編輯搜圖

近期，國際權(quán)威咨詢機(jī)構(gòu)Gartner基于對(duì)中國安全市場(chǎng)的調(diào)查研究和中國安全產(chǎn)品供應(yīng)商的評(píng)估發(fā)布了分析報(bào)告《中國云安全市場(chǎng)概覽》(Top Practices for Cloud Security in China)。

不同于以往針對(duì)全球化市場(chǎng)給出建議，Gartner針對(duì)中國細(xì)分市場(chǎng)給出獨(dú)立報(bào)告，足以說明中國安全市場(chǎng)已經(jīng)為世界矚目。

報(bào)告顯示，中國是一個(gè)非常獨(dú)特的市場(chǎng)，在云安全領(lǐng)域既面臨一些全球共通性的挑戰(zhàn)：例如是否或如何信任公有云，也面臨一些本土特有的難點(diǎn)：例如技術(shù)可行性以及如何正確選擇CSP。

構(gòu)成公有云信任問題的主要原因是大眾對(duì)于物理位置的關(guān)注超過了對(duì)于安全控制本身，而另一方面，成熟的云安全防御體系需要依靠云安全責(zé)任共擔(dān)模型作基礎(chǔ)支撐，并有效評(píng)估安全工具與CSP可能產(chǎn)生的風(fēng)險(xiǎn)。報(bào)告中將中國市場(chǎng)目前面臨的問題歸納為以下三點(diǎn)：

• 整體而言，在中國市場(chǎng)，公有云的采用率正在逐步增加，但私有云、混合云和傳統(tǒng)數(shù)據(jù)中心在中國仍然占有很高的市場(chǎng)份額，這是因?yàn)槭袌?chǎng)仍過度關(guān)注數(shù)據(jù)的物理位置，而非對(duì)于云安全的控制。

• 海外的云服務(wù)提供商(CSP)和安全供應(yīng)商在為中國市場(chǎng)提供云服務(wù)時(shí)存在技術(shù)可行性的問題，而本地供應(yīng)商為避免與公有云提供商直接競(jìng)爭(zhēng)，更傾向于提供私有云服務(wù)，這使得企業(yè)/組織很難選擇云安全工具。

• 中國的許多企業(yè)/組織不會(huì)對(duì)CSP進(jìn)行系統(tǒng)性的風(fēng)險(xiǎn)評(píng)估，使企業(yè)面臨安全風(fēng)險(xiǎn)。

正因?yàn)橹袊袌?chǎng)同全球市場(chǎng)的差別明顯，特別是在SaaS產(chǎn)品的部署以及對(duì)于本地法規(guī)需求的額外考量方面。因此企業(yè)在做安全建設(shè)時(shí)不能簡(jiǎn)單地照搬國外做法，而必須確保在通用實(shí)踐和本地個(gè)性化需求場(chǎng)景之間取得平衡。對(duì)此，報(bào)告給予了中國云安全和風(fēng)險(xiǎn)管理負(fù)責(zé)人相應(yīng)的建議：

• 通過對(duì)云安全責(zé)任共擔(dān)模型的評(píng)估，明確云提供商的安全責(zé)任范圍，并建立所需的安全能力；

• 建立云安全架構(gòu)，通過云原生優(yōu)先的方式，利用第三方和開源工具實(shí)施安全控制，同時(shí)持續(xù)監(jiān)控其在中國的技術(shù)可行性；

• 利用分層模型和安全認(rèn)證來評(píng)估CSP可能存在的風(fēng)險(xiǎn)。

這三個(gè)建議的具體操作又引申出三個(gè)具體的問題，如何與云提供商確定安全責(zé)任的范圍并建立所需的能力;如何建立云安全架構(gòu);如何有效評(píng)估CSP風(fēng)險(xiǎn)。報(bào)告圍中繞這三個(gè)問題進(jìn)行了詳細(xì)的分析。

