近期,國際權威諮詢機構Gartner基於對中國安全市場的調查研究和中國安全產品供應商的評估發布了分析報告《中國雲安全市場概覽》(Top Practices for Cloud Security in China)。
不同於以往針對全球化市場給出建議,Gartner針對中國細分市場給出獨立報告,足以說明中國安全市場已經為世界矚目。
報告顯示,中國是一個非常獨特的市場,在雲安全領域既面臨一些全球共通性的挑戰:例如是否或如何信任公有雲,也面臨一些本土特有的難點:例如技術可行性以及如何正確選擇CSP。
構成公有雲信任問題的主要原因是大眾對於物理位置的關注超過了對於安全控制本身,而另一方面,成熟的雲安全防禦體系需要依靠雲安全責任共擔模型作基礎支撐,並有效評估安全工具與CSP可能產生的風險。報告中將中國市場目前面臨的問題歸納為以下三點:
整體而言,在中國市場,公有雲的採用率正在逐步增加,但私有雲、混合雲和傳統數據中心在中國仍然占有很高的市場份額,這是因為市場仍過度關注數據的物理位置,而非對於雲安全的控制。
海外的雲服務提供商(CSP)和安全供應商在為中國市場提供雲服務時存在技術可行性的問題,而本地供應商為避免與公有雲提供商直接競爭,更傾向於提供私有雲服務,這使得企業/組織很難選擇雲安全工具。
中國的許多企業/組織不會對CSP進行系統性的風險評估,使企業面臨安全風險。
正因為中國市場同全球市場的差別明顯,特別是在SaaS產品的部署以及對於本地法規需求的額外考量方面。因此企業在做安全建設時不能簡單地照搬國外做法,而必須確保在通用實踐和本地個性化需求場景之間取得平衡。對此,報告給予了中國雲安全和風險管理負責人相應的建議:
通過對雲安全責任共擔模型的評估,明確雲提供商的安全責任範圍,並建立所需的安全能力
建立雲安全架構,通過雲原生優先的方式,利用第三方和開源工具實施安全控制,同時持續監控其在中國的技術可行性。
利用分層模型和安全認證來評估CSP可能存在的風險
這三個建議的具體操作又引申出三個具體的問題,如何與雲提供商確定安全責任的範圍並建立所需的能力;如何建立雲安全架構;如何有效評估CSP風險。報告圍中繞這三個問題進行了詳細的分析。
如何與雲提供商確定安全責任的範圍並建立所需的能力?
報告首先提出的是建立雲安全責任共擔模型。組織和企業需根據云部署的類型來理解其安全責任,通過與CSP分擔一些其他安全責任,從而專注於保護其最核心的資產,並降低對數據位置的關注。
其次是建立雲安全能力。傳統保護數據中心的安全專業知識不適用於保護所有雲資源,組織企業需建立雲安全能力。
配備雲安全架構師也是必不可少的。為解決雲安全複雜性,組織和企業需配備雲安全架構師以負責引領雲安全文化變革、制定雲安全策略、開發和協調雲安全的安全技術和工具採用、聘用或培訓雲安全工程師。
最後是雲安全工程師。組織/企業可通過聘用掌握網絡安全、服務器安全、漏洞管理、應用程序安全和數據安全等廣泛安全領域知識的雲安全工程師來實現深度技術支持。
如何建立雲安全架構?
