云安全,无论何时提起,其重要性都不容小觑。
根据网络安全机构Sophos的研究,云安全事件正在时刻发生。
根据该公司发布的《2021年云安全状况》显示,近四分之三的企业遭受了云安全攻击,其中恶意软件、勒索软件、云泄漏和配置错误是最大的威胁。
此外,运行多云环境也是企业遭受云安全事件影响的因素之一。 2022年,当各行各业掀起上云狂潮后,云安全的概念随之爆发。据Gartner预测,到2023年,云安全市场规模将增长10倍,达到124亿美元(相比之下,2020年为12亿美元)。
与此同时,越来越多的中小企业也在增加对网络安全方面的投入,无形中助推了云安全从一个小众市场走向主流的步伐。
01需求爆发式增长云安全首次突破百亿元大关
在国内,云安全市场持续保持高速增长,2021年云安全市场规模首次突破百亿元大关,达到117.7亿元,同比增长46.4%。综合来看,云安全市场的高速增长,是多种因素共同推动的结果。
在政策层面,国内数据安全相关的法律法规日益完善,面向高速发展的市场给出了引导规范和明确标准。
近几年,国家陆续出台了《数据安全法》《个人信息保护法》《汽车数据安全管理若干规定(试行)》《关键信息基础设施安全保护条例》等法规,从通用型法律法规,到重点行业相关条例、指南、标准等,为企业上云用数安全提出了更高要求。
其次,企业对云安全的市场需求迎来爆发期。伴随着云服务模式的深化应用,细分领域和场景的安全实践推动云安全市场需求水涨船高。
混合多云、云原生、AI、IoT等新技术的应用,催生了更细化的安全场景和更丰富的安全需求。
此外,充分的市场竞争也促使云服务商、安全厂商不断投入云安全新技术、新应用的研发与实践,加速了云安全市场的增长。
在上一个时代领跑的安全公司(如奇安信、深信服、绿盟科技、亚信科技、启明星辰等),凭借深度扎根云安全领域画出了第二增长曲线;在平台类公司中,阿里、腾讯、华为、百度等玩家贴身肉搏竞争激烈;在新兴公司中,微步在线、青藤云安全等公司凭借差异化优势成长为安全独角兽。
安全是一个高速迭代和进化的领域,任何企业都需要保持对新兴安全技术的敏感。
02想说爱你不容易云安全道阻且长行则将至
云计算给业务带来的是全方位改变。随着云化时代业务部署的环境更广泛,组织需要管理的终端类型也更多样化。
同时,云时代IT资源和能力可以快速应用到业务创新上,应用的迭代速度也变得更加迅速。而云原生架构和开源代码的广泛应用,则让企业IT架构和应用变得越来越复杂。
这一系列变化,为企业安全带来了许多新的挑战。当企业的业务上云之后,传统安全产品大多无法直接部署到云环境中,对于容器、API攻击等云时代语境下的安全问题已经失效。
在多云、多终端的环境下,需要安全保护和运营管理两个紧密集成但又相互分离的生态系统,这就造成复杂的操作环境,而使用多种不同技术平台运行并行环境,会在监控、安全和生产支持等领域带来持续的运营复杂性。
而云化架构本身的复杂性,也会使得安全保护变得更加复杂、成本更高,因此需要有更简化的方式来实现安全保护。
从主机到虚拟机,从虚拟机到容器,云安全好像无所不能,贯穿了云时代的全部历史。绿盟科技集团副总裁曹嘉认为,云看似安全,实则非常容易成为突破口。
无论是公有云、私有云还是混合云,沉淀着大量的自研开发业务,此类应用安全问题将会突显。
同时,70%的企业会采用一些开源组件去构建软件应用,第三方组件也会引入安全风险,从而打破业务与安全的平衡。API开放的大量公开信息也可能会被攻击者利用,形成新的安全风险。
因此,对于任何想要构建云上安全体系的企业,云安全战略正在变得日益重要。
如今,越来越多的企业认识到,构建云安全战略是一项持续性工作,云安全需要有自上而下的顶层设计,要以安全为出发点构建所有云上应用。
在战略优先级上,企业应该将云安全作为“零号任务”贯穿云旅程的全过程。从最初的技术理念,到管理机制,再到企业文化,每个云服务从设计阶段就要将云安全作为优先考虑事项。
对于企业,构建云化时代的安全能力,可以从采用云化交付的安全产品和服务、构建适合云和云原生应用的保护能力、采用适配于云时代的IT基础设施这三个方面着手。
曹嘉认为,云化的业务需要用云化的安全来保护,绝大多数安全产品的能力实际上都可以用云化的方式进行交付。
比如网关安全、终端安全可以被SASE、SSE、云化的XDR来代替,而传统的人工安全服务,也可以使用永久在线、持续对抗的MSS安全托管服务来代替。云化的安全产品和服务能够快速部署、快速演进,大幅简化用户在产品交付和运维上的工作。
在多云共存时代,企业的安全策略也应当是跨云的,需要统一进行管理,实现统一的安全保护。
云安全不应该是业务上线和运维阶段才考虑的问题,而是在业务规划、开发、测试、上线、运维的每一个环节,都嵌入安全开发机制,从而更早发现风险,更早修复,大幅提升业务安全性。
在云化环境下,传统的网络边界已经消失,几乎所有的终端、网络都是不安全的环境,因此在云时代,要重新建立新的安全保护模型。
零信任架构是目前业界广泛认可的用来实现跨云保护的一种安全模式。虽然零信任很美好,但目前落地往往不尽如人意,企业在建设零信任体系时,要充分考虑相关产品和方案的可落地性,不能选择过度复杂的产品导致方案无法落地。
此外,如果基础设施能够内置安全能力,可以大幅减少企业在云时代下的安全风险。
企业本地建设的基础设施,包括私有云平台、超融合等,安全能力和基础设施几乎是完全解耦的,需要单独考虑安全建设问题。
在云化时代下,企业需要更多采用天生具有安全保护能力的数字化基础设施,比如能够内置防勒索的存储、内置微隔离的网络、具备虚拟补丁的计算平台等。
当然,这种适配于云时代的IT基础设施建设,并非要把企业已有安全设施进行全部替换,而是把传统安全产品的部分能力云化并纳入跨云管理平台,使之成为云化环境安全保护的一部分,不但大幅提升安全效果,也简化了交付的复杂性。
回归云化时代企业对安全的最本质诉求,就是要有效,不但要有效保护业务,还能有效对抗攻击。
虽然安全本身不会给业务创造价值,但安全缺失给业务造成的损失将远超想象。因此,安全一定要足够简单,同时又足够可靠,要让用户越来越省心,而不是越来越复杂。