近期,國際權威咨詢機構Gartner基于對中國安全市場的調查研究和中國安全產品供應商的評估發(fā)布了分析報告《中國云安全市場概覽》(Top Practices for Cloud Security in China)。
不同于以往針對全球化市場給出建議,Gartner針對中國細分市場給出獨立報告,足以說明中國安全市場已經為世界矚目。
報告顯示,中國是一個非常獨特的市場,在云安全領域既面臨一些全球共通性的挑戰(zhàn):例如是否或如何信任公有云,也面臨一些本土特有的難點:例如技術可行性以及如何正確選擇CSP。
構成公有云信任問題的主要原因是大眾對于物理位置的關注超過了對于安全控制本身,而另一方面,成熟的云安全防御體系需要依靠云安全責任共擔模型作基礎支撐,并有效評估安全工具與CSP可能產生的風險。報告中將中國市場目前面臨的問題歸納為以下三點:
整體而言,在中國市場,公有云的采用率正在逐步增加,但私有云、混合云和傳統(tǒng)數據中心在中國仍然占有很高的市場份額,這是因為市場仍過度關注數據的物理位置,而非對于云安全的控制。
海外的云服務提供商(CSP)和安全供應商在為中國市場提供云服務時存在技術可行性的問題,而本地供應商為避免與公有云提供商直接競爭,更傾向于提供私有云服務,這使得企業(yè)/組織很難選擇云安全工具。
中國的許多企業(yè)/組織不會對CSP進行系統(tǒng)性的風險評估,使企業(yè)面臨安全風險。
正因為中國市場同全球市場的差別明顯,特別是在SaaS產品的部署以及對于本地法規(guī)需求的額外考量方面。因此企業(yè)在做安全建設時不能簡單地照搬國外做法,而必須確保在通用實踐和本地個性化需求場景之間取得平衡。對此,報告給予了中國云安全和風險管理負責人相應的建議:
通過對云安全責任共擔模型的評估,明確云提供商的安全責任范圍,并建立所需的安全能力
建立云安全架構,通過云原生優(yōu)先的方式,利用第三方和開源工具實施安全控制,同時持續(xù)監(jiān)控其在中國的技術可行性。
利用分層模型和安全認證來評估CSP可能存在的風險
這三個建議的具體操作又引申出三個具體的問題,如何與云提供商確定安全責任的范圍并建立所需的能力;如何建立云安全架構;如何有效評估CSP風險。報告圍中繞這三個問題進行了詳細的分析。
如何與云提供商確定安全責任的范圍
并建立所需的能力?
報告首先提出的是建立云安全責任共擔模型。組織和企業(yè)需根據云部署的類型來理解其安全責任,通過與CSP分擔一些其他安全責任,從而專注于保護其最核心的資產,并降低對數據位置的關注。
其次是建立云安全能力。傳統(tǒng)保護數據中心的安全專業(yè)知識不適用于保護所有云資源,組織企業(yè)需建立云安全能力。
配備云安全架構師也是必不可少的。為解決云安全復雜性,組織和企業(yè)需配備云安全架構師以負責引領云安全文化變革、制定云安全策略、開發(fā)和協調云安全的安全技術和工具采用、聘用或培訓云安全工程師。
最后是云安全工程師。組織/企業(yè)可通過聘用掌握網絡安全、服務器安全、漏洞管理、應用程序安全和數據安全等廣泛安全領域知識的云安全工程師來實現深度技術支持。
如何建立云安全架構?
