创业公司JumpCloud的服务器管理工具掀起了轩然大波,当他们意识到他们真正拥有的是一个基于云的Active Directory替代方案,可以解决AD无法触及的所有资源——比如mac、平板电脑、Linux服务器和智能手机。有个足球雷竞技app《网络世界》主编约翰·迪克斯采访了JumpCloud的首席执行官拉贾特·巴尔加瓦,了解了他们的努力。
您最近重新定位了产品,以提供基于云的目录服务。告诉我们这是怎么发生的。
我们的产品有两个核心组件。一个是服务器用户管理,基本上控制谁可以访问服务器,如何访问,何时访问等等。第二个是服务器编排,基本上就是在服务器上执行任务。今年夏天,一些客户和潜在客户说:“如果你从另一个角度看待这个15度,你实际上是在解决一个非常有趣的问题。你们为今天的服务器创建了一个系统,可以对这些设备进行认证、授权和管理。如果你使用这三个词,认证,授权和管理,这就是Active Directory所做的。因此,如果你能够解决台式机和mac的问题,并开始更加跨平台,并将其放到云端,那么你就已经推出了下一代、基于云的Active Directory替代品。”
所以我们想
JumpCloud首席执行官拉贾特·巴尔加瓦
那真的很有趣。我们并没有打算这么做,但我们可以理解人们的需求。所以我们在夏天深入研究,开始研究谁在做一个基于云的目录。但我们找不到任何人将自己定位为“目录即服务”或基于云的目录,所以我们开始真正感兴趣。
显然,人们会担心,如果没人这么做,为什么他们不这么做?这似乎是显而易见的。我们不断地问我们能找到的每一位风险投资人和分析师,“为什么人们不这么做?”据我们所知,基本上微软在企业网络领域占据了统治地位,只是在过去的2年、3年、4年、5年发生了改变。Mac设备更加流行,Gmail入侵Exchange, AWS将所有服务器转移到云上,它更多地基于Linux而不是Windows。
所以我们认为这是一个时机问题。如果您在四五年前启动了一个基于云的目录,那么您将直接运行到Active directory,并且没有真正的理由进行更改。但是今天,IT基础设施的许多组件都需要连接到目录,因此它提供了一个有趣的机会。我们在9月下旬发布了这一定位,在理解和理解方面的差异立刻显现出来。
你现在只做这个吗?你放弃服务器管理了吗?
不。产品的功能没有改变。我们有服务器用户管理,我们有服务器编排。所有这些功能仍然在那里,只是作为一个目录定位不同。如果你仔细想想,Active Directory的核心组件之一是一个编排的东西,他们称之为组策略对象(Group Policy Objects, GPOs),这是管理员控制和管理设备的方式。我们也有。我们只是叫它不同的名字。我们的产品和活动目录的核心部分是。
如果你试图构建下一代Active Directory,你必须能够在设备上执行任务。这就是我们的服务器编排如何演变成我们所说的设备管理。实际上,所有的功能都还在产品中。主要是我们对它的定位发生了变化。
当我们和人们谈论“目录即服务”时,他们马上就明白了。他们知道我们属于什么类别,知道我们在做什么,即使我们今天做的功能是一样的。
那么,您看到人们在使用Active Directory时遇到的问题是他们需要支持的资源范围?
正确的。他们正在为人们需要的所有资源而挣扎。如果您有AWS服务器,它将成为一个单独的目录或手动管理。如果你有Gmail,那是在Active Directory之外。如果你有Mac或Linux设备,这些都在外面。如果你有iphone和平板电脑,这些都不在Active Directory目录下。Active Directory用来控制的东西的数量几乎是100%。今天是一个不同的故事,所以问题是,“it如何管理所有这些资源,并让员工可以使用它们?”
您希望有一个中央目录,因为您希望控制一个中央ID。你不希望在AWS中创建一个ID,然后在Gmail中创建另一个ID,你不希望单独创建一个ID,或者为你的Mac设备管理一个单独的ID等等。
在你的世界里是怎么运作的?每个目录调用都到你的云上?
