首頁 > 關于我們 > 新聞動態 > 深度解讀

2020風“云”變幻,2021路向何方

發布時間 2021-01-21

2020年初,突如其來的新冠疫情讓開篇就充滿跌宕,面對這樣不平凡的一年,我們在時代的大潮中,看到了悲歡、困頓與堅守。新冠疫情給無數的企業帶來了壓力和挑戰,這其中一個重要變化就是線上辦公。


在國家“新基建”戰略的背景下,如果說企業數字化轉型是業務升級和供給側改革的途徑,那么疫情無疑是企業加速上云的助推器,這一切都讓上云不僅是一種能效問題、技術問題和商業問題,更讓上云的企業在面臨風險的沖擊下多了一種快速應變與內生變革的力量。


從云計算產業大市場上,我們可以看到公有云、混合云、私有云市場齊上揚,與此同時,隨著國內外云計算產業發展的不同階段,云安全的問題始終是用戶上云考慮的關鍵因素,作為云計算的細分領域,云安全市場2020年也是持續快速增長。安全技術從來都是伴隨信息技術和使用場景的發展而提升,今天我們主要談一下這一年的國內外云安全熱點技術趨勢及后續展望。


國際篇


★ 面向容器的安全防護手段成為熱點


在5G、新基建等新場景逐步落地的新形勢下,業務需要快速更迭、快速上線和智能運維已經逐漸成為業內的普遍認識,新技術架構和新的開發模式也不斷給用戶帶來更多的價值,容器、Kubernetes、DevOps、微服務這些新技術發展迅猛,得到了大量的用戶和開發人員積極擁抱。與此同時,相應面向容器等新技術和架構的云安全技術、產品和解決方案也不斷完善和發展。


1.jpg


容器是一種輕量級的虛擬化技術,能夠在宿主機上實現計算、網絡、存儲的隔離,實現微服務等新興架構??紤]到容器的生命周期相對較短,總體包括編譯、傳輸和運行三個階段,因此通常容器安全產品和解決方案都是圍繞容器全生命周期提供全面和持續的保護。


2.png


編譯階段主要提供源代碼審計、容器鏡像漏洞的持續掃描等安全能力,考慮到容器經常與云原生開發過程結合,因此在編譯階段中,容器安全產品通常與如Jenkins等CI/CD的工具集成,提供自動化容器編譯階段的安全防護手段。


容器的傳輸階段主要涉及容器鏡像倉庫服務器的安全管理,包括鏡像倉庫服務器的網絡安全和鏡像倉庫服務器的周期性鏡像漏洞掃描,安全產品需要在此階段適配多種不同的鏡像倉庫服務器接口以為用戶提供高適應性的防護能力。


容器的運行階段根據容器的運行環境有所區別,在純容器的運行環境中,需要對容器提供容器運行時環境的合規檢測、容器運行時的入侵防護、容器微隔離、容器事件監測、容器運行鏡像的一致性監測等。而在使用編排工具的容器環境中,則除上述安全能力外還需要結合編排工具平面提供額外的防護。Kubernetes則是一種主流容器編排工具,目前已經成為業界的事實標準,以其為例,還需要提供Kubernetes平臺的合規基線核查、微服務發現和治理、集群權限管理等安全能力。


★ SASE逐步成為安全新寵


安全訪問服務邊緣(Secure Access Service Edge,SASE)的概念最早由Gartner在“The Future of Network Security Is in the Cloud”一文中提出。面對越發復雜的云計算環境,SASE提供了一種基于策略的軟件定義的安全防護方式,以云上服務的方式提供包含SWG、CASB、FWaaS、ZTNA等眾多安全能力,實現基于身份的動態安全訪問手段,是一種結合下一代廣域網、安全和邊緣計算于一體的基于云交付的網絡方案。


3.png


隨著5G邊緣計算的推廣,尤其在新冠疫情的影響下,全球網絡架構發生著巨大的變化,越來越的企業使用線上辦公的模式,采用基于數據中心的網絡模式。這種工作模式和網絡模式的變化,對運營商能夠進行移動設備、個人身份的安全管理認證,動態位置的標識,網絡的嚴格管控,以及安全能力快速完整交付等提出了更嚴格的要求。在SASE解決方案中,充分運用SD-WAN和SDP技術所帶來的軟件定義網絡能力,結合UEBA等身份認證技術,實現基于身份的零信任網絡基礎架構。同時,SASE方案中通常結合邊緣計算技術,在分布式邊緣中部署各類安全和網絡應用進行管理和控制,以實現彈性、動態、快速交付和較低時延的綜合型網絡安全服務。


★ 云安全產品融合成為新業態


近兩年,說到云安全技術和產品總是離不開Gartner主推的三個安全方向,分別是云負載安全防護平臺(Cloud Workload Protection Platform,CWPP)、云安全配置管理(Cloud Security Posture Management, CSPM),云訪問安全代理(Cloud Access Security Broker,CASB)。這三大云安全方向分別側重于云工作負載、云安全合規和云上數據資產安全,三者在安全能力在互相補充的基礎上又具有互相重合的部分。CWPP工作在IaaS層,CSPM則防護IaaS和PaaS層安全問題,而CASB防護IaaS、PaaS和SaaS三層。并且,隨著技術的發展、產品的安全能力的提升,安全廠商紛紛將核心技術融入安全產品中,取長補短,形成綜合的安全解決方案和安全平臺。綜合型安全公司Palo Alto的Prisma產品線將CWPP、CSPM和CASB三個云安全技術產品統一融合,提供綜合解決方案及SASE、容器安全、微隔離等一系列云上安全能力。云安全創業公司CloudPassage的云安全解決方案也綜合了CWPP、CSPM和CASB技術,并且結合容器安全防護能力,提供統一云安全防護平臺。


