就在前幾天,筆者看到一則新聞,摩根斯坦利分析師 Robert Lin 認為,阿里巴巴已經成功地從一家電子商務公司轉型為一家數據公司,理應獲得更高的估值,就像美國的亞馬遜一樣。在這個看似平常的結論背后,業界可能已經感受阿里云二次飛躍的種種征兆。
數據從企業傳統的數據中心流向云端,這是大勢所趨,誰擁有數據,誰就統治市場,這是IT規律,而最值錢的就是數據,那么保護云上業務和數據安全就成了每家CSP在安全方面的頭等大事。
就像所有人都知道安全SaaS化時代來臨是理所應當一樣,伴隨著各類安全SaaS戰略合作的開始,安全領域值得濃墨重彩書寫的變革已經悄然而至。
安全SaaS,你可以理解成Security Software as a Service,亦可以是Security as a Service,兩種理解雖有差別,但是對最終用戶而言,交付的都是持續安全。
狼真的來了
擱在三年前,人們對安全SaaS的態度差不多還是愛理不理,安全SaaS喊了很多年,但始終處在“只聽樓梯響,不見人下來”的階段,大部分傳統安全廠商聽多了“狼來了”的喊聲后,耳朵里繭子都老長老長,索性兩耳不聞窗外事,一心只干傳統活。
有人提及,正如淘寶把中國的零售業搬到線上一樣,云計算未來會把整個中國的IT采購搬到線上,這其實是一個很大膽的想法,SMB行業將IT采購搬到線上是沒有太大阻力的,但是政府機構和大型企業要做到這點,其實還有很長的路要走。當然筆者也同意云計算替代IDC這個說法,正是因為這個替代關系,使得傳統硬件設備無路可走,所以對于安全廠商而言,將安全設備虛擬化或者SaaS化就成了它們的最佳選擇。
安全產品及服務從On-Premise開始,有錢有資源的大甲方,比如傳統領域的全球500強以及互聯網巨頭,他們的安全建設通常就是On-Premise模式。再到IaaS,國內一些行業主管機構,比如電子政務辦,統一建設數據中心并統一部署邊界安全防護設備和基礎安全設備,如防火墻、抗D等等,這種模式可以算IaaS模式。然后就是PaaS,像一些單位的信息中心,各業務部門申請計算資源時,信息中心會按需提供已進行安全加固的OS系統,業務部門只需要在上面部署自己的業務應用就OK了。
而云安全的歸途之一就是安全SaaS,將安全軟硬件變成服務,你不用再買軟硬件調策略,一鍵帶你走向人生巔峰。當SaaS成為網紅時,可以想象得到安全細分領域的各路美女也會紛至沓來,FWaaS、SIEMaaS、IDSaaS、ScanaaS,你認識的不認識的,具體畫面大家自己腦補一下,安全SaaS真要好好感謝軟件即服務培育的用戶認知和市場基礎。
當然傳統安全廠商里邊也有聽風者,作為傳統安全Vendor的三駕馬車之一,綠盟科技在SaaS領域發力迅速,在云平臺上已經上線漏掃和網站安全兩款SaaS產品。
狼真的來了,安全SaaS化一定會迎來一個爆發式的黃金時期,是2016年還是2017年,我們不得而知,但我們知道去盒子化的浪潮已經來領。
X因素
安全市場經過近20年的發展,傳統硬件盒子堆砌起來的壁壘是相當之高,相信絕大多數安全廠商更愿意賣盒子而不是服務,出貨量大,利潤高,人力成本低,而且采購盒子可被企業視為固定資產,服務則沒有這些優勢,特別是安全服務,在自動化程度相對來說沒那么高的時候,一個坑里埋一個蘿卜是最普遍的現象,盒子建立的產品模式壁壘需要慢慢地推倒。
去盒子化的第一大動力是是IT架構的變遷,傳統IT架構云化也帶來了安全模式的變遷。云計算環境下,邊界不再明晰,傳統安全防護體系需要革新,純硬件模式顯然無法適應云環境,這使得受寵二十年的盒子大軍突然意識到自己廉頗老矣飯量差勁。
經過SaaS浪潮的洗禮,大部分客戶已經開始認同這種擰開水龍頭就能用水的SaaS服務,部分將業務部署到云端的傳統巨頭企業也嘗試著購買SaaS服務,當然安全SaaS也在其中。云上用戶數量的大幅增長,勢必會刺激到傳統安全廠商進行自我革新,于是我們便能見到On-Premise和SaaS并存的Mixed模式,用戶通過購買安全SaaS服務一鍵開通,從此再也不用安排一個女漢子扛個盒子樓上躥樓下揮汗如雨了。