不是在所有情况下,但在很多情况下,auth会来找我们,但你也可以保持auth在本地。我们有一名特工在当地工作,这也给了你生存能力。但这个想法是,你有这个基于云的系统,它遍布全球,如果你需要认证,你只需要认证离你最近的东西,它可能在你的设备上。
我认识的一个想要离开Active Directory的用户说这很困难,因为它已经渗透到所有东西了。这对你来说是不是一种挑战?
在大公司,这将是一个挑战。这就是为什么我们要做一些事情。一是我们有一个活动目录桥接器。桥实际上可以和AD一起工作,就像他们现在拥有的那样,但是开始集中控制AWS, Mac设备,Linux设备,所有这些东西。
所以你可以把AD和今天无法企及的东西结合起来。
正确的。我们把它纳入考虑范围。Active Directory仍然是权威目录。现在它可以扩展到其他任何东西。这是事情。第二点是,在5万到几千人的小型组织中,他们更容易搬家。它们要么没有目录,要么使用谷歌Apps,要么使用LDAP,所以切换它们很容易。或者,如果他们正在使用AD,它可能不像你提到的情况那样根深蒂固,而且对他们来说退出会更容易一些。
随着时间的推移,我认为连接到广告的东西会继续减少,因为你正在切换到Gmail,你正在切换到更多基于网络的应用,所以我认为这一趋势对我们有利。显然,有些地方对这种方法不感兴趣,而且从安全角度来看,有些人会害怕将目录放在云中,所以他们也不会这样做。
你如何解决这个问题?
我们做了很多事情。一个是,显然我们很关心加密确保身份被哈希和控制。我们还建立了一系列的网络安全层,我们还创建了带有API密钥和连接密钥的层。你得有几个标识符才能跟我们确认。所以如果你在云里有一个应用程序或服务器他们会得到这些密钥,如果你愿意,没有它们,你的用户永远不会和我们联系。我们用了多层来保护所有基于云的东西。
您的工具经得起法规的考验吗?
我们还没有认证自己,但我们正在进行认证。事实上,我们认为我们可能是一个更容易的选择,如果人们在处理合规规定,如PCI,因为这样人们就不必自己处理所有这些事情。他们可以雇我们来做。我们的长远愿景是,目录在云中实际上更安全,因为我们有安全层,但也因为我们将能够检测到身份上的妥协。这是我们人生道路的一部分。如今,目录没有内置的安全性。他们可能有加密,但当身份被泄露时,他们不会察觉,我们认为这对我们来说是一个很大的机会。
有没有什么合规规定是你无法满足的?
唯一一个我们完全回避的,我们不会花时间的,就是国防部,军事部门。有趣的是,我们在AWS Re:Invent的时候,一些国防部的人说,“不,你真的应该看看它。”我们过去和军方合作过,所有东西都必须是预先准备好的,安全的,密封的,等等,所以当他们来的时候,我们说,我们不是一个好的解决方案。但他们说:“不,不,不,你不明白。我们正在改变。”我们对此有点怀疑,但我们会看到的。
我们还没有花大量的时间在所有的规定上,但我们会随着时间的推移。我看不出有什么重大问题。这只是工作。
就目标公司的规模而言,是否存在一个最佳平衡点?
一开始,有几百人,可能有一千,两千人。我认为这将是最佳时机。而不是大小,它将是拥有mac,使用AWS或Gmail的人。这些对我们来说是很好的目标,因为他们已经迈出了云计算的一步,他们已经有了广告无法控制的东西。
你还有什么要填的吗?你现在需要的东西都准备好了吗?
还有很多东西要填。我们有这个核心目录,我们有一些主要协议,但我们想用所有主要协议来围绕它。我们有LDAP。SAML。我们会做Kerberos;我们会使用所有这些不同的协议任何类型的应用程序或设备需要验证,我们都会支持那个协议。
所以你不是基于LDAP的?
