*本文由s3curity原創(chuàng),屬FreeBuf原創(chuàng)獎(jiǎng)勵(lì)計(jì)劃,未經(jīng)許可禁止轉(zhuǎn)載
就在前幾天,筆者看到一則新聞,摩根斯坦利分析師 Robert Lin 認(rèn)為,阿里巴巴已經(jīng)成功地從一家電子商務(wù)公司轉(zhuǎn)型為一家數(shù)據(jù)公司,理應(yīng)獲得更高的估值,就像美國的亞馬遜一樣。在這個(gè)看似平常的結(jié)論背后,業(yè)界可能已經(jīng)感受阿里云二次飛躍的種種征兆。
數(shù)據(jù)從企業(yè)傳統(tǒng)的數(shù)據(jù)中心流向云端,這是大勢所趨,誰擁有數(shù)據(jù),誰就統(tǒng)治市場,這是IT規(guī)律,而最值錢的就是數(shù)據(jù),那么保護(hù)云上業(yè)務(wù)和數(shù)據(jù)安全就成了每家CSP在安全方面的頭等大事。
就像所有人都知道安全SaaS化時(shí)代來臨是理所應(yīng)當(dāng)一樣,伴隨著各類安全SaaS戰(zhàn)略合作的開始,安全領(lǐng)域值得濃墨重彩書寫的變革已經(jīng)悄然而至。安全SaaS,你可以理解成Security Software as a Service,亦可以是Security as a Service,兩種理解雖有差別,但是對最終用戶而言,交付的都是持續(xù)安全。
1.狼真的來了
擱在三年前,人們對安全SaaS的態(tài)度差不多還是愛理不理,安全SaaS喊了很多年,但始終處在“只聽樓梯響,不見人下來”的階段,大部分傳統(tǒng)安全廠商聽多了“狼來了”的喊聲后,耳朵里繭子都老長老長,索性兩耳不聞窗外事,一心只干傳統(tǒng)活。
有人提及,正如淘寶把中國的零售業(yè)搬到線上一樣,云計(jì)算未來會(huì)把整個(gè)中國的IT采購搬到線上,這其實(shí)是一個(gè)很大膽的想法,SMB行業(yè)將IT采購搬到線上是沒有太大阻力的,但是政府機(jī)構(gòu)和大型企業(yè)要做到這點(diǎn),其實(shí)還有很長的路要走。當(dāng)然筆者也同意云計(jì)算替代IDC這個(gè)說法,正是因?yàn)檫@個(gè)替代關(guān)系,使得傳統(tǒng)硬件設(shè)備無路可走,所以對于安全廠商而言,將安全設(shè)備虛擬化或者SaaS化就成了它們的最佳選擇。
安全產(chǎn)品及服務(wù)從On-Premise開始,有錢有資源的大甲方,比如傳統(tǒng)領(lǐng)域的全球500強(qiáng)以及互聯(lián)網(wǎng)巨頭,他們的安全建設(shè)通常就是On-Premise模式。再到IaaS,國內(nèi)一些行業(yè)主管機(jī)構(gòu),比如電子政務(wù)辦,統(tǒng)一建設(shè)數(shù)據(jù)中心并統(tǒng)一部署邊界安全防護(hù)設(shè)備和基礎(chǔ)安全設(shè)備,如防火墻、抗D等等,這種模式可以算IaaS模式。然后就是PaaS,像一些單位的信息中心,各業(yè)務(wù)部門申請計(jì)算資源時(shí),信息中心會(huì)按需提供已進(jìn)行安全加固的OS系統(tǒng),業(yè)務(wù)部門只需要在上面部署自己的業(yè)務(wù)應(yīng)用就OK了。
而云安全的歸途之一就是安全SaaS,將安全軟硬件變成服務(wù),你不用再買軟硬件調(diào)策略,一鍵帶你走向人生巔峰。當(dāng)SaaS成為網(wǎng)紅時(shí),可以想象得到安全細(xì)分領(lǐng)域的各路美女也會(huì)紛至沓來,F(xiàn)WaaS、SIEMaaS、IDSaaS、ScanaaS,你認(rèn)識的不認(rèn)識的,具體畫面大家自己腦補(bǔ)一下,安全SaaS真要好好感謝軟件即服務(wù)培育的用戶認(rèn)知和市場基礎(chǔ)。
