亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

云計(jì)算、大數(shù)據(jù)、5G等等一系列新的技術(shù)呼嘯而來(lái)，快速發(fā)展成熟，并逐步落地應(yīng)用于各行各業(yè)。從忽略、觀望、猶豫，到現(xiàn)在，上云成為了政企業(yè)務(wù)發(fā)展、IT演進(jìn)的必選項(xiàng)。在這樣的大背景下，如何充分應(yīng)用云計(jì)算的能力和因應(yīng)云發(fā)展的潮流，讓其更好的服務(wù)于業(yè)務(wù)，成為了熱門的新課題。“云原生”的概念應(yīng)運(yùn)而生，并必然貫穿這個(gè)時(shí)代IT演進(jìn)的始終，帶動(dòng)所有應(yīng)用領(lǐng)域出現(xiàn)顛覆式的變革。

作為網(wǎng)絡(luò)安全的從業(yè)者，我們也身處云計(jì)算所帶來(lái)的變革大潮之中。如何正確判斷云原生所帶來(lái)的云安全市場(chǎng)的機(jī)遇，并把握準(zhǔn)確的時(shí)機(jī)蓄勢(shì)而動(dòng)，是我們需要關(guān)注與思考的課題。近兩年，我們與包括Gartner和IDC在內(nèi)的多家業(yè)界分析機(jī)構(gòu)交流，和安全領(lǐng)域的最頂尖權(quán)威分析師團(tuán)隊(duì)做了很多碰撞，拓展視野；參考國(guó)際最領(lǐng)先市場(chǎng)的安全技術(shù)與市場(chǎng)發(fā)展軌跡，并在這個(gè)過(guò)程中不斷的介紹與映證我們的產(chǎn)品技術(shù)方向和應(yīng)用價(jià)值等等。另一方面，公司在此期間也一直為業(yè)務(wù)快速增長(zhǎng)、IT架構(gòu)不斷升級(jí)的各行業(yè)客戶提供產(chǎn)品服務(wù)，我們不斷地分析市場(chǎng)需求，修正自身定位，從技術(shù)前瞻等各方面來(lái)規(guī)劃技術(shù)和產(chǎn)品的發(fā)展演進(jìn)，并從這個(gè)思考迭代過(guò)程中積累了很多沉淀。本文是對(duì)計(jì)算格局和云安全的一些隨筆暢想。

簡(jiǎn)介

我們梳理過(guò)去五十年IT發(fā)展的各個(gè)板塊，會(huì)發(fā)現(xiàn)處理器、存儲(chǔ)、網(wǎng)絡(luò)這幾個(gè)關(guān)鍵要素的迭代發(fā)展，讓“計(jì)算”像歷史上的交流電和自來(lái)水一樣，在管道鋪好了、集群集中做到位后，逐漸往Utility的方向發(fā)展，“云計(jì)算”即隨之得名。2005年美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院NIST提出和確定了云計(jì)算IaaS、PaaS、SaaS的模型，2006年亞馬遜最早推出了EC2和S3。從那之后，云計(jì)算對(duì)科技行業(yè)基礎(chǔ)設(shè)施的影響是顛覆性的。公有云、私有云、混合云在各種云的建設(shè)中被反復(fù)提及，而美國(guó)的SaaS業(yè)務(wù)在2014年標(biāo)志性的首次超越IaaS后，亞馬遜、微軟、谷歌和IBM帶領(lǐng)的美國(guó)公有云軟件即服務(wù)業(yè)務(wù)，就從此一飛沖天。

信息安全一直是跟隨IT基礎(chǔ)設(shè)施和業(yè)務(wù)發(fā)展的。云計(jì)算的顛覆性發(fā)展，帶來(lái)了對(duì)應(yīng)用“云原生（Cloud Native）”的需求，也帶來(lái)了對(duì)安全機(jī)制“云原生”的需求。傳統(tǒng)的以數(shù)據(jù)中心、網(wǎng)絡(luò)和端點(diǎn)為主要保護(hù)對(duì)象的安全思路和產(chǎn)品，在云原生的要求下，必須在開發(fā)、部署、管理等多個(gè)方面都跟上云設(shè)施和云應(yīng)用的演進(jìn)。

時(shí)至今日，在安全市場(chǎng)整體的發(fā)展中，云安全的重要性越來(lái)越高。據(jù)Gartner在2020年一季度的預(yù)測(cè)顯示，全球2018-2024年信息安全市場(chǎng)中，云安全及其相關(guān)子領(lǐng)域的年復(fù)合增長(zhǎng)率在30%左右，其發(fā)展速度遠(yuǎn)遠(yuǎn)超過(guò)其它類型的安全產(chǎn)品。2020年的舊金山RSA大會(huì)上，“Cloud Security（云安全）”也在安全熱門詞排名中，超過(guò)“Privacy（隱私）”、“Network Security（網(wǎng)絡(luò)安全）”、“Governance and Compliance（監(jiān)管和合規(guī)）”等領(lǐng)域，高居榜首。