该数据库不是基于LDAP的,但我们公开LDAP,因此您可以通过LDAP与我们进行身份验证。我们围绕专有数据库构建的部分原因是,我们想用所有的开放协议来围绕它。如果我们基于LDAP,那么问题是如何将它与Kerberos挂钩?如何将它连接到SAML?你怎么把它连接到IWA?你怎么把它连接到半径,还有其他东西上?
所以我们说,让我们建立自己的然后我们会为我们需要的协议建立接口。这不是目录所做的。实际上有两个目录。还有AD,它实际上是基于LDAP和Kerberos的。然后是LDAP,它显然是基于LDAP的。没有人说过,“让我们构建这个目录,给你每一个主要的协议,作为一种验证和控制的方式。”如果有人构建的应用需要OAuth2,很好。您可以通过OAuth2与我们进行认证。或者有人构建了一个基于LDAP的。太好了。 Use that. That’s the thinking.
目前LDAP的渗透情况如何?我猜这只是广告基数的一小部分。
我和你一样不知道。我们听到的数字是AD是90%,LDAP和OpenLDAP大约是10%。谁知道呢?令人惊讶的是,广告占主导地位。这是一件无声的事情,他们不谈论,但在过去的15年里,他们在目录端创造了巨大的垄断目录端非常重要,因为它将每个用户连接到理论上所有的It资源。哪个软件有那么重要?而不是太多。你开始思考这个问题,然后你就像——天哪!
你怎么进门的?你的电梯推销是什么?
这取决于你在和谁说话,但基本上我们的卖点是,我们做的是目录即服务。就是这么简单。所有人都在转向基于SaaS的服务。那么,您是想考虑将目录移动到基于SaaS的服务,还是使用基于prem的硬件、软件和所有令人头痛的管理?您可以将其作为托管服务移动到云中。这是第一个观点。
然后我们会问:“你们有AWS吗?或者你们有云基础设施吗?你们有mac吗?你们管理它们吗?你们有Gmail吗?”然后我们就会深入探讨,“你们如何管理平台上的用户?如何管理AWS用户?”如果他们说要手动或使用Chef或Puppet或其他什么,我们会说,哦,天哪,难道你不想把它绑定到核心目录吗?这很难,但我们会让它变得容易。”
或者,“你有Gmail,你有AD -prem。你为什么要搬出去?你为什么不试着把广告搬出去?“嗯,我们没有替代AD的选择。”“你想保留AD吗?””“嗯,没有。我们希望完全置身于云端。”“好的。如果你想完全置身于云端,这里有另一种方式可以将更多内容转移到云端。”
关于联邦目录的讨论怎么样?你是如何适应这种讨论的?
我们的观点是,是的,你绝对需要把身份与你需要的所有IT资源连接起来。有些人把它叫做联邦。我们基本上说,你必须有一个目录,如果它是权威的,它必须存在于某个地方,你必须能够将它连接到所有的it资源。人们常说“我把我的广告联合到AWS上。”我们同意你需要这么做。或者,“我正在将它与所有基于web的应用程序绑定。”是的。你也需要这样做。也有像单点登录的玩家在基于网页的应用中做到了这一点,但这只是每个人都需要的资源的一小部分。他们仍然有他们的设备,他们仍然有内部应用,他们仍然有他们需要管理的服务器,所有这些东西。
你是怎么卖的?
基本上都是在线的。我们也有内部销售,但基本上是网上销售。你可以进来,我们给你免费的10个用户,这样人们就可以习惯它,然后再决定它是否适合他们。
是按座位收费吗?
是的。每个用户每月10美元。如果他们有很多用户,我们就会给他们一个固定的价格或者折扣。买得越多越便宜。
你认为这与内部广告的成本相比如何?
我们有一个计算器是我们和一个刚注册的客户一起设计的。他们的观点是,我们的价格肯定是差不多的,可能更便宜,甚至超过3到5年。我们用它们做了计算器。非常酷。