下載客戶端

登錄

2021年中國云安全行業(yè)研究報告

2022-02-24 17:36

來源：澎湃新聞·澎湃號·湃客

聽全文

原創(chuàng) 艾瑞艾瑞咨詢

云安全丨研究報告

核心摘要：

云安全發(fā)展

政策加速引導(dǎo)，企業(yè)上云提速是中國云安全市場發(fā)展的主要驅(qū)動因素。云安全發(fā)展相較云資源與云能力產(chǎn)品發(fā)展存在滯后性，中國云安全市場相較于整體云市場體量較小，增長空間廣闊。

云安全產(chǎn)品

從宏觀云安全市場分類看，“軟件定義”特征仍適用于云安全市場。當(dāng)前，云安全產(chǎn)品結(jié)構(gòu)仍以網(wǎng)關(guān)類產(chǎn)品為主，其他云安全產(chǎn)品市場份額較低。主要原因在于：1，互聯(lián)網(wǎng)行業(yè)客戶是云計算的主要使用者，因此對網(wǎng)關(guān)類云安全產(chǎn)品采購率高；2，伴隨傳統(tǒng)行業(yè)客戶上云加速，網(wǎng)絡(luò)安全從傳統(tǒng)“轉(zhuǎn)型”至云上，網(wǎng)關(guān)類安全產(chǎn)品亦成為投入重點。

云安全應(yīng)用

傳統(tǒng)企業(yè)在構(gòu)建云安全體系時，不能采用傳統(tǒng)的“頭疼醫(yī)頭”，局部補短板式的安全措施，而需從下至上，從全局到細(xì)節(jié)，整體化的設(shè)計安全體系，更注重底層安全資源及安全能力的積累，不要讓安全去追業(yè)務(wù)拓展的步伐，而要實現(xiàn)業(yè)務(wù)安全的拓展。

云安全展望

1）法律實施、行業(yè)規(guī)范，推進(jìn)云安全責(zé)任共擔(dān)模型落地，引導(dǎo)云安全產(chǎn)業(yè)健康有序發(fā)展，指導(dǎo)云廠商在推動“云+產(chǎn)業(yè)”結(jié)合的進(jìn)程中，明確其安全責(zé)任。

2）安全產(chǎn)品協(xié)同能力加強、安全方案定制能力提升，從適用全行業(yè)的“大而全”走向聚焦某場景的“小而精”。

概念界定

融合云技術(shù)，采用云交付，保護(hù)云資源及云應(yīng)用的安全產(chǎn)品

云安全是傳統(tǒng)信息安全行業(yè)技術(shù)的升級，產(chǎn)品的豐富，也是云計算部署的焦點，服務(wù)的關(guān)鍵。因此，云安全是云計算與信息安全相互賦能所孵化的新概念。其一，云安全是云計算技術(shù)在安全領(lǐng)域的應(yīng)用，即云安全應(yīng)用。目的是利用云計算特征，將傳統(tǒng)安全產(chǎn)品云化，來提供更能滿足個人或行業(yè)需求的網(wǎng)絡(luò)安全解決方案或安全服務(wù)。其二，云安全是安全技術(shù)在云計算領(lǐng)域的應(yīng)用，即云自身安全。目的是應(yīng)用安全技術(shù)，解決云計算的安全問題，包括云基礎(chǔ)設(shè)施安全，云計算資源安全，云計算操作系統(tǒng)安全，云計算應(yīng)用軟件安全，用戶信息安全等，提升云服務(wù)的可靠性，促進(jìn)云計算行業(yè)的健康良性可持續(xù)發(fā)展。

云安全與傳統(tǒng)安全差異

內(nèi)深外寬、邊界模糊、數(shù)智工具、責(zé)任共擔(dān)

不論是云安全應(yīng)用還是云自身安全，云安全與云計算緊密相連。云計算與傳統(tǒng)計算在理念與技術(shù)上存在顯著差異。系統(tǒng)平臺開放化，計算網(wǎng)絡(luò)存儲虛擬化，數(shù)據(jù)所有權(quán)與管理權(quán)分離化等云計算的顯著特征，導(dǎo)致傳統(tǒng)的安全措施并不能滿足云安全的需要。雖然云安全與傳統(tǒng)信息安全相似，均是為了保護(hù)計算資源與信息數(shù)據(jù)的安全性。但是云服務(wù)提供商與傳統(tǒng)安全廠商在設(shè)計云安全產(chǎn)品或提供云安全解決方案時應(yīng)著重考慮云安全威脅的多樣性與需求的獨特性。