云計(jì)算市場(chǎng)的發(fā)展，在全球呈現(xiàn)出“美國(guó)”和“美國(guó)之外”兩個(gè)板塊的兩極趨勢(shì)。中國(guó)的云計(jì)算和云安全市場(chǎng)，跟美國(guó)比存在較大區(qū)別，這其中有發(fā)展階段的原因，建設(shè)習(xí)慣的原因，也有生態(tài)環(huán)境和競(jìng)爭(zhēng)等原因。即使如此，我國(guó)在云計(jì)算整體大趨勢(shì)上的發(fā)展，基本是與我國(guó)經(jīng)濟(jì)體量和發(fā)展水平對(duì)稱的。

云原生和云安全是什么

“云原生（Cloud Native）”這個(gè)詞，在云計(jì)算模式中，經(jīng)常被冠在不同子領(lǐng)域前來(lái)作為形容詞定語(yǔ)，這也引來(lái)了很多使用者的困擾。本文從最終使用者的視角，來(lái)闡述筆者的一種理解。

云使用者最為關(guān)注的，其實(shí)是他們要運(yùn)行的云應(yīng)用，因?yàn)檫@涉及到運(yùn)行的業(yè)務(wù)是啥，以及要付多少錢。因此，如果以云原生應(yīng)用（Cloud Native Application）作為討論的基礎(chǔ)，那么寬泛的說(shuō)，“云原生”描述的是充分利用原生云能力（自動(dòng)scale-out、無(wú)中斷部署、自動(dòng)化管理、彈性，等等）來(lái)進(jìn)行應(yīng)用設(shè)計(jì)和部署的方法。在這個(gè)形而上的框架下，微服務(wù)、容器技術(shù)、云數(shù)據(jù)庫(kù)技術(shù)、K8S、彈性搜索、遙測(cè)Telemetry等技術(shù)，都是形而下的技術(shù)。那么在這個(gè)框架下，可以想象，簡(jiǎn)單的把原有企業(yè)網(wǎng)的環(huán)境和虛機(jī)遷移到IaaS云里，或者把原有應(yīng)用直接打包到虛機(jī)里來(lái)跑，乃至做些API對(duì)外提供接口，這些做法離云原生都還遠(yuǎn)。一句話，云原生應(yīng)用為了這個(gè)“云原生”屬性，需要在發(fā)布、服務(wù)方式、隨需彈性、數(shù)據(jù)和工作負(fù)載（workload）管理等多方面都重新構(gòu)建。

在IT發(fā)展歷史上，安全產(chǎn)品一直是跟隨IT基礎(chǔ)設(shè)施和業(yè)務(wù)來(lái)為其服務(wù)的。云安全也不例外——云安全處理的就是面向訪問和使用云系統(tǒng)云應(yīng)用的流程機(jī)制。

云安全與傳統(tǒng)企業(yè)網(wǎng)絡(luò)安全機(jī)制的最大不同在于，云安全的管理責(zé)任是在云運(yùn)營(yíng)商和用戶之間分享的，從IaaS到PaaS再到SaaS這三個(gè)云業(yè)務(wù)層級(jí)上，云運(yùn)營(yíng)商的責(zé)任越來(lái)越大。最“輕量”的情況下，使用SaaS的用戶只需管理自己的數(shù)據(jù)和用戶接入權(quán)限，其余的都交給運(yùn)營(yíng)商。有關(guān)云計(jì)算下安全責(zé)任分配方面的資料描述已經(jīng)非常詳實(shí)，本文也就不贅述，直接引用加拿大政府《云安全與風(fēng)險(xiǎn)管理流程指南》中的相關(guān)責(zé)任范圍描述，如圖 1所示。

圖 1 云安全的責(zé)任范圍（來(lái)源：www.canada.ca）

從責(zé)任共享這一點(diǎn)出發(fā)，云安全產(chǎn)品就可以非常直觀的分成兩個(gè)大類：一方面是云運(yùn)營(yíng)商配套云服務(wù)而直接提供的安全產(chǎn)品，也可稱為“云運(yùn)營(yíng)商原生提供的安全（Native Cloud Security）”；另一方面則是第三方安全廠商提供的安全產(chǎn)品。無(wú)論哪一類云安全，為了更好的支持云服務(wù)，都要做到支持和適配“云原生”這個(gè)屬性。

對(duì)于以上基于責(zé)任共享而定義的云安全產(chǎn)品分類，一個(gè)很自然的問題是，目前已經(jīng)存在的網(wǎng)絡(luò)安全產(chǎn)品，有哪些未必需重新大改架構(gòu)，可以直接服務(wù)于云安全或被云運(yùn)營(yíng)商直接采用？這也是對(duì)于安全廠商和很多云租戶的CISO們來(lái)說(shuō)非常關(guān)心的現(xiàn)實(shí)問題。Gartner對(duì)于云安全機(jī)制，基于現(xiàn)實(shí)情況增加統(tǒng)計(jì)了這個(gè)維度，下圖是2019年的分類。

