身份认证对企业来说是一种保护数据的方式。当今许多企业基于云端部署业务时,由于没有终端防火墙的保障,需要以其他手段阻挡外部人员的恶意访问。并且当业务扩大,企业还需要协同越来越多的合作伙伴,账号密码等身份认证资源也会有暴露的风险。于是,在云时代使用可靠安全的身份认证手段保护数据,愈发成为B端的刚需。
36氪最近接触到的一家初创公司——蒸汽记忆,通过提供身份认证云的方案解决上述问题。在公司创始人谢扬看来,基于无服务器的身份认证云可以为企业解决三个问题——研发模式现代化改造(从烟囱式开发到微服务模式转变)、组织管理安全性转型和生产力助力(降低开发成本、降低运维成本和降低伸缩成本)。
在此之前,先简单解释一下无服务器的含义。传统的云模式需将存储和网络部分迁移到云中,但仍需通过虚拟机远程访问和监控。无服务器模式是将所有服务器管理(包含弹性伸缩)外包给云服务商,使得开发者只需要上传一个代码片段即可完成项目的上线和部署。对于开发者来说,编写代码完全基于云原生的环境,开发即交付,模糊了开发与交付的界限,降低了运维成本。对企业来说,带来了更快的产品上线时间,以及更能专注于开发和部署的应用程序。总体而言,技术问题交由第三方处理,而企业自己则专注于交付。
云计算的发展趋势图片来源:受访者提供
将这套理念用在身份认证云上,同样可以为企业降本增效。蒸汽记忆希望将这套身份认证云方案赋能给各种有需要的客户,让客户通过调用SDK、API的方式来对自己的用户、员工,或者IOT设备进行认证和授权。对蒸汽记忆的客户而言,一方面和其所服务的其他客户共享了设施,降低了支出费用,另一方面由于身份认证常只是企业开展业务中的一小部分,所以将这部分外包出去也是一种聚焦核心业务的手段。并且无服务器的优势之一是其弹性拓展能力,这对企业而言意味着不用支付为保障弹性伸缩而配置的其他计算资源费用。
使用身份认证云(蓝色线)与不使用的成本比较图片来源:受访者提供
在身份认证的安全技术上,该公司也采用多因素认证、非对称加密、零信任模型等手段保证安全,这点和其他公司并无不同。但其公司的主要优势有三,首先在认证信息的交互中共会有许多种协议,蒸汽记忆让协议互联的方式做到尽量简单、可配置。第二在于高拓展性,由于这样一套方案需要同时提供给多家客户,该公司平台的业务系统是针对支撑数10亿用户设计的,这对其自身的系统架构扩容性、日常监控等方面提出了高要求。第三点是对其员工的考验——其产品的主打特点之一是开发者友好,蒸汽记忆的工程师们具备理解开发者的使用习惯和痛点的能力。
目前,该公司的客户主要聚焦于用户量较大的非互联网企业和外资企业。客户的诉求主要有三点,首先是提高生产力,降低客户方重复编写程序的成本。第二是保证高性能,在用户量较大的情况下仍维持系统的稳定性。第三则是信息的安全保护,防止信息泄漏和被盗风险。这些需求可通过蒸汽记忆的身份管理云服务实现。
目前其获客主要通过在知乎等平台进行内容投放、口碑介绍等方式完成,产品已服务于8个国家和地区的三千多名开发者,共托管300多万用户。该公司通过按量计费和私有化部署两种方式获得收入,目前营收在百万级。谢扬预计,2020年其用户量可能会突破千万。
在服务B端的基础上,该公司的未来规划是让普通C端用户也能更自由地掌握自身数据。在谢扬的规划中,身份服务是这件事的开始,蒸汽记忆希望以后每个人都会拥有有一个POD,即个人的在线数据柜。有了这个在线数据柜,个人可以将自己的结构化数据(如个人在各大平台上的粉丝关系、聊天记录、工作日历等)和非结构化数据(照片、日记等)存储其中,这些数据可以通过POD授权给各种不同的应用,而不用像现在一样通过各种APP实现。换言之,数据是掌握在个人手中的,个人拥有数据的使用权,而非其他平台。举个例子,在目前情况下倘若一个APP封停了个人账户,那么他在APP上的内容和粉丝关系都随之封停。但如果数据掌握在个人手中,即使失去了在一个APP上的账户信息,那么这些内容和粉丝关系仍可跟随个人授权给其他平台。目前蒸汽记忆的规划是,先通过身份认证服务于B端产生现金流,再同时探索未来针对C端的落地。
POD 模式如何帮助 C 端掌控数据的示例图片来源:受访者提供
团队方面,该公司目前由十几人构成,研发团队和商业化团队各占一半。创始人谢扬曾在字节跳动负责一款日活过亿的 Serverless(无服务器) 产品的研发和设计工作。COO 晋剑曾帮助中国 45 万人免费学习编程,入选过福布斯中国 Under 30 和达沃斯全球杰出青年。CMO 许子强曾在日本攻读工商管理学士,精通中英日三语,拥有国际化视野和经验。负责增长的VP李宇航此前在爱奇艺负责数亿用户量产品的设计和增长策略工作。工程团队来自IBM、阿里云、滴滴出行等行业头部公司,可帮助公司为客户提供方案、培训以及支持交付工作。
蒸汽记忆提供给B端的身份认证服务对标美国的Auth0,该公司的客户可以通过调用API等方式在其平台上完成身份验证和授权等工作。Auth0成立于2013年,在2019年5月宣布已完成由Sapphire Venture Partners领投,Bessemer Venture Partners、K9 Ventures、Trinity Ventures等跟投的1.03亿美元的E轮融资。
C端用户对自身信息的掌控和使用权目前也已在一些国家落地。比如爱莎尼亚,该国有三个比较著名的数字项目,分别是“e-Estonia”,“X-Road”和“e-Residency”。e-Estonia是爱沙尼亚推出的数字国家计划的项目,使爱沙尼亚公民皆能拥有属于自己的电子身份证卡,用于服务公民在生活中的需求。这一项目的核心是数字身份,爱沙尼亚人可以拥有自己的电子身份证卡,从而提升自己的线上工作、生活效率。X-Road是爱沙尼亚的安全在线数据传输平台。这是一个去中心化的公共数据库系统,旨在打通爱沙尼亚政府部门以及重要的本地公用事业公司的数据库,实现关键数据在整个国家公共基础设施内部的互联和互通。e-Residency是该国政府向全世界公民开放的一个项目,该计划使世界各地的人们可以通过申请“电子居民”得到由政府认证、颁发的电子身份证号码,享受爱沙尼亚的部分线上服务。
根据“数字爱沙尼亚”专家Katrin Nyman-Metcalf的说法,爱沙尼亚比起其他政府并没有更多地采集公民数据的操作。在爱沙尼亚,如果官方需要获取数据只能在自己的工作地点获取数据库中既存的数据。而作为个人,注册成为X-Road的成员,就可以获取公共数据。而且系统会验证数据索取者的身份,并根据身份决定索取者可获取的数据权限。因为每一次对数据的访问都会留下印记,所以公民可以意识到是谁在什么时间获取和使用自己的数据。如果有所怀疑,公民有权利质询数据出于什么原因被使用,而有关部门有义务回答。