當(dāng)然傳統(tǒng)安全廠商里邊也有聽風(fēng)者,作為傳統(tǒng)安全Vendor的三駕馬車之一,綠盟科技在SaaS領(lǐng)域發(fā)力迅速,在云平臺(tái)上已經(jīng)上線漏掃和網(wǎng)站安全兩款SaaS產(chǎn)品。
狼真的來了,安全SaaS化一定會(huì)迎來一個(gè)爆發(fā)式的黃金時(shí)期,是2016年還是2017年,我們不得而知,但我們知道去盒子化的浪潮已經(jīng)來領(lǐng)。
2.X因素
安全市場經(jīng)過近20年的發(fā)展,傳統(tǒng)硬件盒子堆砌起來的壁壘是相當(dāng)之高,相信絕大多數(shù)安全廠商更愿意賣盒子而不是服務(wù),出貨量大,利潤高,人力成本低,而且采購盒子可被企業(yè)視為固定資產(chǎn),服務(wù)則沒有這些優(yōu)勢,特別是安全服務(wù),在自動(dòng)化程度相對來說沒那么高的時(shí)候,一個(gè)坑里埋一個(gè)蘿卜是最普遍的現(xiàn)象,盒子建立的產(chǎn)品模式壁壘需要慢慢地推倒。
去盒子化的第一大動(dòng)力是是IT架構(gòu)的變遷,傳統(tǒng)IT架構(gòu)云化也帶來了安全模式的變遷。云計(jì)算環(huán)境下,邊界不再明晰,傳統(tǒng)安全防護(hù)體系需要革新,純硬件模式顯然無法適應(yīng)云環(huán)境,這使得受寵二十年的盒子大軍突然意識到自己廉頗老矣飯量差勁。
經(jīng)過SaaS浪潮的洗禮,大部分客戶已經(jīng)開始認(rèn)同這種擰開水龍頭就能用水的SaaS服務(wù),部分將業(yè)務(wù)部署到云端的傳統(tǒng)巨頭企業(yè)也嘗試著購買SaaS服務(wù),當(dāng)然安全SaaS也在其中。云上用戶數(shù)量的大幅增長,勢必會(huì)刺激到傳統(tǒng)安全廠商進(jìn)行自我革新,于是我們便能見到On-Premise和SaaS并存的Mixed模式,用戶通過購買安全SaaS服務(wù)一鍵開通,從此再也不用安排一個(gè)女漢子扛個(gè)盒子樓上躥樓下?lián)]汗如雨了。
這幾年關(guān)于安全認(rèn)知最大的改變其實(shí)是防護(hù)地位的變化,以前絕大多數(shù)的安全資源都投入在防護(hù)層面,各家各戶都試圖從攻防對抗角度去消除風(fēng)險(xiǎn),但事與愿違,安全投入事倍功半效果不理想,摔得鼻青臉腫才意識到自己被攻防對抗帶進(jìn)了坑里,再牛的團(tuán)隊(duì)也無法保證自己能扛住所有的攻擊。
既然這樣,只能是加大安全檢測和響應(yīng)的投入了,這也正是Gartner預(yù)測的在未來幾年,安全監(jiān)測和響應(yīng)類的產(chǎn)品和服務(wù)增速會(huì)提升,企業(yè)的安全預(yù)算會(huì)從防護(hù)慢慢傾斜到檢測和響應(yīng)上來。那么講到這里,大家都明白了去盒子化的另一個(gè)驅(qū)動(dòng)力是用戶對監(jiān)測和響應(yīng)能力需求的提高,而傳統(tǒng)的封閉盒子無法滿足要求。
筆者認(rèn)為去盒子化會(huì)促使安全SaaS愈演愈烈,而CSP應(yīng)該是最早感受到安全SaaS時(shí)代來臨的那一批人。
3.Consolidation
還有觀點(diǎn)認(rèn)為單純地將安全設(shè)備虛擬化可能脫離了整個(gè)云計(jì)算的生態(tài),筆者的理解是未來的云上安全應(yīng)該是通過整體的一站式虛擬管理平臺(tái)進(jìn)行控制,簡單的虛擬化確實(shí)會(huì)帶來糟糕的用戶體驗(yàn),而安全SaaS的最終歸宿應(yīng)該是CSP提供給用戶的管理平臺(tái)。
摩根斯坦利有一個(gè)觀點(diǎn),它認(rèn)為Consolidation是未來5年安全趨勢的一個(gè)關(guān)鍵詞,Consolidation提了很多年,沒想到最終會(huì)先在云上實(shí)現(xiàn)。Consolidation包含安全集成、協(xié)同和統(tǒng)一的意思,云安全SaaS化正是通過和CSP進(jìn)行高效的集成來實(shí)現(xiàn)Consolidation,而這次集成整合的載體則是CSP。
