RSAC2019 終極之問：云安全的想象空間有多大？

責任編輯：cres |來源：企業網D1Net 2019-03-29 11:24:58 本文摘自：DOIT

雖然RSAC 2019已經結束了，還想聊聊RSA相關的話題。

基于RSA和國內目前都比較關注云安全，我們也想針對于云安全的市場空間來進行探討，云安全的國內市場想象空間有多大？

先厘清一下什么是云安全。

如果你是用云的客戶，其實對云安全的理解很簡單：一、云平臺要是安全的；二、我的東西放在云上要是安全的。

但其實云安全是一個非常具有想象空間的概念。在首個提供云服務的亞馬遜眼里，云計算的本質是一套面向全球的互聯網操作系統；后來者微軟的野心更大，用Azure來命名公有云。Azure本身在英文中為“藍天”的意思，也就是說微軟Azure公有云的本意是為全世界做一個“虛擬” 操作系統，如果把全世界的計算設備都連在一起形成一臺虛擬計算機的話，它的操作系統就是Azure。在這樣的語境下，云安全的含義自然十分龐大，理解為世界的安全似乎也不過分。

但這畢竟是兩大巨頭對未來美好圖景的暢想?，F行通用的云安全定義用騰訊安全聯合實驗室在知乎平臺上給出的解釋比較吻合：一種是云計算安全，主要是對云自身的安全保護，包括云計算應用系統安全、云計算應用服務安全、云計算用戶信息安全等；另一種安全云計算，通過使用云的形式提供和交付安全，即通過采用云計算技術來提升安全系統的服務性能，如基于云計算的防病毒技術、掛馬檢測技術等。

具體到實際場景，云的安全則包括安全合規管理、基礎設施安全、網絡邊界安全、系統安全、應用安全、數據安全、身份與訪問安全以及業務安全八大領域。

上云是否安全？上云不安全是“幸存者偏差”

自云誕生以來，就在重構互聯網，這種重新部署企業IT的方式吸引了大量關注，但是倘若爆發安全事件，“云不安全”也將更容易被整個互聯網所銘記。這里引入統計學中的“幸存者偏差”概念——云不安全的認知達成是經過篩選的，比如Uber5700萬用戶數據和NSA超100GB的數據在云上泄露。但沒有上云的數據泄露事件同樣是數不勝數——僅僅是酒店行業就有希爾頓、華柱、萬豪酒店……接連中招。

理性看待云上爆發的數據安全事件，要認識到無論上云與否都阻止不了黑客對數據的攫取欲望。如果企業有足夠的成本支持，自建所有的數據中心存放數據當然是最安心的選擇。當然這也要建立在成熟的運營體系之上，酒店行業頻發的數據泄露事件基本上都可歸咎為，企業在內部數據使用流程、安全管理制度和數據庫系統保護措施上明顯不夠。

將數據托管在專業的云服務商，和自建數據中心的對比，如同飲用自來水廠和自家挖井的區別。先不論水是否好喝，當你家有一千個人需要供養卻只有一個人挑水的時候，用自來水可能是最好的選擇。

在數據安全之外，大量安全問題已被驗證云視角下將獲得更好的解決方案。比如端點安全，在BYOD移動化辦公大背景下，通過云服務交付的終端安全能夠使得管理遠程資產像在網絡中管理一樣輕松，使得企業組織不必保護控制臺或擔心諸如數據庫溢出等細節問題。主打網絡資產管理的Axonius成了本屆創新沙盒的冠軍，也釋放出云上天生具備“看見”資產的優勢，會讓資產管理更輕松，這也引發了越來越多的SOC都基于云建的趨勢。

不可回避的是，上云與云安全的關注趨勢都將更強烈。

一、企業上云將是一大趨勢。近十年來，我國企業的上云率從2009年的3.2%增至2018年的30.8%。當全社會都建立在云端之后，那么必然會存在云安全的議題。而且現在產業常提的以云、大數據、人工智能、物聯網和區塊鏈等數字技術所驅動的企業數字化轉型，其終極目標就是建立云原生的數字企業，或者稱為數字原生企業，其核心競爭力在于大規模的云軟件的開發、運維及運營能力。這種場景也是標準意義下的SDA，那么云安全自然是所有的網絡安全問題。

二、技術層面無本質差別。在邊界上，云安全與網絡安全關注的都是數據、數據中心、網絡等領域的問題，并且安全威脅同樣來自木馬、病毒和密碼破譯等幾種方式。從技術角度來看，云安全與傳統網絡安全并無本質的差別。

三、云的安全性更高。相較之下，上云之后很多傳統安全問題將不復存在，或者得到更加簡單高效的解法，雖然也會面臨新的安全挑戰，但上云的價值毋庸贅述。云不僅僅是新的工作負載部署目標，還代表著改善安全的潛在方法。云資源轉瞬即逝的屬性也可用于提升安全。云資源不是靜態的，其瞬時特性應被更多公司企業利用來改善自身網絡安全態勢。Gartner判斷，到2020年，與傳統數據中心相比，公共云的安全能力將幫助企業至少降低60%的安全事件。

如何讓云更安全？一個“古老”的概念開始活躍——云管端

但在云安全逐漸發展的過程中，我們似乎要開始重新重視一個“古老”的概念——云管端一體化。

對于中國企業而言，IT化水平不能一概而論，上云步伐差距顯著。全部上云、部分上云、混合云、多云的情況都存在，當然大量的中小企業對云的態度還持保留態度，尚未開始轉型。這就意味著安全廠商需要更加全面的解決方案，以提升云的安全屬性，這也和本屆RSA透露的“馬太效應”吻合——小廠的競爭力將逐漸下降，擁有整合能力、多維度解決能力的大廠機會更多，他們往往有能力打造從流量到端到云，一整套的信息安全解決方案。

國內的頭部玩家在云管端布局比較完整的是騰訊。自去年930組織架構調整之后，騰訊安全整合服務C端的能力、騰訊安全聯合實驗室以及騰訊云的安全能力，形成了全新的云管端布局，指向也很明確——護航騰訊云與智慧產業，打造最安全的產業云。

（騰訊安全在今年初的媒體溝通會上披露布局）

中國云安全市場增速迅猛，空間巨大

騰訊加碼云安全的背后，顯示出整個中國云安全市場進入到了快速發展階段。賽迪在近期發布的《2019中國網絡安全發展白皮書》中表示，雖然中國云安全市場目前仍處于起步階段，但整體的市場規模會隨著云計算市場規模的增長而快速崛起。2018年，中國云安全市場規模達到37.8億元，增長率為44.8%。

云安全市場充滿廣闊前景的另一大核心動因還在于，中國安全市場局勢尚未清晰。賽迪報告顯示，2018年中國安全市場規模逼近500億，預測2021年中國網絡信息安全市場將達到926.8億元。巨大的蛋糕下行業集中有待提升，目前行業細分領域多，市場高度分散，市場格局未定，CR5小于30%。同時，我國現在還沒有安全廠商躋身百億俱樂部，這給更多企業留下了機會。