圖 2 云安全的服務(wù)和組件，2019（來(lái)源：Gartner）

云安全的需求是由云業(yè)務(wù)發(fā)展驅(qū)動(dòng)的，具體體現(xiàn)在邏輯安全架構(gòu)和技術(shù)組件上。從上圖左側(cè)可以看出，防火墻、防入侵、端點(diǎn)安全、服務(wù)器監(jiān)控、終端檢測(cè)響應(yīng)和SIEM等，對(duì)云原生的要求沒那么高，因此很多安全產(chǎn)品會(huì)由運(yùn)營(yíng)商直接從第三方安全廠商拿來(lái)部署上云。而威脅檢測(cè)、工作負(fù)載安全、用戶行為監(jiān)控、合規(guī)與風(fēng)險(xiǎn)管理，云運(yùn)營(yíng)商往往需要自行提供這些工具來(lái)滿足“云原生”的要求。第三方安全廠商提供的和云具有較好親和力的產(chǎn)品，Gartner這里在圖右側(cè)提到了云工作負(fù)載保護(hù)平臺(tái)CWPP（Cloud Workload Protection Platform）、云安全態(tài)勢(shì)管理CSPM（Cloud Security Posture Management）、云訪問安全代理CASB（Cloud Access Security Broker）、微隔離Micro-segmentation和CDN。

以上的分類法，只是諸多對(duì)云安全機(jī)制試圖歸類的一種。安全一直是一個(gè)非常零散的市場(chǎng)，據(jù)統(tǒng)計(jì)，美國(guó)2019年存在5000多家安全廠商，而中國(guó)同期這個(gè)數(shù)字是3000余家。這也導(dǎo)致安全產(chǎn)品給自己的定位可以相當(dāng)靈活，乃至模糊。因此，云安全產(chǎn)品分類還有很多種，比如基于IaaS、PaaS和SaaS的云安全，基于上云（of the cloud）和云上（in the cloud）的安全，基于防御深度模型的云安全機(jī)制分類，等等。這些不同的分類法，并非嚴(yán)格的科學(xué)定義問題，因此本文不再贅述。本文后面章節(jié)將繼續(xù)從“云原生”要求的角度來(lái)展開，介紹云原生環(huán)境對(duì)安全在業(yè)務(wù)、管理和部署上的新要求，及相應(yīng)所催生的云安全廠商的機(jī)會(huì)。

廠商的云安全機(jī)會(huì)

前文提到，無(wú)論中國(guó)還是美國(guó)，安全市場(chǎng)都看起來(lái)高度分散。但是高度分散和海量的新企業(yè)，背后反映的是蓬勃發(fā)展的市場(chǎng)板塊，以及資本市場(chǎng)對(duì)于安全企業(yè)的青睞。并購(gòu)、上市等活動(dòng)在安全市場(chǎng)非常活躍，這種活躍會(huì)隨著云計(jì)算的普及，持續(xù)數(shù)年。

我們冷靜的分析一下安全廠商在云安全領(lǐng)域的機(jī)會(huì)。首先，既有的安全機(jī)制中，能直接被云運(yùn)營(yíng)商采用搬上其云環(huán)境的這部分，是傳統(tǒng)廠商的靜態(tài)存量市場(chǎng)（搬一塊少一塊）。其次，云運(yùn)營(yíng)商為了適配其云原生服務(wù)（容器、微服務(wù)、存儲(chǔ)、記錄和監(jiān)測(cè)等），也采購(gòu)或自研來(lái)提供安全產(chǎn)品給自己和云租戶。最后，第三方安全廠商為了云原生則可開發(fā)在特性上更通用的安全產(chǎn)品，在配置和部署上則貼近云運(yùn)營(yíng)商和云租戶做適配。

上文的后兩個(gè)領(lǐng)域，是安全市場(chǎng)的創(chuàng)新和整合頻繁出現(xiàn)的地方：

• 創(chuàng)新廠商同時(shí)服務(wù)多家云應(yīng)用來(lái)拓展業(yè)務(wù)（例如，創(chuàng)業(yè)公司Inky為G-suites，Office365和Exchange都提供郵件反釣魚業(yè)務(wù)，估計(jì)最后押寶被微軟或者谷歌收購(gòu)）；
• 創(chuàng)新企業(yè)被安全大廠并購(gòu)（例如，身份認(rèn)證廠商DUO在上市前，收到Cisco一張比IPO預(yù)期更高價(jià)位的支票，于是決定不敲鐘了，同意被收購(gòu)；CASB廠商Skyhigh被McAfee收購(gòu)后，重新包裝成MVISION Cloud）；
• 云供應(yīng)商實(shí)在覺得順手，就自己買下個(gè)把安全公司（例如VMware買下終端安全大廠CarbonBlack來(lái)拓展端點(diǎn)安全和工作負(fù)載安全）；
• 頭部大型安全廠商服務(wù)多家云，結(jié)成捆綁戰(zhàn)略（例如，Palo Alto Networks買下PureSec、Twistlock、Aporeto等一籃子公司后，組建了其云安全產(chǎn)品線Prisma Cloud，適配亞馬遜AWS、微軟Azure、谷歌GCP、IBM Cloud、VMware Tanzu、阿里云等天下幾乎所有頭部云運(yùn)營(yíng)商）。