雲產品部署模式的多樣性及責任分攤的複雜性使用戶需要配備一套完善的工具組來安全地使用雲。雲安全廠商通常採用模塊化的方法來提供服務,並將功能整合到一個組合中。報告中將其大致分為三類並做了詳細的分析和研究。
成熟的服務:本地雲安全工具、雲安全訪問代理(CASB)、雲工作負載保護平台(CWPP)、雲安全態勢管理(CSPM)等
新興工具:SaaS安全態勢管理(SSPM)、SaaS管理平台(SMP)等、開源工具等
其他服務:雲原生應用程序保護平台(CNAPP)
本地雲安全工具易於購買和實現,但需對它們根據用例、功能以及與現有內部安全工具和流程的集成來進行評估。一些全球CSP設有全球雲和中國雲,中國特有的法規導致了產品、技術可行性和服務模式的差異。
開源工具是雲安全的選擇之一。開源工具為雲安全提供靈活性與創新性,也會帶來新的風險,需正確管理開放源代碼帶來的風險與回報。通常而言,非本土供應商並不向中國境內提供所有產品與服務,他們要麼商要麼與本地基礎設施運營商合作,要麼讓用戶通過跨境連接獲得全球服務。而中國供應商為避免與提供公有雲工具的供應商競爭,多專注於內部雲和私有雲部署的安全工具,而非公有雲,尤其是SaaS,使公有雲在中國的採用率還沒有發揮出全部潛力。隨着全球供應商逐步提高在中國的服務可行性,以及本土供應商投資覆蓋更多場景的產品,中國與世界的技術差距最終將變小。
CNAPP整合了大量過去封閉的能力,包括容器掃描、雲安全態勢管理、基礎設施如掃碼、雲基礎設施授權管理,一些本地廠商的產品旨在解決雲原生應用程序的安全需求,但目前並沒有覆蓋所有領域的能力。
如何有效評估CSP風險?
報告採用的評估方法為國際通用的CSP評估模型。
經過評估,CSP共被劃分為三個等級。
I 一級CSP
所有一級CSP都經過了中國MLPS三級認證和多個其他第三方安全評估。這些大型CSP保護他們的品牌形象,並不斷尋求方法來鼓勵更高水平的客戶信任。它們主要由在市場上占據主導地位的老牌雲服務提供商組成。突出案例包括:阿里雲、騰訊雲、華為雲、ecloud、亞馬遜和微軟
II 二級CSP
二級CSP主要由中型提供商和一些在雲計算能力上不突出的大型軟件服務商構成。這些CSP在安全和操作方面相對不成熟,通常缺乏第三方評估,可能存在財務基礎薄弱,償付能力不足的問題。市場商大部分供應商都集中在這個級別。
III 三級CSP
主要指非常小的供應商,它們缺乏接受第三方評估的資源,且具備的能力非常有限,它們薄弱的財務基礎很難在短時間內得到改變。你必須假設它們是不安全的,任何接受這種服務的組織/企業都必須充分意識並接受可能存在的任何風險。
此外,報告也詳細介紹了幾種形式的第三方評估。第三方評估或認證通常用於評估CSP的安全性。除了全球認證外,中國本土的認證在這個環節必不可少。常見的第三方認證包括幾種:MLPS、可信雲認證、ITSS雲計算服務能力評估、中國網絡空間管理局(CAC)網絡安全評估、ISO 27001/27017/27018認證等。報告指出,MLPS是最重要的,中國合格的CSP必須通過MLPS三級評估。
中國雲安全市場未來可期
儘管目前中國在雲計算和雲原生技術的發展上與西方發達國家仍存在一定差距,但云安全早已受到行業企業以及市場客戶的日益關注與重視。當前已有很多國內廠商能夠提供CWPP相關服務,相信隨着對PaaS、容器、和雲集成等能力的進一步完善,中國市場存在廣闊的增長空間。
雲安全服務作為網絡安全服務的最新服務形式,將雲計算技術和業務模式應用於網絡安全領域,以雲的方式交付安全能力,實現了安全即服務的理念。在網絡攻擊更加複雜化的環境下,雲安全服務成為網絡安全重要發展方向是不可逆轉的趨勢。
Gartner預計,到2024年,中國終端用戶在系統基礎設施和基礎設施軟件上的支出將有近40%轉移到雲服務支出。這一結構性的轉移使得雲安全成為中國安全和風險管理人優先需要關注的重點。
精彩推薦
留言列表