Consolidation還意味著更少的安全廠商做更多的事情。
一個(gè)更少,意味著CSP能夠提供為基礎(chǔ)設(shè)施提供部分安全功能和服務(wù),另外可以選擇更全面更合適的安全生態(tài)合作伙伴,在這里CSP可以把握安全生態(tài)合作伙伴的準(zhǔn)入門檻,更少也意味著更優(yōu)質(zhì),也表示協(xié)同云上安全架構(gòu)的管理和運(yùn)營成本更少。
一個(gè)更多,希望CSP本身與更少的安全生態(tài)合作伙伴能夠展開更深入的協(xié)同和集成,通過Consolidation化來提升安全管理效率。多個(gè)安全功能通過CSP平臺(tái)進(jìn)行融合集成之后,安全效率會(huì)得到更大的提升,跨功能間的信息共享和自動(dòng)化處理會(huì)更順暢。
4.安全SaaS的新趨勢
正如CSP所強(qiáng)調(diào),云上客戶的業(yè)務(wù)和數(shù)據(jù)安全保障是CSP安全團(tuán)隊(duì)的首要目標(biāo),但憑一己之力來解決所有的安全問題無疑是一個(gè)巨大的挑戰(zhàn),說白了是一個(gè)不可能完成的任務(wù),因此建設(shè)安全生態(tài)成了CSP不二之選,這同樣也是CSP巨頭關(guān)于安全的戰(zhàn)略性選擇。
之前讀過朋友圈轉(zhuǎn)發(fā)的一篇文章《基礎(chǔ)設(shè)施軟件已死》,標(biāo)題雖然有些嚇人,但文章算是看清了產(chǎn)品和服務(wù)本質(zhì)區(qū)別,CSP到底算產(chǎn)品公司還是服務(wù)公司,在云計(jì)算逐步替代傳統(tǒng)IDC的今天,相信大家心里都有了答案。Gartner的分析師Sid Deshpande等人也基于調(diào)查寫了一篇市場分析文章:《Market Trends:Are Cloud Providers Becoming Security Vendors?》,其實(shí)文中觀點(diǎn)和《基礎(chǔ)設(shè)施軟件已死》相互呼應(yīng)。
用戶不關(guān)心云環(huán)境的基礎(chǔ)設(shè)施基于什么軟件搭建和運(yùn)行,他們更在乎服務(wù)高質(zhì)量交付,而基礎(chǔ)設(shè)施安全也是交付的一部分,CSP在交付云計(jì)算服務(wù)的同時(shí),基礎(chǔ)設(shè)施安全是它們必須正面面對的一個(gè)領(lǐng)域,而安全作為云服務(wù)的基因,需要融入到云計(jì)算基礎(chǔ)設(shè)施的生命周期,從這個(gè)角度來看,云計(jì)算基礎(chǔ)設(shè)施安全只有CSP自己才能搞定,依靠外力始終會(huì)有欠缺,這正是Gartner拋出這個(gè)觀點(diǎn)的依據(jù)之一。
在成都的云棲大會(huì)上筆者看到阿里云對安全生態(tài)界線進(jìn)行了定義,更多基礎(chǔ)的共性安全需求由平臺(tái)提供,而垂直的個(gè)性化、行業(yè)性安全需求則由生態(tài)合作伙伴提供,這個(gè)觀點(diǎn)與Gartner不謀而合,其實(shí)也是當(dāng)前云計(jì)算環(huán)境下最有效的安全解決途徑,最終受益的還是客戶。
尾
IT架構(gòu)變遷驅(qū)使安全產(chǎn)品革新,經(jīng)過云計(jì)算浪潮的洗禮和沖擊,市場安全需求正逐步從產(chǎn)品形態(tài)切換到服務(wù)形態(tài),這意味著更多的安全廠商會(huì)從封閉的盒子思維里掙脫出來,投身到安全SaaS的革新大軍中。安全SaaS時(shí)代已然降臨,希望持續(xù)交付的安全SaaS服務(wù)會(huì)普惠云上用戶,也希望未來的云上環(huán)境會(huì)更加美好。
*本文由s3curity原創(chuàng),屬FreeBuf原創(chuàng)獎(jiǎng)勵(lì)計(jì)劃,未經(jīng)許可禁止轉(zhuǎn)載
京公網(wǎng)安備 11010502049343號