivan的Shima同时表示,在认证服务方面缺乏控制,是一个主要的问题。比如,一旦某个服务供应商突然倒闭,那么企业将无力接管认证服务,或者不知道该如何对客户进行认证。
另外,IDC的Hegde仍然认为AssS市场现在还不是很成熟,对于认证托管的需求还不强烈。他表示,托管认证服务在未来一段时间内还将继续发展,作为多层级安全平台的一部分继续工作。
在认证服务供应商方面,Tan认为,大型的社交网络公司或内容供应商,比如Google和Facebook,可能更适合在全球范围包括亚太区提供AaaS服务,因为他们本身的客户量就已经相当庞大,并且也在使用OpenID和OAuth这样的技术。但是要让大多数企业接受“认证即服务”的新观念,还需要相当长的一段时间。