本文來自微信公眾號(hào)“安全419”,作者/閆小川。
數(shù)字化轉(zhuǎn)型推動(dòng)企業(yè)對(duì)云的需求和依賴性不斷上升,據(jù)信通院《云計(jì)算白皮書(2023年)》報(bào)告顯示,我國(guó)云計(jì)算市場(chǎng)規(guī)模在2022年達(dá)到4550億元,較2021年增長(zhǎng)40.91%,報(bào)告預(yù)計(jì)處于快速發(fā)展期的我國(guó)云計(jì)算市場(chǎng)規(guī)模到2025年將超萬億元。
云從根本上兌現(xiàn)了其承諾的業(yè)務(wù)成果,以至于調(diào)研機(jī)構(gòu)眼中的云已經(jīng)從技術(shù)顛覆者轉(zhuǎn)變?yōu)闃I(yè)務(wù)顛覆者。然而安全問題仍然是企業(yè)上云用云的關(guān)鍵阻礙。相較而言,網(wǎng)絡(luò)安全公司在云安全產(chǎn)品市場(chǎng)化方面正在不斷創(chuàng)新,以求在傳統(tǒng)的云安全市場(chǎng)上找到用戶真正的需求點(diǎn)。
默安科技于2022年推出了自家的CSPM(云安全態(tài)勢(shì)管理)產(chǎn)品,據(jù)了解,這也是國(guó)內(nèi)為數(shù)不多的真正意義上的CSPM產(chǎn)品。近日,安全419就與默安科技CTO云舒圍繞該產(chǎn)品的市場(chǎng)化打造相關(guān)背景進(jìn)行了深入交流。
默安科技CTO云舒
云安全不等于安全資源池
產(chǎn)品市場(chǎng)化落地需將眼光看得更遠(yuǎn)
“云安全不等于安全資源池。”持此觀點(diǎn)的并非默安科技一家,云是一個(gè)大的生態(tài),早已不是虛擬機(jī)時(shí)代,這已是創(chuàng)新云安全廠商的標(biāo)準(zhǔn)理解。據(jù)云舒介紹,考慮到國(guó)內(nèi)云環(huán)境的獨(dú)特性,傳統(tǒng)的云安全做法在廣泛的數(shù)字化時(shí)代已經(jīng)不能完全滿足客戶的現(xiàn)實(shí)需求。
從安全廠商的產(chǎn)品市場(chǎng)化角度來看,云安全資源池和CWPP(云工作負(fù)載保護(hù)平臺(tái))只是解決一些從傳統(tǒng)IDC就存在,一直延續(xù)到了云上繼續(xù)存在的老問題。云其實(shí)引入許多新問題,云也不僅僅只是云主機(jī)。安全廠商需要將眼光放的更遠(yuǎn)一些,從而面向客戶真正的且迫切需要解決的安全問題層面上來,并且從中穩(wěn)固自身戰(zhàn)略定位。
“像是云上各種資源的配置,云主機(jī)之外,還有各種對(duì)象存儲(chǔ)服務(wù)、塊狀存儲(chǔ)服務(wù)、關(guān)系數(shù)據(jù)庫(kù)之類的服務(wù)、VPC(虛擬私有云)、安全組、云上的負(fù)載均衡、IAM(身份識(shí)別與訪問管理)等等。”
這也是為什么默安選擇在恰當(dāng)?shù)臅r(shí)間推出CSPM產(chǎn)品,默安科技CSPM推出的時(shí)間點(diǎn)在2022年,命名為“宵明-云安全態(tài)勢(shì)管理平臺(tái)(CSPM)”,根據(jù)官方介紹,該產(chǎn)品可在一個(gè)統(tǒng)一的界面中將最佳安全實(shí)踐應(yīng)用于混合云、多云,識(shí)別并自動(dòng)修復(fù)復(fù)雜云環(huán)境中的安全問題,保護(hù)云基礎(chǔ)架構(gòu)以及云上數(shù)據(jù)安全。
CSPM源于Gartner對(duì)于云安全的未來趨勢(shì)定義,CSPM關(guān)注對(duì)云安全風(fēng)險(xiǎn)的持續(xù)管理,主要用來解決IaaS和PaaS的錯(cuò)誤配置導(dǎo)致的安全風(fēng)險(xiǎn)。CSPM可以發(fā)現(xiàn)配置錯(cuò)誤、評(píng)估數(shù)據(jù)風(fēng)險(xiǎn)、持續(xù)監(jiān)控云環(huán)境、合規(guī)性監(jiān)測(cè)等,發(fā)現(xiàn)問題后報(bào)告用戶或直接自動(dòng)修復(fù)。
Gartner早在2016年就提出了類似概念,之后正式定義為CSPM(云安全態(tài)勢(shì)管理),隨后該技術(shù)被Gartner力薦為十大安全方向。其強(qiáng)調(diào),幾乎所有針對(duì)云服務(wù)的成功攻擊都是客戶配置錯(cuò)誤、管理不善和錯(cuò)誤的結(jié)果。企業(yè)應(yīng)投資于云安全態(tài)勢(shì)管理流程和工具,以主動(dòng)和被動(dòng)地識(shí)別和修正這些風(fēng)險(xiǎn)。