如何與云提供商確定安全責(zé)任的范圍并建立所需的能力？

報(bào)告首先提出的是建立云安全責(zé)任共擔(dān)模型。組織和企業(yè)需根據(jù)云部署的類型來理解其安全責(zé)任，通過與CSP分擔(dān)一些其他安全責(zé)任，從而專注于保護(hù)其最核心的資產(chǎn)，并降低對(duì)數(shù)據(jù)位置的關(guān)注。

其次是建立云安全能力。傳統(tǒng)保護(hù)數(shù)據(jù)中心的安全專業(yè)知識(shí)不適用于保護(hù)所有云資源，組織企業(yè)需建立云安全能力。

編輯搜圖

配備云安全架構(gòu)師也是必不可少的。為解決云安全復(fù)雜性，組織和企業(yè)需配備云安全架構(gòu)師以負(fù)責(zé)引領(lǐng)云安全文化變革、制定云安全策略、開發(fā)和協(xié)調(diào)云安全的安全技術(shù)和工具采用、聘用或培訓(xùn)云安全工程師。

最后是云安全工程師。組織/企業(yè)可通過聘用掌握網(wǎng)絡(luò)安全、服務(wù)器安全、漏洞管理、應(yīng)用程序安全和數(shù)據(jù)安全等廣泛安全領(lǐng)域知識(shí)的云安全工程師來實(shí)現(xiàn)深度技術(shù)支持。

如何建立云安全架構(gòu)？

云產(chǎn)品部署模式的多樣性及責(zé)任分?jǐn)偟膹?fù)雜性使用戶需要配備一套完善的工具組來安全地使用云。云安全廠商通常采用模塊化的方法來提供服務(wù)，并將功能整合到一個(gè)組合中。報(bào)告中將其大致分為三類并做了詳細(xì)的分析和研究：

• 成熟的服務(wù)：本地云安全工具、云安全訪問代理(CASB)、云工作負(fù)載保護(hù)平臺(tái)(CWPP)、云安全態(tài)勢(shì)管理(CSPM)等

• 新興工具：SaaS安全態(tài)勢(shì)管理(SSPM)、SaaS管理平臺(tái)(SMP)等、開源工具等

• 其他服務(wù)：云原生應(yīng)用程序保護(hù)平臺(tái)(CNAPP)

編輯搜圖

本地云安全工具易于購買和實(shí)現(xiàn)，但需對(duì)它們根據(jù)用例、功能以及與現(xiàn)有內(nèi)部安全工具和流程的集成來進(jìn)行評(píng)估。一些全球CSP設(shè)有全球云和中國云，中國特有的法規(guī)導(dǎo)致了產(chǎn)品、技術(shù)可行性和服務(wù)模式的差異。

開源工具是云安全的選擇之一。開源工具為云安全提供靈活性與創(chuàng)新性，也會(huì)帶來新的風(fēng)險(xiǎn)，需正確管理開放源代碼帶來的風(fēng)險(xiǎn)與回報(bào)。通常而言，非本土供應(yīng)商并不向中國境內(nèi)提供所有產(chǎn)品與服務(wù)，他們要么商要么與本地基礎(chǔ)設(shè)施運(yùn)營商合作，要么讓用戶通過跨境連接獲得全球服務(wù)。而中國供應(yīng)商為避免與提供公有云工具的供應(yīng)商競(jìng)爭(zhēng)，多專注于內(nèi)部云和私有云部署的安全工具，而非公有云，尤其是SaaS，使公有云在中國的采用率還沒有發(fā)揮出全部潛力。隨著全球供應(yīng)商逐步提高在中國的服務(wù)可行性，以及本土供應(yīng)商投資覆蓋更多場(chǎng)景的產(chǎn)品，中國與世界的技術(shù)差距最終將變小。

CNAPP整合了大量過去封閉的能力，包括容器掃描、云安全態(tài)勢(shì)管理、基礎(chǔ)設(shè)施如掃碼、云基礎(chǔ)設(shè)施授權(quán)管理，一些本地廠商的產(chǎn)品旨在解決云原生應(yīng)用程序的安全需求，但目前并沒有覆蓋所有領(lǐng)域的能力。