云原生環(huán)境對(duì)安全在業(yè)務(wù)、管理和部署上的新要求，就是云安全廠商的機(jī)會(huì)。最重要的幾個(gè)要求包括：

（1）云業(yè)務(wù)持續(xù)不斷的交付要求，需要持續(xù)不斷的安全保障。時(shí)至今日，微服務(wù)、容器等已經(jīng)成為云業(yè)務(wù)的主流，彈性和無(wú)中斷成為標(biāo)配要求。亞馬遜、沃爾瑪、Target（美國(guó)第二大綜合零售商，大家戲稱靶子店）等在其云上的店面部署更新能做到每日數(shù)百次——因此安全必須也做到輕量化、持續(xù)不斷，并嵌入部署工具中各個(gè)環(huán)節(jié)來(lái)確保成為“檢查點(diǎn)”。

（2）對(duì)工作負(fù)載（Workload）的安全防護(hù)是必須的，而且要隨著工作負(fù)載的演進(jìn)而不斷演進(jìn)。傳統(tǒng)企業(yè)安全防護(hù)，端點(diǎn)、網(wǎng)絡(luò)、邊界，各個(gè)層級(jí)是比較清晰的。云環(huán)境下，這些邊界界限變得很模糊，而承載計(jì)算的工作負(fù)載則是直面威脅的對(duì)象。

工作負(fù)載，大致可以定義為：運(yùn)行特定應(yīng)用需要的資源和進(jìn)程。比如，一個(gè)云工作負(fù)載包括程序、其使用和產(chǎn)生的數(shù)據(jù)、以及需要連接用戶和其他相關(guān)程序的網(wǎng)絡(luò)資源。

隨著云計(jì)算和云原生需求的發(fā)展，工作負(fù)載的形式越來(lái)越抽象靈活，同時(shí)其部署和運(yùn)行的生命周期也可越來(lái)越短。如圖 3中的描述所示，工作負(fù)載從最初的物理服務(wù)器，發(fā)展到虛擬機(jī)。到今天，容器和微服務(wù)已經(jīng)成為主流。而正在出現(xiàn)和發(fā)展的工作負(fù)載新形式Serverless（無(wú)服務(wù)程序），直接對(duì)應(yīng)用run-time虛擬化，改變了傳統(tǒng)意義上的服務(wù)進(jìn)程監(jiān)聽-運(yùn)行模式，是更加精細(xì)粒度的瞬態(tài)工作負(fù)載（ephemeral Workload）。

多種形式和生命周期的云工作負(fù)載，會(huì)長(zhǎng)期共存，目前并沒出現(xiàn)彼此淘汰的情況。因此，工作負(fù)載的安全，是一個(gè)需要橫向保護(hù)多種負(fù)載，也需要縱向?qū)γ款愗?fù)載深入做好保護(hù)的問題。

圖 3 云工作負(fù)載的形式和演進(jìn)（來(lái)源：Gartner）

（3）多系統(tǒng)和Hybrid Stack支持，自動(dòng)化配置。Hybrid這個(gè)詞，既描述了云的公有、私有、混合等形態(tài)，也描述了當(dāng)前云工作負(fù)載的多樣性和抽象演進(jìn)，同時(shí)還反映著對(duì)多種操作系統(tǒng)提供支持的需求。舉個(gè)例子來(lái)說(shuō)，筆者曾從事過(guò)real-time應(yīng)用研究，mission-critical任務(wù)是一類有特定時(shí)間要求（sojourn time constraints）的應(yīng)用，這種任務(wù)往往對(duì)操作系統(tǒng)本身的實(shí)時(shí)屬性有要求。把用于實(shí)時(shí)通信的mission-critical容器部署在云虛機(jī)里，就會(huì)涉及到很多這類問題。比如，虛機(jī)本身的OS是否滿足real-time層面的要求，虛機(jī)的OS是否有最新的安全補(bǔ)丁，如何做到虛機(jī)和容器層面的可視化，如何保證對(duì)主機(jī)、虛機(jī)、容器和程序的檢測(cè)響應(yīng)，等等。更為重要的是，復(fù)雜的應(yīng)用往往給配置增加難度，而70%以上的攻擊事件，都是從用戶的不當(dāng)配置上產(chǎn)生的。因此自動(dòng)化（automation）這個(gè)要求，在云原生的背景下有格外重要的意義。

CWPP與CSPM：業(yè)務(wù)面和管理面的解析

CWPP的能力集和分類

如前文所述，云工作負(fù)載在抽象化、靈活和彈性上歷經(jīng)演進(jìn),多種形式和生命周期的云工作負(fù)載，目前并沒出現(xiàn)彼此淘汰的情況。因此，出于其特性，云工作負(fù)載的安全要兼顧對(duì)多種工作負(fù)載全面覆蓋的橫向保護(hù)，以及對(duì)每類工作負(fù)載更精細(xì)深入的縱向保護(hù)。

對(duì)云工作負(fù)載的保護(hù)機(jī)制，業(yè)界有多種定義分類法。Gartner定義其為“云工作負(fù)載保護(hù)平臺(tái)CWPP（Cloud Workload Protection Platforms）”，意指在現(xiàn)代混合多云數(shù)據(jù)中心架構(gòu)下，以工作負(fù)載為中心的安全機(jī)制。更簡(jiǎn)單點(diǎn)說(shuō)，就是保護(hù)租戶在云上工作負(fù)載的安全機(jī)制。