云安全市場規(guī)模

云安全市場空間廣闊，產(chǎn)業(yè)升級、政策利好提供增長機遇

中國云安全市場相較于整體云市場體量較小，增長空間廣闊。在云計算發(fā)展早期，云安全發(fā)展相較云資源與云能力產(chǎn)品發(fā)展存在滯后性，且安全產(chǎn)品及安全服務(wù)提供者集中于云服務(wù)廠商。伴隨產(chǎn)業(yè)互聯(lián)網(wǎng)深化，云計算廣泛滲透帶動云安全產(chǎn)品布局加快。一方面，“云+行業(yè)”推動云安全產(chǎn)品與時俱進(jìn)，適用場景擴(kuò)大、用戶需求提升；另一方面，傳統(tǒng)安全廠商陸續(xù)開始布局云安全領(lǐng)域。最后，中國云安全產(chǎn)業(yè)具有較強政策導(dǎo)向，近年來《網(wǎng)絡(luò)安全法》、網(wǎng)絡(luò)信息安全等級保護(hù)2.0、《數(shù)據(jù)安全法》的出臺，驅(qū)動企業(yè)關(guān)注、提升安全能力，擴(kuò)大安全領(lǐng)域支出。

云基礎(chǔ)資源安全

伴隨云原生應(yīng)用下沉，云原生安全逐步成為云基礎(chǔ)安全重點

云原生技術(shù)經(jīng)過長足發(fā)展，已逐步被廣泛應(yīng)用，并逐步突破容器、微服務(wù)、DevOps等領(lǐng)域，開始形成更完整的云原生產(chǎn)品架構(gòu)，云原生的應(yīng)用在顯著提升云計算產(chǎn)品能力的同時，也帶來的更為復(fù)雜的安全需求。傳統(tǒng)的安全防護(hù)理念，“非原生化”的安全產(chǎn)品與服務(wù)均不能滿足云原生安全需求。為保障云原生安全，需要更深刻理解云原生架構(gòu)，熟悉云原生特點，針對針對云原生不同產(chǎn)品特性，提供針對性安全對策，并從下至上構(gòu)建完整解決方案。

云基礎(chǔ)資源安全——產(chǎn)業(yè)圖譜

網(wǎng)絡(luò)安全

用“云化”的方式解決“云生”的網(wǎng)絡(luò)安全威脅更行之有效

從傳統(tǒng)網(wǎng)絡(luò)安全時代，DDoS攻擊便因為效果顯著，難以抵御和追蹤，成為黑客進(jìn)行網(wǎng)絡(luò)攻擊的主要選擇。伴隨云計算的普及，一方面云平臺成為新的攻擊對象，另一方面云也被利用作為擴(kuò)大網(wǎng)絡(luò)攻擊效果的工具。面對以云平臺為媒介發(fā)起的DDoS攻擊，傳統(tǒng)抗D方式受限于資源性能，很難化解突發(fā)大流量攻擊，而為抵御DDoS攻擊而投入的設(shè)備和人員成本也非常高昂。因此，在云計算時代，針對“云生”的網(wǎng)絡(luò)安全風(fēng)險，企業(yè)應(yīng)該選擇云上的安全工具應(yīng)對，才能事半功倍。

網(wǎng)絡(luò)安全——產(chǎn)業(yè)圖譜

數(shù)據(jù)安全

數(shù)據(jù)風(fēng)險具有普遍性，需針對數(shù)據(jù)全生命周期構(gòu)筑安全防御

在產(chǎn)業(yè)互聯(lián)網(wǎng)背景下，數(shù)據(jù)已經(jīng)被定義為新一代生產(chǎn)要素。伴隨著《網(wǎng)絡(luò)安全等級保護(hù)大數(shù)據(jù)基本要求》，《中華人民共和國數(shù)據(jù)安全法》等相關(guān)法規(guī)的出臺，數(shù)據(jù)安全已成為企業(yè)和個人在提供和使用信息技術(shù)產(chǎn)品于服務(wù)是著重考慮的要素。在數(shù)據(jù)體量龐大，種類復(fù)雜的大數(shù)據(jù)時代，單一數(shù)據(jù)安全產(chǎn)品很難有效解決數(shù)據(jù)安全問題，需要搭配多種數(shù)據(jù)安全工具，圍繞數(shù)據(jù)生命周期各環(huán)節(jié)構(gòu)建數(shù)據(jù)安全解決方案，才能有效降低數(shù)據(jù)安全風(fēng)險。

數(shù)據(jù)安全——產(chǎn)業(yè)圖譜

應(yīng)用和業(yè)務(wù)安全

結(jié)合業(yè)務(wù)場景特性，融合數(shù)智化工具，有效打擊黑灰產(chǎn)業(yè)