云舒表示,默安科技早年就儲(chǔ)備了CSPM產(chǎn)品對(duì)應(yīng)的模塊化能力,并已經(jīng)在其漏掃產(chǎn)品(巡哨)、云原生保護(hù)平臺(tái)(尚付CNAPP)產(chǎn)品當(dāng)中全面植入了相應(yīng)的CSPM各項(xiàng)模塊化能力。概念先于產(chǎn)品,默安科技之所以還是推出單獨(dú)的CSPM,其一是因?yàn)樽陨淼漠a(chǎn)品線要有更精準(zhǔn)的戰(zhàn)略市場(chǎng)定位,數(shù)字化推動(dòng)云的跨越式增長(zhǎng)就是這樣一個(gè)恰當(dāng)?shù)臅r(shí)機(jī)。
“國(guó)內(nèi)云的用量將越來越多,默安接觸每個(gè)客戶都在用云,都是混合云、多云的模式,CSPM這樣一款產(chǎn)品將非常適合應(yīng)對(duì)多云的安全管理,去解決CWPP覆蓋不到的那一部分。”云舒解釋稱。
更具落地可行性
預(yù)期CSPM將填補(bǔ)CWPP之外的云安全空白
宵明CSPM是默安科技云原生安全產(chǎn)品線的第二款產(chǎn)品,默安科技此前已經(jīng)打造了尚付云原生保護(hù)平臺(tái)CNAPP,那么為什么CNAPP同樣能解決的事情(CNAPP包含CSPM能力),默安科技還要再打造出一款CSPM單品呢?根據(jù)云舒的說法,問題就出在可落地性上面。
國(guó)內(nèi)安全廠商并不缺乏創(chuàng)新,缺的是創(chuàng)新產(chǎn)品是否能夠落地的市場(chǎng)環(huán)境。默安科技的CNAPP方案在戰(zhàn)略上選擇不包含CWPP模塊,就是希望方案落地時(shí)規(guī)避掉不再適合去競(jìng)爭(zhēng)的CWPP市場(chǎng)。用云舒的原話就是:“客戶已經(jīng)購(gòu)買了友商的CWPP產(chǎn)品,還能讓他們換成我們的嗎?”
就算是默安科技的CNAPP不包含CWPP功能,CNAPP從開發(fā)安全到容器運(yùn)行時(shí)保護(hù)的維度本身就很大,這導(dǎo)致CNAPP是一個(gè)很重的方案,如此其方案本身就先天性的存在落地困難問題。比如就有部分頭部安全廠商向安全419透露過已有CNAPP立項(xiàng)規(guī)劃,但就是產(chǎn)品遲遲拿不出來,這并不是研發(fā)出了問題,歸根到底還是商業(yè)戰(zhàn)略方面的落地問題。
云舒指出,相對(duì)而言CSPM是一個(gè)非常輕量級(jí)的產(chǎn)品,比如方案本身可以純SaaS交付或私有化軟件交付,從客戶購(gòu)買到交付部署只需要幾分鐘就能解決。當(dāng)然,產(chǎn)品輕量級(jí)不代表其功能也是如此,從國(guó)際上CSPM產(chǎn)品趨勢(shì)定義上來看,其功能性也在不斷向外延展。就是說,CSPM既輕量又實(shí)用。
云舒告訴安全419,CSPM產(chǎn)品最開始關(guān)注的點(diǎn)會(huì)相對(duì)較窄,到現(xiàn)在逐漸成為一個(gè)大的平臺(tái),CSPM已經(jīng)不僅僅是云的安全配置管理,而是包括了云上的數(shù)據(jù)安全(DSPM)、云上身份特權(quán)管理(CIEM)、云安全檢測(cè)與響應(yīng)(CDR)等等功能模塊,CSPM產(chǎn)品除了不太會(huì)涉及CWPP之外,CSPM將會(huì)填補(bǔ)CWPP之外的云安全問題空白。
“即使在CWPP領(lǐng)域,CSPM后面也會(huì)涉及一部分,它會(huì)對(duì)運(yùn)行中的云主機(jī)打快照,去掃描快照。這樣可以發(fā)現(xiàn)云主機(jī)里面的一些錯(cuò)誤配置、有漏洞的組件等等一些風(fēng)險(xiǎn)信息。但相對(duì)而言,CSPM并不具備CWPP領(lǐng)域內(nèi)的阻斷、修復(fù)能力。”云舒補(bǔ)充表示。
CSPM產(chǎn)品實(shí)踐難點(diǎn)
默安科技要做先行者奪取核心優(yōu)勢(shì)
安全419在2022年底報(bào)道的美在線教學(xué)平臺(tái)數(shù)據(jù)泄露事件,就是一起云存儲(chǔ)配置出錯(cuò)引起的重大安全事件,該起事件的研究團(tuán)隊(duì)vpnMentor在隨后也聯(lián)系了我們,從其透露出的信息來看,共計(jì)22TB以上云上數(shù)據(jù)受事件影響疑似泄露,數(shù)據(jù)包含10萬名學(xué)生敏感信息以及教學(xué)文件、密鑰、源代碼等敏感信息。