CWPP的定義是一個(gè)足夠?qū)挿旱目蚣埽蚣芾锩姘哪芰Πǎ涸谠圃軜?gòu)下持續(xù)評(píng)估風(fēng)險(xiǎn)的能力，在部署前和運(yùn)行中識(shí)別薄弱點(diǎn)和誤配置的能力，在運(yùn)行后及時(shí)發(fā)現(xiàn)和分析響應(yīng)的能力，以及支持多種云運(yùn)營(yíng)商平臺(tái)運(yùn)行環(huán)境和配置環(huán)境的能力等。

在這個(gè)框架下， 2019年全球的CWPP市場(chǎng)收入為12.44億美元，在2018年10億美元的基礎(chǔ)上，增長(zhǎng)超過(guò)20%。這個(gè)市場(chǎng)內(nèi)，三個(gè)最大的玩家分別是：趨勢(shì)科技、賽門鐵克和McAfee，占了一半的營(yíng)收。

隨著工作負(fù)載的演進(jìn)，Gartner對(duì)CWPP的能力描述也在不斷演進(jìn)。從2016年開始，CWPP領(lǐng)域有了獨(dú)立發(fā)布的市場(chǎng)指南，CWPP與聚焦終端安全的EPP分開，開始強(qiáng)調(diào)混合數(shù)據(jù)中心中多云工作負(fù)載的管理能力，從技術(shù)角度最看重的是跟云平臺(tái)的原生對(duì)接。

2020年4月Gartner發(fā)布的CWPP市場(chǎng)指南中，業(yè)界已經(jīng)很熟悉的CWPP能力金字塔進(jìn)一步精簡(jiǎn)，文件加密和防病毒干脆就從能力要求中移除了。目前的能力，從最核心的開始，按照重要性逐漸遞減的排序，包括八層：

（1）加固、配置和漏洞管理，

（2）基于身份的隔離和網(wǎng)絡(luò)可視化，

（3）系統(tǒng)一致性保證，

（4）應(yīng)用控制/白名單，

（5）預(yù)防漏洞利用和內(nèi)存管理，

（6）服務(wù)器工作負(fù)載行為監(jiān)測(cè)、威脅檢測(cè)和響應(yīng)，

（7）主機(jī)防入侵和漏洞屏蔽，

（8）掃描惡意軟件。

不同的安全廠商針對(duì)特定領(lǐng)域，聚焦一種或多種能力，這也造就了CWPP具體產(chǎn)品實(shí)現(xiàn)的不同基因。Gartner據(jù)此把廠商分成七大類：廣泛能力和多系統(tǒng)支持，漏洞掃描和配置合規(guī)，基于身份的隔離和可視化與管控，應(yīng)用管控與狀態(tài)執(zhí)行，服務(wù)器行為監(jiān)測(cè)和威脅檢測(cè)和響應(yīng)，容器和K8S保護(hù)，以及對(duì)Serverless的保護(hù)。比如，志翔科技的至明?安全探針產(chǎn)品（ZS-ISA），對(duì)服務(wù)器、虛擬機(jī)和容器都能監(jiān)測(cè)和保護(hù)，并支持基于用戶角色的精細(xì)管控RBAC和安全可視化，因此被歸類為CWPP中的“基于身份的隔離和可視化與管控”。

CSPM：硬幣的另一面

自從軟件定義網(wǎng)絡(luò)SDN（Software Defined Network）的概念在2010年正式提出并流行起來(lái)之后，“軟件定義某業(yè)務(wù)”就隨之?dāng)U展到各個(gè)領(lǐng)域，軟件定義安全、軟件定義存儲(chǔ)、軟件定義廣域網(wǎng)、軟件定義邊界等概念和技術(shù)都相繼出現(xiàn)。控制面和轉(zhuǎn)發(fā)面分離，是SDN中的一個(gè)重要概念。網(wǎng)絡(luò)策略在控制面計(jì)算并下發(fā)到轉(zhuǎn)發(fā)面，轉(zhuǎn)發(fā)面不用具備復(fù)雜計(jì)算能力，直接執(zhí)行策略做轉(zhuǎn)發(fā)即可。當(dāng)然，這個(gè)概念在做光傳輸?shù)耐蕘?lái)看，不過(guò)是繞回了二十多年前傳輸網(wǎng)早就實(shí)踐的理念，沒啥新鮮的，本文此處不細(xì)述網(wǎng)絡(luò)界的技術(shù)八卦。

控制面和轉(zhuǎn)發(fā)面的分分合合，在CPU設(shè)計(jì)中有，在網(wǎng)絡(luò)設(shè)計(jì)中有，在云安全中同樣有，而且以馬甲出現(xiàn)——很多時(shí)候稱之為“管理面”和“業(yè)務(wù)面”。CWPP是對(duì)云工作負(fù)載進(jìn)行保護(hù)，是對(duì)業(yè)務(wù)面的安全防護(hù)。那么其對(duì)應(yīng)的管理面，要配置策略和管理工作負(fù)載、監(jiān)控合規(guī)性、保障調(diào)用云運(yùn)營(yíng)商API完整性等等，這些同樣需要安全防護(hù)。而且?guī)缀跛械脑瓢踩录忌婕芭渲缅e(cuò)誤和管控失當(dāng)，而目前IaaS和PaaS服務(wù)中的自動(dòng)化和用戶自助之普及，更凸顯正確配置和合規(guī)的重要性，這就讓管理面的安全機(jī)制變得越加重要。

