首页 > 关于我们 > 新闻动态 > 深度解读

2020风“云”变幻,2021路向何方

发布时间 2021-01-21

2020年初,突如其来的新冠疫情让开篇就充满跌宕,面对这样不平凡的一年,我们在时代的大潮中,看到了悲欢、困顿与坚守。新冠疫情给无数的企业带来了压力和挑战,这其中一个重要变化就是线上办公。


在国家“新基建”战略的背景下,如果说企业数字化转型是业务升级和供给侧改革的途径,那么疫情无疑是企业加速上云的助推器,这一切都让上云不仅是一种能效问题、技术问题和商业问题,更让上云的企业在面临风险的冲击下多了一种快速应变与内生变革的力量。


从云计算产业大市场上,我们可以看到公有云、混合云、私有云市场齐上扬,与此同时,随着国内外云计算产业发展的不同阶段,云安全的问题始终是用户上云考虑的关键因素,作为云计算的细分领域,云安全市场2020年也是持续快速增长。安全技术从来都是伴随信息技术和使用场景的发展而提升,今天我们主要谈一下这一年的国内外云安全热点技术趋势及后续展望。


国际篇


★ 面向容器的安全防护手段成为热点


在5G、新基建等新场景逐步落地的新形势下,业务需要快速更迭、快速上线和智能运维已经逐渐成为业内的普遍认识,新技术架构和新的开发模式也不断给用户带来更多的价值,容器、Kubernetes、DevOps、微服务这些新技术发展迅猛,得到了大量的用户和开发人员积极拥抱。与此同时,相应面向容器等新技术和架构的云安全技术、产品和解决方案也不断完善和发展。


1.jpg


容器是一种轻量级的虚拟化技术,能够在宿主机上实现计算、网络、存储的隔离,实现微服务等新兴架构。考虑到容器的生命周期相对较短,总体包括编译、传输和运行三个阶段,因此通常容器安全产品和解决方案都是围绕容器全生命周期提供全面和持续的保护。


2.png


编译阶段主要提供源代码审计、容器镜像漏洞的持续扫描等安全能力,考虑到容器经常与云原生开发过程结合,因此在编译阶段中,容器安全产品通常与如Jenkins等CI/CD的工具集成,提供自动化容器编译阶段的安全防护手段。


容器的传输阶段主要涉及容器镜像仓库服务器的安全管理,包括镜像仓库服务器的网络安全和镜像仓库服务器的周期性镜像漏洞扫描,安全产品需要在此阶段适配多种不同的镜像仓库服务器接口以为用户提供高适应性的防护能力。


容器的运行阶段根据容器的运行环境有所区别,在纯容器的运行环境中,需要对容器提供容器运行时环境的合规检测、容器运行时的入侵防护、容器微隔离、容器事件监测、容器运行镜像的一致性监测等。而在使用编排工具的容器环境中,则除上述安全能力外还需要结合编排工具平面提供额外的防护。Kubernetes则是一种主流容器编排工具,目前已经成为业界的事实标准,以其为例,还需要提供Kubernetes平台的合规基线核查、微服务发现和治理、集群权限管理等安全能力。


★ SASE逐步成为安全新宠


安全访问服务边缘(Secure Access Service Edge,SASE)的概念最早由Gartner在“The Future of Network Security Is in the Cloud”一文中提出。面对越发复杂的云计算环境,SASE提供了一种基于策略的软件定义的安全防护方式,以云上服务的方式提供包含SWG、CASB、FWaaS、ZTNA等众多安全能力,实现基于身份的动态安全访问手段,是一种结合下一代广域网、安全和边缘计算于一体的基于云交付的网络方案。


3.png


随着5G边缘计算的推广,尤其在新冠疫情的影响下,全球网络架构发生着巨大的变化,越来越的企业使用线上办公的模式,采用基于数据中心的网络模式。这种工作模式和网络模式的变化,对运营商能够进行移动设备、个人身份的安全管理认证,动态位置的标识,网络的严格管控,以及安全能力快速完整交付等提出了更严格的要求。在SASE解决方案中,充分运用SD-WAN和SDP技术所带来的软件定义网络能力,结合UEBA等身份认证技术,实现基于身份的零信任网络基础架构。同时,SASE方案中通常结合边缘计算技术,在分布式边缘中部署各类安全和网络应用进行管理和控制,以实现弹性、动态、快速交付和较低时延的综合型网络安全服务。


★ 云安全产品融合成为新业态


近两年,说到云安全技术和产品总是离不开Gartner主推的三个安全方向,分别是云负载安全防护平台(Cloud Workload Protection Platform,CWPP)、云安全配置管理(Cloud Security Posture Management, CSPM),云访问安全代理(Cloud Access Security Broker,CASB)。这三大云安全方向分别侧重于云工作负载、云安全合规和云上数据资产安全,三者在安全能力在互相补充的基础上又具有互相重合的部分。CWPP工作在IaaS层,CSPM则防护IaaS和PaaS层安全问题,而CASB防护IaaS、PaaS和SaaS三层。并且,随着技术的发展、产品的安全能力的提升,安全厂商纷纷将核心技术融入安全产品中,取长补短,形成综合的安全解决方案和安全平台。综合型安全公司Palo Alto的Prisma产品线将CWPP、CSPM和CASB三个云安全技术产品统一融合,提供综合解决方案及SASE、容器安全、微隔离等一系列云上安全能力。云安全创业公司CloudPassage的云安全解决方案也综合了CWPP、CSPM和CASB技术,并且结合容器安全防护能力,提供统一云安全防护平台。