這幾年關于安全認知最大的改變其實是防護地位的變化,以前絕大多數的安全資源都投入在防護層面,各家各戶都試圖從攻防對抗角度去消除風險,但事與愿違,安全投入事倍功半效果不理想,摔得鼻青臉腫才意識到自己被攻防對抗帶進了坑里,再牛的團隊也無法保證自己能扛住所有的攻擊。
既然這樣,只能是加大安全檢測和響應的投入了,這也正是Gartner預測的在未來幾年,安全監測和響應類的產品和服務增速會提升,企業的安全預算會從防護慢慢傾斜到檢測和響應上來。那么講到這里,大家都明白了去盒子化的另一個驅動力是用戶對監測和響應能力需求的提高,而傳統的封閉盒子無法滿足要求。
筆者認為去盒子化會促使安全SaaS愈演愈烈,而CSP應該是最早感受到安全SaaS時代來臨的那一批人。
Consolidation
還有觀點認為單純地將安全設備虛擬化可能脫離了整個云計算的生態,筆者的理解是未來的云上安全應該是通過整體的一站式虛擬管理平臺進行控制,簡單的虛擬化確實會帶來糟糕的用戶體驗,而安全SaaS的最終歸宿應該是CSP提供給用戶的管理平臺。
摩根斯坦利有一個觀點,它認為Consolidation是未來5年安全趨勢的一個關鍵詞,Consolidation提了很多年,沒想到最終會先在云上實現。Consolidation包含安全集成、協同和統一的意思,云安全SaaS化正是通過和CSP進行高效的集成來實現Consolidation,而這次集成整合的載體則是CSP。
Consolidation還意味著更少的安全廠商做更多的事情。
一個更少,意味著CSP能夠提供為基礎設施提供部分安全功能和服務,另外可以選擇更全面更合適的安全生態合作伙伴,在這里CSP可以把握安全生態合作伙伴的準入門檻,更少也意味著更優質,也表示協同云上安全架構的管理和運營成本更少。
一個更多,希望CSP本身與更少的安全生態合作伙伴能夠展開更深入的協同和集成,通過Consolidation化來提升安全管理效率。多個安全功能通過CSP平臺進行融合集成之后,安全效率會得到更大的提升,跨功能間的信息共享和自動化處理會更順暢。
安全SaaS的新趨勢
正如CSP所強調,云上客戶的業務和數據安全保障是CSP安全團隊的首要目標,但憑一己之力來解決所有的安全問題無疑是一個巨大的挑戰,說白了是一個不可能完成的任務,因此建設安全生態成了CSP不二之選,這同樣也是CSP巨頭關于安全的戰略性選擇。
之前讀過朋友圈轉發的一篇文章《基礎設施軟件已死》,標題雖然有些嚇人,但文章算是看清了產品和服務本質區別,CSP到底算產品公司還是服務公司,在云計算逐步替代傳統IDC的今天,相信大家心里都有了答案。Gartner的分析師Sid Deshpande等人也基于調查寫了一篇市場分析文章:《Market Trends:Are Cloud Providers Becoming Security Vendors?》,其實文中觀點和《基礎設施軟件已死》相互呼應。
用戶不關心云環境的基礎設施基于什么軟件搭建和運行,他們更在乎服務高質量交付,而基礎設施安全也是交付的一部分,CSP在交付云計算服務的同時,基礎設施安全是它們必須正面面對的一個領域,而安全作為云服務的基因,需要融入到云計算基礎設施的生命周期,從這個角度來看,云計算基礎設施安全只有CSP自己才能搞定,依靠外力始終會有欠缺,這正是Gartner拋出這個觀點的依據之一。
在成都的云棲大會上筆者看到阿里云對安全生態界線進行了定義,更多基礎的共性安全需求由平臺提供,而垂直的個性化、行業性安全需求則由生態合作伙伴提供,這個觀點與Gartner不謀而合,其實也是當前云計算環境下最有效的安全解決途徑,最終受益的還是客戶。
結尾
IT架構變遷驅使安全產品革新,經過云計算浪潮的洗禮和沖擊,市場安全需求正逐步從產品形態切換到服務形態,這意味著更多的安全廠商會從封閉的盒子思維里掙脫出來,投身到安全SaaS的革新大軍中。安全SaaS時代已然降臨,希望持續交付的安全SaaS服務會普惠云上用戶,也希望未來的云上環境會更加美好。
京公網安備 11010502049343號