根據(jù)Gartner定義，云安全態(tài)勢(shì)管理CSPM（Cloud Security Posture Management）就是專注管理面的安全屬性，包括安全配置、安全評(píng)估、合規(guī)監(jiān)控等等，解決的核心問題是云平臺(tái)在使用過(guò)程中的配置安全問題。CSPM通常通過(guò)調(diào)用云運(yùn)營(yíng)商提供的API，使用其原生能力來(lái)自動(dòng)檢測(cè)和發(fā)現(xiàn)配置錯(cuò)誤，及時(shí)發(fā)現(xiàn)上云的風(fēng)險(xiǎn)并提前預(yù)警和敏捷響應(yīng)。CSPM的典型能力包括：身份識(shí)別、合規(guī)評(píng)估、運(yùn)營(yíng)監(jiān)控、可視化與策略強(qiáng)化、DevOps 集成、威脅防護(hù)和風(fēng)險(xiǎn)發(fā)現(xiàn)、風(fēng)險(xiǎn)評(píng)估和運(yùn)營(yíng)安全驗(yàn)證等。作為使用云服務(wù)的安全管理面，CSPM還需要適配多種云運(yùn)營(yíng)商、借助其管理API來(lái)自動(dòng)掃描和偵知風(fēng)險(xiǎn)。

CSPM和CWPP幾乎是同一塊硬幣的兩面。從技術(shù)細(xì)節(jié)上說(shuō)，CSPM和CWPP干的是不同的事情。但是從云應(yīng)用的實(shí)際運(yùn)行中來(lái)看，這兩者密不可分。圖 4從云租戶的視角，解釋了這幾個(gè)層面安全機(jī)制之間的關(guān)系。云運(yùn)營(yíng)商原生就會(huì)提供一些基礎(chǔ)的安全機(jī)制來(lái)保護(hù)上云的安全。CSPM負(fù)責(zé)管理面的安全問題，檢查和強(qiáng)化正確的配置；CWPP負(fù)責(zé)業(yè)務(wù)面的安全問題，保護(hù)好各種云工作負(fù)載，兩者配合的目的，都是為了云計(jì)算業(yè)務(wù)的正常開展和租戶敏感數(shù)據(jù)得到妥善保護(hù)。實(shí)際上這種“策略配置檢查-策略下發(fā)執(zhí)行-業(yè)務(wù)過(guò)程防護(hù)”的邏輯，其內(nèi)在哲學(xué)與通信網(wǎng)絡(luò)中的做法完全一致。

圖 4 CWPP和CSPM分別負(fù)責(zé)業(yè)務(wù)面和管理面

CSPM目前在美國(guó)云運(yùn)營(yíng)商中，大量應(yīng)用在頭部的亞馬遜AWS上，在微軟Azure和谷歌GCP的應(yīng)用也在迅速增長(zhǎng)。由于云基礎(chǔ)架構(gòu)仍然在改進(jìn)，各國(guó)的行業(yè)標(biāo)準(zhǔn)和合規(guī)要求也一直在提升，CSPM策略也對(duì)應(yīng)貫穿云應(yīng)用的整個(gè)生命周期，從開發(fā)測(cè)試，到上線運(yùn)行，一直延伸到運(yùn)維和終結(jié)。

很自然的，業(yè)務(wù)面和管理面的云安全產(chǎn)品會(huì)融合組成解決方案來(lái)服務(wù)多種云和多租戶。很有意思的是，從CWPP和CSPM的融合趨勢(shì)來(lái)看，從業(yè)務(wù)面往管理面發(fā)展的廠商很多，而反之則較少。筆者的解讀是，CWPP在操作系統(tǒng)、平臺(tái)和網(wǎng)絡(luò)層面有較多特性，屬于“通才”基礎(chǔ)能力，而CSPM往往是和某個(gè)云運(yùn)營(yíng)商在配置和API能力上深度綁定的。從通識(shí)教育向某個(gè)方向垂直發(fā)展，符合我們求知和教育的一貫做法，大學(xué)里大家都是先上公共基礎(chǔ)課，再學(xué)專業(yè)基礎(chǔ)課，最后本科高年級(jí)才到專業(yè)課。

安全機(jī)制在IaaS、PaaS和SaaS層面運(yùn)用解析

為了完整性，筆者再提一下云訪問安全代理CASB（Cloud Access Security Broker）。CASB主要服務(wù)于SaaS場(chǎng)景，在美國(guó)隨著SaaS的業(yè)務(wù)從2014年開始占據(jù)云計(jì)算主流，SaaS化的應(yīng)用也帶來(lái)CASB市場(chǎng)空間的極大拓展，其規(guī)模是遠(yuǎn)大于CWPP和CSPM的。SaaS的應(yīng)用場(chǎng)景如微軟Office365用于辦公，Salesforce用于CRM，ServiceNow用于運(yùn)維，Slack和Teams用于工作協(xié)同，這些也正是CASB廠商面向的重點(diǎn)領(lǐng)域。因此Gartner甚至提出，CASB對(duì)于云的作用，就相當(dāng)于防火墻對(duì)于數(shù)據(jù)中心的作用。

