廠商什么時(shí)候布局，企業(yè)什么時(shí)候部署

時(shí)間：2022-03-18 12:24:01 | 來(lái)源：行業(yè)動(dòng)態(tài)

時(shí)間：2022-03-18 12:24:01 來(lái)源：行業(yè)動(dòng)態(tài)

云安全技術(shù)趨勢(shì)的研究主要就是跟蹤Gartner，Gartner的技術(shù)成熟度曲線說(shuō)明一個(gè)技術(shù)生命周期的不同階段。我認(rèn)為可以分為創(chuàng)新促動(dòng)期、炒作極盛期、泡沫破裂期、光明爬坡期、生產(chǎn)平臺(tái)期。這個(gè)技術(shù)成熟度曲線可以用來(lái)指導(dǎo)廠商什么時(shí)候投入技術(shù)研發(fā)，客戶什么時(shí)候采用安全產(chǎn)品。



上圖是2020年的云安全技術(shù)成熟度曲線，我們重點(diǎn)關(guān)注了里面的7種技術(shù)。從后往前說(shuō)，CASB、CWPP、Microsegmentation這三個(gè)目前處于光明爬坡期，也就是技術(shù)和市場(chǎng)都已經(jīng)趨于成熟，廠商再后進(jìn)入就是競(jìng)爭(zhēng)慘烈，客戶采用倒是沒(méi)什么風(fēng)險(xiǎn)。

CSPM、ZTNA、Container Security這三個(gè)目前處于泡沫破裂期，技術(shù)和市場(chǎng)都不太成熟，先進(jìn)入的廠商還在熬，具體熬多久不好說(shuō)，不過(guò)也不用悲觀，CWPP就是從2019年的泡沫破裂期一年的時(shí)間就進(jìn)入了2020年的光明爬坡期。最后的SASE同樣也是發(fā)展很快，從2019年的創(chuàng)新促動(dòng)期一年的時(shí)間就進(jìn)入了2020年的炒作極盛期。

CASB、CWPP、CSPM被Gartner稱為三大云安全工具。CASB是云訪問(wèn)安全代理，主要是做數(shù)據(jù)安全和用戶行為安全的，之前提到的在SaaS業(yè)務(wù)模式下，云租戶自己用第三方的能力自行建設(shè)的安全也就剩它了，但是由于國(guó)內(nèi)跟國(guó)外SaaS業(yè)務(wù)發(fā)展情況不同，CASB在國(guó)內(nèi)多少有些水土不服。CWPP是云工作負(fù)載安全防護(hù)平臺(tái)，主要是做虛機(jī)的安全，覆蓋范圍非常大，很難有獨(dú)立廠商全部搞定的，用戶通常得根據(jù)實(shí)際需要去自行組合，其實(shí)容器也算工作負(fù)載，但是后面有專門的容器安全技術(shù)；CSPM是云安全態(tài)勢(shì)管理，主要是做云的配置和合規(guī)性管理，雖然第三方產(chǎn)商有早期進(jìn)入的，但未來(lái)很大可能性直接被云平臺(tái)自己解決。



Microsegmentation，國(guó)內(nèi)把它翻譯成微隔離。它也是NIST定義的零信任安全架構(gòu)里的落地技術(shù)之一，這是Garnter在2019年修訂的定義，插入到同一個(gè)二層網(wǎng)絡(luò)域內(nèi)不同虛擬負(fù)載間的安全服務(wù)，國(guó)內(nèi)的等保2.0也涉及了部分需求內(nèi)容，由于不同環(huán)境的技術(shù)條件不同，也就出現(xiàn)了基于云平臺(tái)、基于網(wǎng)絡(luò)、基于主機(jī)三種不同類型的落地方案形式，技術(shù)都比較成熟了，用戶根據(jù)實(shí)際需要選擇即可。



接下來(lái)是ZTNA，零信任網(wǎng)絡(luò)訪問(wèn)，2019年也叫SDP（軟件定義邊界），2020年把SDP去掉了，因?yàn)镚arnter自己解釋說(shuō)，軟件定義和基于身份的安全方法在IaaS、PaaS云和虛擬化私有云中是很常見(jiàn)的， 零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA）涵蓋所有形式，而不僅僅是基于無(wú)VPN觀念的軟件定義邊界訪問(wèn)IaaS云和私有云中運(yùn)行的用戶應(yīng)用，雖然改了說(shuō)法，但是沒(méi)有新的架構(gòu)定義，我這里也就還用SDP的架構(gòu)來(lái)解釋，主要說(shuō)的就是客戶端對(duì)服務(wù)端的訪問(wèn)要經(jīng)過(guò)零信任網(wǎng)關(guān)進(jìn)行代理訪問(wèn)，對(duì)客戶端進(jìn)行應(yīng)用和環(huán)境級(jí)別的身份認(rèn)證，并持續(xù)對(duì)用戶行為進(jìn)行監(jiān)控，真正落地還要看用戶的接受程度，需要考慮現(xiàn)有內(nèi)網(wǎng)訪問(wèn)方案的遷移成本和各種應(yīng)用代理的技術(shù)難度。