4.png


云安全产品和解决方案归根到底解决的是用户的云上安全问题及特定领域的安全问题。随着云计算产业的成熟、云安全技术的发展和用户对业务安全理解的深入,云安全走入整体解决方案时代是必然的趋势,如何为云上用户及业务提供更多更全面和更深入的安全能力及服务,成为各大云安全厂商必须面对的问题。


国内篇


★ 云原生安全越来越受国内重视


云原生一词是在云计算高度发展的过程中产生和兴起的,通常指开发人员更注重业务的开发,充分发挥云平台弹性计算、快速部署、按需扩容等能力,构建云上原生的应用,主要涉及容器、微服务、DevOps等相关技术。


5.png


随着近年来5G、新基建、大数据、人工智能等技术的发展和落地,云原生已经成为云上业务最主要的形态之一,政府、金融、企业等大量业务基于云原生的理念开发和构成,因此云原生系统的安全性也成为行业研究的重点。云原生安全不是单独的某个产品实现的,而是一种安全意识和安全体系,使用的理念包括安全左移、零信任、DevSecOps等,涉及的技术和产品包括源代码审计、容器安全、微服务安全、微隔离、数据防泄漏、身份识别等。


启明星辰在对2020年国内网络安全行业的回顾中发现,当前云原生安全不仅仅停留在理念的阶段,已经有很多落地的产品和方案,国内也涌现出不少相关的安全初创公司,并且很多老牌安全企业也在此领域有所发力,这也充分说明云原生安全的重要性。


6.png


考虑到云原生架构对业务开发人员的便利性,云原生产品在设计中需要充分考虑云上业务和云本身的架构,实现安全即服务的能力,将安全融入云业务的开发中,并贯穿于整个软件生命周期,与业务一样持续交付和持续部署。


★云安全产品融合成为新业态


技术总是殊途同归的,与2020年国际云安全形势一样,国内云安全行业也呈现出多种安全产品融合的业态。分析研究2020年云安全用户需求,发现总体呈现以下特征:首先,用户对云计算环境和业务安全的了解程度更深,提出了很多结合云架构和业务特征的云上安全需求;其次,单一产品已经无法满足用户云上安全的要求,需要更全面和安全能力更强的综合型安全体系和解决方案。因此,在很多交付的项目中,多种安全产品能力的组合方案成为了最主流的交付形态之一。


以CWPP为例,国内很多厂商将CWPP产品融合云上基线合规核查能力,将CSPM能力融合入CWPP产品中。同时部分安全厂商和云供应商在容器安全领域也投入研发力量,将容器安全结合现有产品形成整体解决方案。同时,随着等保2.0的实施,国家各部委出台的各项标准也逐步细化云上安全要求和能力,这些都给综合型的云安全解决方案提出了规范要求。因此,我们认为云安全产品融合已经也将成为未来最主要的发展方向之一。


★ 私有云安全的解决方案时代


与国际云计算环境不同,国内私有云市场规模相对较大,据中国信息通信研究院出台的《云计算发展白皮书2020年》所述,曾预测2020年国内私有云市场规模达791.2亿人民币,因此私有云安全市场在我国云安全市场占有较大的比重。根据2020年市场需求分析,2020年用户对私有云多云解决方案的需求增多,多数用户的数据中心具有多云和异构云的架构,因此多云环境下的私有云解决方案需求突出。


7.png


以私有云中常见的资源池解决方案为例,绝大多数资源池解决方案厂商都已支持多云和异构云的安全管理,能够对多地多数据中心的云平台提供分级分域和分云供应商的管理。在这样的架构下,云上流量不需要集中引至同一区域进行集中处理,通过边缘就近防御的方式降低安全业务带来的网络时延。同时,运营商通常具有多供应商云平台,对不同云平台的适配和对接也逐渐成为行业标配。


展望云端未来


★ 围绕新一代合规体系的新产品和新方案将成为新方向


2020年,伴随着等保2.0的实施落地,各部委逐步出台各项安全标准规范以及各行业对新业务的各项安全要求,颁布云安全行业新的标准和准则。无论从安全能力的广度还是精度上,云安全产品都需要自我完善和提升,云安全产业业态也将在新规下进行调整,这是安全行业的挑战和机遇,各安全企业将在新合规体系下展开新的角逐,用户也将在这一轮新的角逐中获得更大的安全服务和安全能力。


★ 面向业务的云安全产品将在安全能力深度上展开角逐


近年来,云安全产品数量不断增长、竞争日益激烈,然而产品同质化却越发明显。在可预见的未来,产品在安全能力上的差异将成为企业竞争的有力优势。云安全企业需要寻找安全服务差异化发展方向,首先,企业需要提升云安全相关技术的深度、精度和广度,并形成有效的安全闭环。其次,在5G、新基建、大数据、人工智能等新场景下提出新型的综合安全解决方案是安全企业面临的新课题和挑战。


★ 云上新架构下的新一代云安全技术将开拓新的战场


永恒不变的是变化,对于云安全产业、技术、业务等方面而言同样适用。云计算的发展历程中产生了大量的新技术和新架构,容器、无服务器、DevOps等新鲜概念已经成为云行业中的新热点,伴随而来的必定是解决相关的安全问题。无论是传统安全企业,还是初创安全公司,亦或是云供应商,都已经在这些新兴领域中投入研发力量,并正在形成相关安全产品。可以很明确的看到,我国安全行业正在持续升级,在保障合规基础上,面向护网需求、新基建业务发展等需求,云安全正朝向要素化、实战化与服务化的方向演进。

上一篇 下一篇