紧随云计算、云存储之后,云安全也出现了。云安全是我国企业创造的概念,在国际云计算领域独树一帜。“云安全(Cloud Security)”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
简单的来看,目前的云安全在一定程度上,是传统信息安全领域对“云计算基础 架构”升级,以及在云计算环境下面临的一些新的安全挑战。在云计算时代,云 上的安全,同传统的信息安全类似的地方是在细分领域会大致相仿,但交付方式 会有相应的差异,以及一些新的安全挑战带来的技术和产品的创新。目前,云安 全产品的主要交付方式有“镜像”和“SaaS”两种,为便于理解,不妨将“传 统信息安全产品”发展到“云安全产品”的过程定义为“传统安全产品的 SaaS 化”,这实际上也是对云计算“自动化、弹性、即需即用”等特点的适应。
不同部署模式下云服务提供商和用户的安全责任划分
随着国内外企业不断上云,传统安全防护措施已经不能满足云环境安全所提出的 需要。近几年,包括微软、思科、百度等在内的各大 IT 安全解决方案提供商纷纷 并购云安全领域初创公司,加速在云安全领域的布局。2014-2015 年安全行业重 大并购案中,涉及云安全行业的交易占多数;除此以外,云安全行业初创 公司的融资也是一派火热场面。
2014-2015 重要安全行业并购一览:云安全领域正成为并购主力
2015 安全行业初创公司重要融资一览:云安全融资案例占多数
当前,越来越多未使用云的企业选择将部分业务迁移至群上,以前对云稍作尝试 的企业也越来越加深对云的使用,将更多的业务放在云上进行。一方面,随着越 来越多的企业往云上聚集,云服务提供商对云上业务、数据的安全所肩负的责任 担子越来越重,势必会对安全问题更加谨慎,将与专业的云安全提供商进行更密 切的合作,所以来自云服务提供商的安全需求将进一步释放;另一方面,正如第 一节中所提及的那样,云上的安全责任是云服务提供商与租户共担的,所以企业 级客户对云安全的需求也将持续增加。
云的成熟度模型:越来越多的企业加深对云的使用
目前全球云安全服务市场规模大约为 36 亿美元,整体的云安全服务市场规模增长将会达到 23%,预计到 2022 年,整体市场规模将达到 120 亿美元左右。 而聚焦到国内,会有两个特点:(1)国内云计算整体的市场规模占 全球总规模的绝对值相对较少,但增速显著快于全球的平均增速,显著说明了国 内云计算正处于爆发期;(2)云安全市场尚处于起步阶段,整体的市场规模会随 云计算市场增长而快速崛起。据 IDC 的预测,2014-2019 年国内信息安全市场年 均复合增长率为 16.6%,预计 2019 年将会达到 48.22 亿美元。未来 3-5 年,信息安全的整体的增长,将会有相当一部分来自于云安全需求的迅猛增长。
全球云安全服务市场规模(单位:亿美元)
中国公有云和私有云市场规模及增速(单位:亿元)
云计算真正发展的时代是物联网的全面普及,计算无处不在,网络无处不在。目前我国 5G 网络第一阶段试验测试已经完毕,虽然离物联网全面普及还有很长的距 离,但是物联网正在顺利推进却是一个不争的事实。Gartner 发布报告预测 2016 年全球将有 64 亿台联网设备得到使用,比 2015 年增长 30%,2018 年联网设备将 达到 114 亿台;2015 年物联网安全投入为 2.815 亿美元,2016 年将增长 23.7%, 即 3.48 亿美元,2018 年将达到 5.47 亿美元。
云安全实际上是物联网安全的重要组成部分,原因有四:“端”方面,处于感知层 的各种感知设备将数据经由网络层传输至云平台进行处理的过程可以理解为各种 终端对云进行访问的过程,而云访问安全本来就是云安全的重要组成部分;“管” 方面,由于“万物互联”必然带来海量数据,其所涉及的威胁和攻击必然更加复 杂,对大规模数据的保护是传统信息安全的防护方法所无法做到的,而云安全可 以;“云”方面,物联网的处理层主要是云计算平台,负责对各类数据进行计算处 理,对处理层进行安全防护实际上就是对云自身进行防护;“应用层”方面,目前 越来越多的应用开始部署在云上,云安全是这些应用最天然的守护者。随着物联 网的有序推进,云安全还将迎来广阔的市场空间。
不同部署模式下云服务提供商和用户的安全责任划
近几年关于云安全的新技术(理念)不断涌现
云平台服务提供商(如阿里云、腾讯云、 金山云、亚马逊 AWS、Salesforce 等);专业的云安全解决方案提供商(往往值云 安全初创公司,如 Zscaler、Symplified、安全狗、云锁等);传统 IT 安全解决 方案提供商(如趋势科技、赛门铁克、迈克菲、360 等);大型 IT 厂商(IBM、惠普、英特尔等)。
阿里云作为国内知名的 IaaS 云平台服务提供商, 它所采取的风险共担模式具有代表性,可说明众多 IaaS 提供商的一般情况——即 阿里云负责云基础设施层面的安全,用户则要对自己的虚拟化层以上负责。在虚 拟化层,阿里云同时提供云盾以及通过引入第三方生态合作伙伴的方式来提供安 全服务,这种安全责任共担模式最终的目的是帮助用户减轻安全运营负担,更专注于核心业务。
腾讯云与阿里云的安全责任划分大致相同,主要差别在于其提供的云安全产品所 覆盖的领域上的不同。其安全防护可分为三个方面:云基础设施安全、云租户安 全、业务安全。其中腾讯云安全团队的工作重点是对基础设施的保障;云租户安 全和业务安全一部分自己做,仅提供标准化安全服务,另一部分开放给技术合作 伙伴,来给不同行业的客户提供定制化的安全服务。腾讯云安全总监周斌在 2016 年 7 月的腾讯“云+未来”峰会表示: “在云安全生态方面,腾讯云无意成为专业的 安全厂商,而是把重点放在提供标准化或说通用化的解决方案上,为云的客户提供稳 定可靠的基础防护能力,比如异地登录、漏洞扫描、主机安全等,这些基础的服务都 免费提供给云上的用户。企业对安全定制化需求或是高级服务能力需求,如详细的运 维审计、数据库审计等需求,腾讯云更希望由合作伙伴来满足。简而言之,就是把专 业的事情交给专业的安全厂商去做通过安全生态的建设。”
腾讯云安全一部分由腾讯自己负责,一部分开放给合作伙伴
通过调研部分客户了解到,阿里云租户只需购买 Web 应用防火墙和安骑士即可满足日常的基本安全需 求,但是还需根据自身业务特点采购 DDoS 高防(例如双十一期间的电商)、数据 加密服务等其他安全产品。除此之外值得注意的是:云平台提供商基本上都与第 三方安全厂商建立了技术合作伙伴关系,将用户所负责的那部分安全需求开放给 第三方合作伙伴,经过分析发现,云平台服务提供商与第三方安全厂商 所提供的部分产品之间是存在竞争的,例如阿里云的“态势感知”和“Web 应用 防火墙”两款产品与其合伙伙伴绿盟科技的“极光扫描”产品同样具有漏洞扫描 功能,用户往往择一即可。
云安全服务提供商所提供的云安全产品覆盖领域有所不同