業(yè)務(wù)安全主要用于解決由于企業(yè)某些業(yè)務(wù)場景中存在邏輯漏洞，導(dǎo)致被不法分子利用，獲取利益的行為。業(yè)務(wù)安全相較于基礎(chǔ)安全產(chǎn)品，與企業(yè)業(yè)務(wù)場景與業(yè)務(wù)需求耦合的更為緊密。因此，有效的業(yè)務(wù)安全產(chǎn)品需要以深入理解業(yè)務(wù)場景為前提。此外，相比于其他“黑客”攻擊更多是技術(shù)類風(fēng)險，“黑產(chǎn)”更多是針對資源類的威脅。因此，針對企業(yè)上云后用戶資源，數(shù)據(jù)資源等更分散，需要更好的結(jié)合人工智能與大數(shù)據(jù)工具進(jìn)行有效管理。

應(yīng)用和業(yè)務(wù)安全——產(chǎn)業(yè)圖譜

身份安全

針對用戶身份生命周期各環(huán)節(jié)特征，構(gòu)筑全面安全解決方案

相較于傳統(tǒng)的本地部署，企業(yè)上云后將面對更多來自企業(yè)內(nèi)部、外部不同類型的用戶通過各種媒介對不同資源的訪問需求。針對上述場景，IDaaS產(chǎn)品通過覆蓋用戶身份生命周期各個環(huán)節(jié)的統(tǒng)一身份管理，支持多種認(rèn)證協(xié)議的統(tǒng)一認(rèn)證能力，有效幫助企業(yè)統(tǒng)一本地及云端的身份管理及多云間的身份管理，兼顧訪問效率及訪問安全的平衡。

身份安全——產(chǎn)業(yè)圖譜

安全服務(wù)與運營

傳統(tǒng)行業(yè)云上安全管理運維經(jīng)驗缺失驅(qū)動云托管服務(wù)發(fā)展

傳統(tǒng)行業(yè)雖然受數(shù)字化轉(zhuǎn)型驅(qū)動，上云、用云熱情高漲，但受制于有限的IT運維成本和IT運維團(tuán)隊規(guī)模，其網(wǎng)絡(luò)安全運營管理能力較難匹配云計算安全運營需求。尤其是對價格敏感的中小企業(yè)，為兼顧業(yè)務(wù)需求和用云成本，必須更謹(jǐn)慎地分配預(yù)算。而云安全托管平臺的出現(xiàn)，有效地幫助中小企業(yè)解決上述困境。由云廠商或傳統(tǒng)安全廠商提供的安全托管服務(wù)，有效幫助中小企業(yè)減輕了用云成本負(fù)擔(dān)，并保障業(yè)務(wù)在云上的安全可靠。

安全管理和運營——產(chǎn)業(yè)圖譜

安全服務(wù)——產(chǎn)業(yè)圖譜

金融行業(yè)安全特征與需求

安全威脅類型多樣，數(shù)據(jù)安全是建設(shè)及投入重點

金融行業(yè)伴隨數(shù)字化轉(zhuǎn)型加速，金融科技與金融創(chuàng)新能力加強，金融企業(yè)云化程度顯著提升。伴隨業(yè)務(wù)上云后，隨之而來的是風(fēng)險暴露面積增多，安全威脅呈現(xiàn)多樣化趨勢。敏捷開發(fā)工具的應(yīng)用帶來產(chǎn)品的快速迭代，為金融企業(yè)安全運維管理帶來壓力。此外，多樣化的業(yè)務(wù)場景下多終端設(shè)備間數(shù)據(jù)的傳輸和流通也帶來更多潛在數(shù)據(jù)安全風(fēng)險。近年來，個人身份信息泄露事件在金融行業(yè)時有發(fā)生，暴露出金融企業(yè)數(shù)據(jù)安全管理能力仍需加強。

工業(yè)行業(yè)安全特征與需求

明確主次，協(xié)同廠商，共建安全解決方案及安全生態(tài)

工業(yè)領(lǐng)域覆蓋行業(yè)及企業(yè)非常豐富，從行業(yè)整體角度看，在構(gòu)建解決方案過程中，首先應(yīng)該明確主次。1）安全風(fēng)險的主次，集中精力優(yōu)先解決根本性質(zhì)的安全問題。2）建設(shè)路徑的主次，根據(jù)企業(yè)信息技術(shù)安全現(xiàn)狀，優(yōu)先升級薄弱環(huán)節(jié)。其次要協(xié)同廠商，工業(yè)產(chǎn)業(yè)鏈中廠商類型豐富，需要明確不同廠商所扮演的角色，所提供的服務(wù)邊界，并協(xié)同各個廠商共同構(gòu)建較為適用的安全行業(yè)標(biāo)準(zhǔn)，多方共建形成穩(wěn)固安全生態(tài)，以此來屏蔽廠商因為技術(shù)能力參差不齊，安全產(chǎn)品標(biāo)準(zhǔn)要求差異造成的安全漏洞。