而中國(guó)的云計(jì)算市場(chǎng)與美國(guó)有著顯著不同（實(shí)際上歐洲也和美國(guó)明顯不同）,公有云和SaaS的發(fā)展，變成了“美國(guó)”和“世界其他各地”兩個(gè)市場(chǎng)。從供給側(cè)說(shuō)，我國(guó)IT產(chǎn)業(yè)長(zhǎng)期聚焦硬件設(shè)備，結(jié)構(gòu)性有點(diǎn)失衡，產(chǎn)業(yè)鏈相對(duì)分散，缺乏大量強(qiáng)有力的軟件公司來(lái)主導(dǎo)和推動(dòng)云化辦公。從需求側(cè)來(lái)說(shuō)，我國(guó)企業(yè)數(shù)字化和信息化程度并不高，很多企業(yè)主要的IT應(yīng)用停留在OA和簡(jiǎn)單的生產(chǎn)管理和財(cái)務(wù)管理上。只有互聯(lián)網(wǎng)新興行業(yè)客戶和少數(shù)IT重度依賴的傳統(tǒng)行業(yè)客戶（如金融、政務(wù)等）有較強(qiáng)的IT投入意愿，愿意嘗試云化辦公，而不同行業(yè)、區(qū)域之間壁壘相對(duì)更高。

因此到2019年，我國(guó)云計(jì)算的市場(chǎng)營(yíng)收，仍然以IaaS為主，至今SaaS還沒有廣泛流行。在這種情況下，CASB的需求就并不凸顯，因此CASB在我國(guó)目前還顯得“水土不服”。可以想象的是，我國(guó)在云計(jì)算的下半場(chǎng)，公有云+私有云結(jié)合的混合云仍然會(huì)是主要形態(tài)。互聯(lián)網(wǎng)公司布局公有云，傳統(tǒng)行業(yè)客戶出于政策監(jiān)管考慮，會(huì)選安全性和可控性更強(qiáng)的私有云/專有云，并需要深度定制的方案和服務(wù)支持。因此即使CASB最后在中國(guó)落地開花，其形態(tài)和特性也會(huì)跟今天美國(guó)市場(chǎng)的同類產(chǎn)品很不一樣。

圖 5描述CWPP、CSPM和CASB這三種云安全工具的適用業(yè)務(wù)模式。CWPP保護(hù)云工作負(fù)載，是典型的IaaS領(lǐng)域安全機(jī)制。CSPM作為云工作負(fù)載的管理面，是IaaS安全領(lǐng)域的補(bǔ)充，同時(shí)CSPM也適用于多云環(huán)境，可在PaaS層面作為配置和完整性檢測(cè)的業(yè)務(wù)提供安全防護(hù)。CASB則主要應(yīng)用于SaaS領(lǐng)域，在IaaS和PaaS有少量場(chǎng)景，主要來(lái)自于CASB產(chǎn)品本身的特性延展到了這兩個(gè)領(lǐng)域。從云租戶使用的角度來(lái)說(shuō)，如果租戶企業(yè)使用SaaS服務(wù)并存儲(chǔ)敏感數(shù)據(jù)，應(yīng)該考慮上CASB。如果企業(yè)主要使用IaaS服務(wù)的算力來(lái)處理敏感數(shù)據(jù)，則上CWPP來(lái)保護(hù)云工作負(fù)載，并使用CSPM來(lái)保證配置無(wú)誤。

圖 5 三種云安全工具適用的云業(yè)務(wù)模式（來(lái)源：Gartner）

云安全的趨勢(shì)：無(wú)邊界、云原生、融合構(gòu)筑防護(hù)深度

我們?cè)僖淮位仡櫺畔踩陌l(fā)展史，仍然要強(qiáng)調(diào)的是，信息安全是跟隨IT基礎(chǔ)設(shè)施和業(yè)務(wù)來(lái)發(fā)展的，也就是說(shuō)，安全跟隨其服務(wù)的對(duì)象而演進(jìn)。

業(yè)務(wù)數(shù)字化轉(zhuǎn)型和云計(jì)算的發(fā)展，改變了網(wǎng)絡(luò)安全的設(shè)計(jì)理念。傳統(tǒng)物理邊界變得模糊后，安全不再圍繞企業(yè)數(shù)據(jù)中心和終端來(lái)設(shè)計(jì)部署，安全邊界也不再是數(shù)據(jù)中心邊緣和企業(yè)網(wǎng)邊緣的某個(gè)盒子。在云計(jì)算時(shí)代，應(yīng)該基于以數(shù)據(jù)為中心（Data-centric）的原則來(lái)部署安全，關(guān)心的問題應(yīng)該是：誰(shuí)，能訪問什么業(yè)務(wù)和數(shù)據(jù)，應(yīng)該授予何種訪問權(quán)限，為什么需要這些權(quán)限，在授權(quán)范圍訪問是如何進(jìn)行的，等等，而不再是“業(yè)務(wù)在哪里”和“邊界在哪里”。換句話說(shuō)，傳統(tǒng)安全邊界變成了無(wú)處不在的邊界能力——?jiǎng)討B(tài)創(chuàng)建、策略強(qiáng)化、權(quán)限管控、安全訪問。