下面到了Container Security，容器安全，字面上就能理解，技術(shù)上跟虛機(jī)安全還是有很大不同的，Gartner認(rèn)為容器安全要覆蓋容器的全生命周期，分為開(kāi)發(fā)（代碼 CI/CD）、部署（靜態(tài)安全）、運(yùn)行（動(dòng)態(tài)安全）三個(gè)階段，目前國(guó)內(nèi)外已經(jīng)看到多家廠商進(jìn)入，產(chǎn)品功能主要包括容器鏡像漏掃、容器運(yùn)行時(shí)進(jìn)程監(jiān)控、容器業(yè)務(wù)流量可視化，容器網(wǎng)絡(luò)微隔離、容器平臺(tái)安全基線審查以及合規(guī)監(jiān)控等功能，技術(shù)成熟度和市場(chǎng)都發(fā)展極為迅速，很有可能像CWPP一樣，一年的時(shí)間就從泡沫破裂期跨入光明爬坡期。



最后要講的是SASE，安全接入服務(wù)邊界，從架構(gòu)上看，可以認(rèn)為是網(wǎng)絡(luò)服務(wù)和安全服務(wù)的融合，其實(shí)這不是新技術(shù)，而是一種新的安全架構(gòu)和服務(wù)形態(tài)，2019年Gartner基于國(guó)外多個(gè)廠商的創(chuàng)新產(chǎn)品和服務(wù)形式提出的這一概念，國(guó)內(nèi)廠商跟進(jìn)的速度也很快，由于國(guó)內(nèi)外大環(huán)境的差異以及SASE的運(yùn)營(yíng)商服務(wù)特點(diǎn)，國(guó)內(nèi)廠商投入的門檻還是很高的，SASE對(duì)運(yùn)營(yíng)商來(lái)說(shuō)倒是非常值得關(guān)注，流量服務(wù)和安全服務(wù)的融合是大勢(shì)所趨，運(yùn)營(yíng)商做SASE服務(wù)有先天優(yōu)勢(shì)，這也許是運(yùn)營(yíng)商解決管道化問(wèn)題的一個(gè)非常好的突破點(diǎn)。



安全底層技術(shù)的演變，隨著企業(yè)業(yè)務(wù)的變化而更加復(fù)雜。發(fā)展與安全之間一定是相輔相成的。云安全產(chǎn)品的落地，無(wú)非是網(wǎng)絡(luò)安全和主機(jī)安全技術(shù)形態(tài)的變化。

無(wú)論是公有云還是私有云，由于虛擬環(huán)境硬件盒子部署不進(jìn)去了，所有硬件盒子VNF化，有了虛擬化防火墻。

然后是終端安全軟件的輕量級(jí)化，由于不同云的虛擬化網(wǎng)絡(luò)設(shè)計(jì)都不同，虛擬化防火墻的部署就有一定的技術(shù)門檻兒，這個(gè)時(shí)候終端安全就來(lái)了機(jī)會(huì)，只需要在虛機(jī)里安裝agent軟件就可以了，是操作系統(tǒng)就行，跟虛擬化環(huán)境沒(méi)啥關(guān)系，而傳統(tǒng)的終端安全軟件這個(gè)殺毒那個(gè)衛(wèi)士，都要占用很多系統(tǒng)資源，并且主要面向PC機(jī)，但云上的虛機(jī)通常都是服務(wù)器類型的，安全需求也跟PC機(jī)不一樣，這就新催生出來(lái)一種輕量級(jí)agent 集中管理的云安全產(chǎn)品。

最后就是多種類硬件盒子虛擬池化，這種云安全產(chǎn)品的出現(xiàn)跟等保2.0有很大關(guān)系，等保一體機(jī)、安全資源池，無(wú)論是技術(shù)上還是商務(wù)上都給用戶帶來(lái)了很大便捷性。

山石網(wǎng)科自2013年就發(fā)布了虛擬化防火墻產(chǎn)品山石云界，上架了全球各大公有云，不少行業(yè)云也都在大規(guī)模使用。圍繞虛擬化防火墻產(chǎn)品，我們又跟進(jìn)了ETSI的NFV框架，推出了我們符合NFV環(huán)境需要的VNF控制器產(chǎn)品山石云集，在5G/MEC環(huán)境都在推廣。另一個(gè)主打的虛機(jī)網(wǎng)絡(luò)微隔離的安全產(chǎn)品山石云格，主要面向的是VMware的vSphere環(huán)境。SD-WAN產(chǎn)品也能利用上在全球各大公有云都有我們虛擬化防火墻上架的優(yōu)勢(shì)。安全資源池產(chǎn)品我們也跟進(jìn)了，并做出了我們自己的差異化，滿足我們客戶的等保2.0的需求。最后就是容器安全，按照Gartner的定義，覆蓋容器全生命周期的各種安全功能。這樣我們就在圍繞云的邊界、云內(nèi)、管道上建起了我們山石網(wǎng)科自己的云安全戰(zhàn)略圖景。