云產品部署模式的多樣性及責任分攤的復雜性使用戶需要配備一套完善的工具組來安全地使用云。云安全廠商通常采用模塊化的方法來提供服務,并將功能整合到一個組合中。報告中將其大致分為三類并做了詳細的分析和研究。
成熟的服務:本地云安全工具、云安全訪問代理(CASB)、云工作負載保護平臺(CWPP)、云安全態(tài)勢管理(CSPM)等
新興工具:SaaS安全態(tài)勢管理(SSPM)、SaaS管理平臺(SMP)等、開源工具等
其他服務:云原生應用程序保護平臺(CNAPP)
本地云安全工具易于購買和實現,但需對它們根據用例、功能以及與現有內部安全工具和流程的集成來進行評估。一些全球CSP設有全球云和中國云,中國特有的法規(guī)導致了產品、技術可行性和服務模式的差異。
開源工具是云安全的選擇之一。開源工具為云安全提供靈活性與創(chuàng)新性,也會帶來新的風險,需正確管理開放源代碼帶來的風險與回報。通常而言,非本土供應商并不向中國境內提供所有產品與服務,他們要么商要么與本地基礎設施運營商合作,要么讓用戶通過跨境連接獲得全球服務。而中國供應商為避免與提供公有云工具的供應商競爭,多專注于內部云和私有云部署的安全工具,而非公有云,尤其是SaaS,使公有云在中國的采用率還沒有發(fā)揮出全部潛力。隨著全球供應商逐步提高在中國的服務可行性,以及本土供應商投資覆蓋更多場景的產品,中國與世界的技術差距最終將變小。
CNAPP整合了大量過去封閉的能力,包括容器掃描、云安全態(tài)勢管理、基礎設施如掃碼、云基礎設施授權管理,一些本地廠商的產品旨在解決云原生應用程序的安全需求,但目前并沒有覆蓋所有領域的能力。
如何有效評估CSP風險?
報告采用的評估方法為國際通用的CSP評估模型。
經過評估,CSP共被劃分為三個等級。
I一級CSP
所有一級CSP都經過了中國MLPS三級認證和多個其他第三方安全評估。這些大型CSP保護他們的品牌形象,并不斷尋求方法來鼓勵更高水平的客戶信任。它們主要由在市場上占據主導地位的老牌云服務提供商組成。突出案例包括:阿里云、騰訊云、華為云、ecloud、亞馬遜和微軟
II二級CSP
二級CSP主要由中型提供商和一些在云計算能力上不突出的大型軟件服務商構成。這些CSP在安全和操作方面相對不成熟,通常缺乏第三方評估,可能存在財務基礎薄弱,償付能力不足的問題。市場商大部分供應商都集中在這個級別。
III三級CSP
主要指非常小的供應商,它們缺乏接受第三方評估的資源,且具備的能力非常有限,它們薄弱的財務基礎很難在短時間內得到改變。你必須假設它們是不安全的,任何接受這種服務的組織/企業(yè)都必須充分意識并接受可能存在的任何風險。
此外,報告也詳細介紹了幾種形式的第三方評估。第三方評估或認證通常用于評估CSP的安全性。除了全球認證外,中國本土的認證在這個環(huán)節(jié)必不可少。常見的第三方認證包括幾種:MLPS、可信云認證、ITSS云計算服務能力評估、中國網絡空間管理局(CAC)網絡安全評估、ISO 27001/27017/27018認證等。報告指出,MLPS是最重要的,中國合格的CSP必須通過MLPS三級評估。
中國云安全市場未來可期
盡管目前中國在云計算和云原生技術的發(fā)展上與西方發(fā)達國家仍存在一定差距,但云安全早已受到行業(yè)企業(yè)以及市場客戶的日益關注與重視。當前已有很多國內廠商能夠提供CWPP相關服務,相信隨著對PaaS、容器、和云集成等能力的進一步完善,中國市場存在廣闊的增長空間。
云安全服務作為網絡安全服務的最新服務形式,將云計算技術和業(yè)務模式應用于網絡安全領域,以云的方式交付安全能力,實現了安全即服務的理念。在網絡攻擊更加復雜化的環(huán)境下,云安全服務成為網絡安全重要發(fā)展方向是不可逆轉的趨勢。
Gartner預計,到2024年,中國終端用戶在系統(tǒng)基礎設施和基礎設施軟件上的支出將有近40%轉移到云服務支出。這一結構性的轉移使得云安全成為中國安全和風險管理人優(yōu)先需要關注的重點。