云計(jì)算的顛覆性發(fā)展，帶來(lái)了對(duì)應(yīng)用“云原生（Cloud Native）”的需求，也帶來(lái)了對(duì)安全機(jī)制“云原生”的需求。云原生應(yīng)用和云原生安全的市場(chǎng)前途光明。根據(jù)Gartner的數(shù)據(jù)，2020年全球公有云服務(wù)市場(chǎng)規(guī)模將達(dá)到2630億美元，同比增長(zhǎng)16.4%。以發(fā)達(dá)國(guó)家安全投入占IT投入的10%左右計(jì)算，這是個(gè)超過(guò)250億美元的市場(chǎng)。而根據(jù)中國(guó)信息通信研究院發(fā)布的《云計(jì)算白皮書（2018年）》顯示，到2021年，我國(guó)公有云、私有云建設(shè)年復(fù)合增長(zhǎng)率將分別達(dá)到43.7%、23.0%，市場(chǎng)規(guī)模將達(dá)到902.6億元、955.7億元。可以看出，與美國(guó)不同，我國(guó)的公有云和私有云市場(chǎng)規(guī)模接近。這兩塊云安全市場(chǎng)加起來(lái)也是一個(gè)接近200億人民幣的市場(chǎng)。

無(wú)論中國(guó)還是美國(guó)，安全市場(chǎng)都是碎片化嚴(yán)重、技術(shù)分支眾多、業(yè)務(wù)極其縱深，是名副其實(shí)的“離散關(guān)鍵賽道”——又小又重要。“一頓操作猛如虎，簽了合同兩萬(wàn)五”是安全從業(yè)者經(jīng)常自嘲的話。但從云計(jì)算給信息基礎(chǔ)設(shè)施帶來(lái)的變革來(lái)看，加上5G、物聯(lián)網(wǎng)和傳統(tǒng)產(chǎn)業(yè)數(shù)字化（產(chǎn)業(yè)互聯(lián)網(wǎng)）的發(fā)展，“云原生”帶來(lái)的是極為廣闊的市場(chǎng)容量，對(duì)安全的需求極為龐大。因此高度分散和海量的新企業(yè)，背后反映的是蓬勃發(fā)展的安全細(xì)分領(lǐng)域，以及資本市場(chǎng)對(duì)于安全企業(yè)的青睞。

安全廠商要抓住“云原生”這個(gè)機(jī)遇。信息安全的防護(hù)縱深洋蔥模型，在data-centric的云原生安全時(shí)代一樣存在，如圖 6所示。當(dāng)物理安全邊界逐漸模糊消亡并變成了無(wú)處不在的云原生安全邊界能力，這個(gè)洋蔥模型，從外到內(nèi)，無(wú)論政策、可視化、運(yùn)維和安全管理，還是南北向和東西向的網(wǎng)絡(luò)、基礎(chǔ)架構(gòu)、身份安全、數(shù)據(jù)安全等，實(shí)際上給安全市場(chǎng)帶來(lái)了更多的機(jī)遇。

圖 6 云安全防護(hù)縱深的“洋蔥”模型

從安全生態(tài)上而言，細(xì)分領(lǐng)域的廠商可以做深做精，而在全環(huán)節(jié)解決方案上，融合、合作、聯(lián)盟，就成為必然選項(xiàng)。比如，CWPP和CSPM本來(lái)就是親和力很好的鄰近領(lǐng)域，出現(xiàn)融合的趨勢(shì)是情理之中的。業(yè)務(wù)面和管理面的安全機(jī)制融合協(xié)同，可能出現(xiàn)一個(gè)新的市場(chǎng)，Gartner稱之為云原生應(yīng)用保護(hù)平臺(tái)CNAPP（cloud native application protection platforms），在開發(fā)和運(yùn)行運(yùn)營(yíng)階段對(duì)云原生應(yīng)用的配置和工作負(fù)載做安全防護(hù)。比如，機(jī)器學(xué)習(xí)、可視化、用戶實(shí)體行為分析UEBA等技術(shù)，會(huì)逐漸成為各項(xiàng)安全產(chǎn)品背后的技術(shù)，特別是提升日志分析、SIEM、特權(quán)賬號(hào)管理的能力。又如，軟件定義邊界SDP和其演進(jìn)出來(lái)的零信任安全框架，融合身份權(quán)限、訪問控制、安全管理等，將成為新的云業(yè)務(wù)訪問方式，逐漸取代傳統(tǒng)VPN等。

作者：志翔科技聯(lián)合創(chuàng)始人、市場(chǎng)戰(zhàn)略副總裁，伍海桑博士

轉(zhuǎn)載自數(shù)世咨詢