4.png


云安全產品和解決方案歸根到底解決的是用戶的云上安全問題及特定領域的安全問題。隨著云計算產業的成熟、云安全技術的發展和用戶對業務安全理解的深入,云安全走入整體解決方案時代是必然的趨勢,如何為云上用戶及業務提供更多更全面和更深入的安全能力及服務,成為各大云安全廠商必須面對的問題。


國內篇


★ 云原生安全越來越受國內重視


云原生一詞是在云計算高度發展的過程中產生和興起的,通常指開發人員更注重業務的開發,充分發揮云平臺彈性計算、快速部署、按需擴容等能力,構建云上原生的應用,主要涉及容器、微服務、DevOps等相關技術。


5.png


隨著近年來5G、新基建、大數據、人工智能等技術的發展和落地,云原生已經成為云上業務最主要的形態之一,政府、金融、企業等大量業務基于云原生的理念開發和構成,因此云原生系統的安全性也成為行業研究的重點。云原生安全不是單獨的某個產品實現的,而是一種安全意識和安全體系,使用的理念包括安全左移、零信任、DevSecOps等,涉及的技術和產品包括源代碼審計、容器安全、微服務安全、微隔離、數據防泄漏、身份識別等。


啟明星辰在對2020年國內網絡安全行業的回顧中發現,當前云原生安全不僅僅停留在理念的階段,已經有很多落地的產品和方案,國內也涌現出不少相關的安全初創公司,并且很多老牌安全企業也在此領域有所發力,這也充分說明云原生安全的重要性。


6.png


考慮到云原生架構對業務開發人員的便利性,云原生產品在設計中需要充分考慮云上業務和云本身的架構,實現安全即服務的能力,將安全融入云業務的開發中,并貫穿于整個軟件生命周期,與業務一樣持續交付和持續部署。


★云安全產品融合成為新業態


技術總是殊途同歸的,與2020年國際云安全形勢一樣,國內云安全行業也呈現出多種安全產品融合的業態。分析研究2020年云安全用戶需求,發現總體呈現以下特征:首先,用戶對云計算環境和業務安全的了解程度更深,提出了很多結合云架構和業務特征的云上安全需求;其次,單一產品已經無法滿足用戶云上安全的要求,需要更全面和安全能力更強的綜合型安全體系和解決方案。因此,在很多交付的項目中,多種安全產品能力的組合方案成為了最主流的交付形態之一。


以CWPP為例,國內很多廠商將CWPP產品融合云上基線合規核查能力,將CSPM能力融合入CWPP產品中。同時部分安全廠商和云供應商在容器安全領域也投入研發力量,將容器安全結合現有產品形成整體解決方案。同時,隨著等保2.0的實施,國家各部委出臺的各項標準也逐步細化云上安全要求和能力,這些都給綜合型的云安全解決方案提出了規范要求。因此,我們認為云安全產品融合已經也將成為未來最主要的發展方向之一。


★ 私有云安全的解決方案時代


與國際云計算環境不同,國內私有云市場規模相對較大,據中國信息通信研究院出臺的《云計算發展白皮書2020年》所述,曾預測2020年國內私有云市場規模達791.2億人民幣,因此私有云安全市場在我國云安全市場占有較大的比重。根據2020年市場需求分析,2020年用戶對私有云多云解決方案的需求增多,多數用戶的數據中心具有多云和異構云的架構,因此多云環境下的私有云解決方案需求突出。


7.png


以私有云中常見的資源池解決方案為例,絕大多數資源池解決方案廠商都已支持多云和異構云的安全管理,能夠對多地多數據中心的云平臺提供分級分域和分云供應商的管理。在這樣的架構下,云上流量不需要集中引至同一區域進行集中處理,通過邊緣就近防御的方式降低安全業務帶來的網絡時延。同時,運營商通常具有多供應商云平臺,對不同云平臺的適配和對接也逐漸成為行業標配。


展望云端未來


★ 圍繞新一代合規體系的新產品和新方案將成為新方向


2020年,伴隨著等保2.0的實施落地,各部委逐步出臺各項安全標準規范以及各行業對新業務的各項安全要求,頒布云安全行業新的標準和準則。無論從安全能力的廣度還是精度上,云安全產品都需要自我完善和提升,云安全產業業態也將在新規下進行調整,這是安全行業的挑戰和機遇,各安全企業將在新合規體系下展開新的角逐,用戶也將在這一輪新的角逐中獲得更大的安全服務和安全能力。


★ 面向業務的云安全產品將在安全能力深度上展開角逐


近年來,云安全產品數量不斷增長、競爭日益激烈,然而產品同質化卻越發明顯。在可預見的未來,產品在安全能力上的差異將成為企業競爭的有力優勢。云安全企業需要尋找安全服務差異化發展方向,首先,企業需要提升云安全相關技術的深度、精度和廣度,并形成有效的安全閉環。其次,在5G、新基建、大數據、人工智能等新場景下提出新型的綜合安全解決方案是安全企業面臨的新課題和挑戰。


★ 云上新架構下的新一代云安全技術將開拓新的戰場


永恒不變的是變化,對于云安全產業、技術、業務等方面而言同樣適用。云計算的發展歷程中產生了大量的新技術和新架構,容器、無服務器、DevOps等新鮮概念已經成為云行業中的新熱點,伴隨而來的必定是解決相關的安全問題。無論是傳統安全企業,還是初創安全公司,亦或是云供應商,都已經在這些新興領域中投入研發力量,并正在形成相關安全產品??梢院苊鞔_的看到,我國安全行業正在持續升級,在保障合規基礎上,面向護網需求、新基建業務發展等需求,云安全正朝向要素化、實戰化與服務化的方向演進。

上一篇 下一篇