如何有效評(píng)估CSP風(fēng)險(xiǎn)？

報(bào)告采用的評(píng)估方法為國際通用的CSP評(píng)估模型。

編輯搜圖

經(jīng)過評(píng)估，CSP共被劃分為三個(gè)等級(jí)。

編輯搜圖

I 一級(jí)CSP

所有一級(jí)CSP都經(jīng)過了中國MLPS三級(jí)認(rèn)證和多個(gè)其他第三方安全評(píng)估。這些大型CSP保護(hù)他們的品牌形象，并不斷尋求方法來鼓勵(lì)更高水平的客戶信任。它們主要由在市場(chǎng)上占據(jù)主導(dǎo)地位的老牌云服務(wù)提供商組成。突出案例包括：阿里云、騰訊云、華為云、ecloud、亞馬遜和微軟

II 二級(jí)CSP

二級(jí)CSP主要由中型提供商和一些在云計(jì)算能力上不突出的大型軟件服務(wù)商構(gòu)成。這些CSP在安全和操作方面相對(duì)不成熟，通常缺乏第三方評(píng)估，可能存在財(cái)務(wù)基礎(chǔ)薄弱，償付能力不足的問題。市場(chǎng)商大部分供應(yīng)商都集中在這個(gè)級(jí)別。

III 三級(jí)CSP

主要指非常小的供應(yīng)商，它們?nèi)狈邮艿谌皆u(píng)估的資源，且具備的能力非常有限，它們薄弱的財(cái)務(wù)基礎(chǔ)很難在短時(shí)間內(nèi)得到改變。你必須假設(shè)它們是不安全的，任何接受這種服務(wù)的組織/企業(yè)都必須充分意識(shí)并接受可能存在的任何風(fēng)險(xiǎn)。

此外，報(bào)告也詳細(xì)介紹了幾種形式的第三方評(píng)估。第三方評(píng)估或認(rèn)證通常用于評(píng)估CSP的安全性。除了全球認(rèn)證外，中國本土的認(rèn)證在這個(gè)環(huán)節(jié)必不可少。常見的第三方認(rèn)證包括幾種：MLPS、可信云認(rèn)證、ITSS云計(jì)算服務(wù)能力評(píng)估、中國網(wǎng)絡(luò)空間管理局(CAC)網(wǎng)絡(luò)安全評(píng)估、ISO 27001/27017/27018認(rèn)證等。報(bào)告指出，MLPS是最重要的，中國合格的CSP必須通過MLPS三級(jí)評(píng)估。

中國云安全市場(chǎng)未來可期

盡管目前中國在云計(jì)算和云原生技術(shù)的發(fā)展上與西方發(fā)達(dá)國家仍存在一定差距，但云安全早已受到行業(yè)企業(yè)以及市場(chǎng)客戶的日益關(guān)注與重視。當(dāng)前已有很多國內(nèi)廠商能夠提供CWPP相關(guān)服務(wù)，相信隨著對(duì)PaaS、容器、和云集成等能力的進(jìn)一步完善，中國市場(chǎng)存在廣闊的增長(zhǎng)空間。

云安全服務(wù)作為網(wǎng)絡(luò)安全服務(wù)的最新服務(wù)形式，將云計(jì)算技術(shù)和業(yè)務(wù)模式應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域，以云的方式交付安全能力，實(shí)現(xiàn)了安全即服務(wù)的理念。在網(wǎng)絡(luò)攻擊更加復(fù)雜化的環(huán)境下，云安全服務(wù)成為網(wǎng)絡(luò)安全重要發(fā)展方向是不可逆轉(zhuǎn)的趨勢(shì)。

Gartner預(yù)計(jì)，到2024年，中國終端用戶在系統(tǒng)基礎(chǔ)設(shè)施和基礎(chǔ)設(shè)施軟件上的支出將有近40%轉(zhuǎn)移到云服務(wù)支出。這一結(jié)構(gòu)性的轉(zhuǎn)移使得云安全成為中國安全和風(fēng)險(xiǎn)管理人優(yōu)先需要關(guān)注的重點(diǎn)。