醫(yī)療行業(yè)安全特征與需求

強化基礎(chǔ)設(shè)施安全，從下至上構(gòu)建系統(tǒng)安全防護(hù)體系

醫(yī)療行業(yè)安全解決方案建設(shè)需要強調(diào)系統(tǒng)化，以強化基礎(chǔ)設(shè)施安全能力為主，穩(wěn)步向上形成系統(tǒng)的安全防護(hù)體系。在基礎(chǔ)層面，需要保證物理設(shè)施安全和基礎(chǔ)IT資源安全，搭建安全的物理環(huán)境并指定穩(wěn)妥的災(zāi)備方案。在基礎(chǔ)IT資源安全構(gòu)件中更需注重均衡，在升級網(wǎng)關(guān)設(shè)備同時，兼顧計算設(shè)施。在頂層應(yīng)用方面優(yōu)化訪問控制及身份管理，可采用IDaaS等方式更好地實現(xiàn)統(tǒng)一身份管理。最后，在引入安全工具的同時，完善安全管理制度，通過專業(yè)的安全部門統(tǒng)一負(fù)責(zé)管理安全運營，如沒辦法很好的平衡成本，也可在合規(guī)的前提下，利用云安全托管服務(wù)。

政務(wù)行業(yè)安全特征與需求

構(gòu)建完善安全管理體系，有效協(xié)同管理、運營與技術(shù)

在政務(wù)平臺建設(shè)中，由于提供的服務(wù)內(nèi)容并不復(fù)雜，產(chǎn)品功能和服務(wù)場景相對有限。因此，政務(wù)平臺安全技術(shù)架構(gòu)整體比較完善。但技術(shù)能力仍集中在維護(hù)云基礎(chǔ)資源安全為主，在后期升級過程中需要更好地引入PaaS層能力，從而進(jìn)一步提升平臺安全保障能力。在政務(wù)平臺管理中，重點在于完善相關(guān)制度和體系，成立專業(yè)的管理部門，制定完善的管理制度，清晰權(quán)責(zé)。咱安全運營領(lǐng)域，由于運維成本較高，可采用部分安全托管，核心安全資產(chǎn)自管的混合方式更好地實現(xiàn)專業(yè)化的安全運營。

中國云安全發(fā)展趨勢

法律全面，規(guī)范健全，權(quán)責(zé)清晰，助力構(gòu)建安全可靠云服務(wù)

雖然責(zé)任共擔(dān)模型并不是新概念，但在中國云服務(wù)市場的落地效果并不理想。伴隨企業(yè)上云走向“精耕細(xì)作”，法律政策與行業(yè)規(guī)范日漸完善，責(zé)任共擔(dān)模型將更好地指導(dǎo)云廠商在推動“云+產(chǎn)業(yè)”結(jié)合的進(jìn)程中，明確其安全責(zé)任。同時，清晰的權(quán)責(zé)劃分在云服務(wù)邊界日漸模糊的發(fā)展趨勢下，讓云用戶關(guān)心的數(shù)據(jù)資產(chǎn)，IT資產(chǎn)等所有權(quán)問題可以得到更好地保障，進(jìn)而提升云用戶對云服務(wù)，尤其是公有云的可靠性、可信性的理解。

傳統(tǒng)行業(yè)上云加速，圍繞云安全產(chǎn)品升級驅(qū)動云安全服務(wù)發(fā)展

產(chǎn)業(yè)互聯(lián)網(wǎng)建設(shè)要求云廠商在業(yè)務(wù)布局中更多考慮將技術(shù)能力與業(yè)務(wù)場景結(jié)合，云安全產(chǎn)品的發(fā)展也將遵循產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展趨勢，配合云服務(wù)行業(yè)解決方案，將通用云安全能力轉(zhuǎn)為專業(yè)云安全能力。同時，根據(jù)行業(yè)易受安全威脅情況分析，云安全需求將更多集中在金融，制造等傳統(tǒng)領(lǐng)域。此外，傳統(tǒng)行業(yè)不僅安全產(chǎn)品面臨升級，安全理念與安全組織架構(gòu)也需要更新，由此帶動云安全咨詢、云安全托管等衍生需求。為此，云安全產(chǎn)品在能力上將走向?qū)I(yè)化，內(nèi)容上將走向生態(tài)化。