根據(jù)各大調(diào)研機(jī)構(gòu)的說法,因?yàn)槿说膯栴}導(dǎo)致的錯(cuò)誤配置占安全事件整體的接近60%比例,這顯示了CSPM產(chǎn)品的基礎(chǔ)功能存在極為廣泛的市場(chǎng)應(yīng)用空間。云舒告訴安全419,因?yàn)槿说募夹g(shù)儲(chǔ)備問題,以及企業(yè)用云量不斷上升,理解每一朵云和不同云服務(wù)的正確配置將是一個(gè)重大挑戰(zhàn)。
“一家企業(yè)可能同時(shí)擁有幾朵云,如果涉及出海業(yè)務(wù),可能還會(huì)用到AWS、Azure,運(yùn)維人員、安全人員根本沒有能力或是精力去把全國(guó)、全世界這么多云的成百上千的云服務(wù)、云產(chǎn)品安全配置規(guī)范都理解清楚,所以就需要一款產(chǎn)品來幫他們解決這一問題。”
談及此處,CSPM產(chǎn)品的實(shí)踐難點(diǎn)也是顯見的。云舒直言,下層環(huán)境決定上層應(yīng)用,默安CSPM產(chǎn)品除了提供適應(yīng)國(guó)內(nèi)主流云環(huán)境的平臺(tái)基礎(chǔ)功能外(多云資產(chǎn)可見性、云上數(shù)據(jù)保護(hù)、持續(xù)性云上合規(guī)、云上身份特權(quán)管理、云入侵檢測(cè)與響應(yīng)),其產(chǎn)品打造時(shí)很大一部分精力都放在了不同云廠商的適配上。
根據(jù)云舒的說法,CSPM產(chǎn)品具有落地性,而從產(chǎn)品打造實(shí)踐上,主要就是適配方面具有一定挑戰(zhàn)性,這與國(guó)內(nèi)的云不夠標(biāo)準(zhǔn)化有比較大的關(guān)系,在這方面,默安科技前期用了四個(gè)月時(shí)間去適配不同的云。
“像我們現(xiàn)在對(duì)接的國(guó)內(nèi)阿里云、騰訊云、華為云、天翼云、浪潮云、京東云等等,尤其是專有云的對(duì)接上,甚至還有版本區(qū)分,這樣API就會(huì)有很大變化,甚至有些API沒有標(biāo)準(zhǔn)文檔,或者是包括一些公有云的標(biāo)準(zhǔn)文檔都不是很全,根據(jù)不同云廠商完善的生態(tài)建設(shè)上的不同,實(shí)現(xiàn)全面的CSPM產(chǎn)品對(duì)接在國(guó)內(nèi)是比較困難的,要花大量的時(shí)間和精力去做。”
據(jù)悉,默安科技成立于2016年,早期研發(fā)的蜜罐產(chǎn)品在行業(yè)內(nèi)較為知名,通過不斷的技術(shù)迭代,已成為欺騙防御市場(chǎng)上的創(chuàng)新引領(lǐng)者。根據(jù)云舒的說法,在默安科技做蜜罐時(shí)市場(chǎng)上只有他們一家,現(xiàn)在已經(jīng)多得數(shù)不過來,至少有好幾十家。
云舒想表達(dá)的有兩層含義,其一是默安科技不想走跟風(fēng)路線,其二是網(wǎng)安市場(chǎng)上各個(gè)安全廠商之間并不存在絕對(duì)的不可逾越的技術(shù)優(yōu)勢(shì),你能做的我也能做,我能做的你當(dāng)然也能做。
宵明-云安全態(tài)勢(shì)管理平臺(tái)(CSPM)界面截圖
“比如我們CSPM產(chǎn)品的核心技術(shù),包括各項(xiàng)功能模塊,如將等保二級(jí)、三級(jí),包括云上的擴(kuò)展要求,以及GDPR、PCIDSS、CIS、HIPAA等等一些法律法規(guī)的相應(yīng)條款全面映射到云廠商的各種安全配置當(dāng)中,當(dāng)然我們還做了一些重點(diǎn)行業(yè)的合規(guī)映射。但這件事默安科技能做,別人其實(shí)也都能做。”
而一款產(chǎn)品和解決方案能夠獲得成功,重點(diǎn)還是要有戰(zhàn)略層面的市場(chǎng)優(yōu)勢(shì),必須要做先行者。競(jìng)爭(zhēng)優(yōu)勢(shì)需要?jiǎng)?wù)實(shí)一些,是慢慢做出來的。“你需要比別人更早看到它,并且在做的過程中不斷打磨優(yōu)化你的產(chǎn)品,向更多的客戶學(xué)習(xí),向更多的行業(yè)學(xué)習(xí),從而不斷夯實(shí)產(chǎn)品的先發(fā)優(yōu)勢(shì)。”云舒強(qiáng)調(diào)稱。
尾聲:
IBM發(fā)布的《2022年數(shù)據(jù)泄露成本報(bào)告》就指出,近一半的數(shù)據(jù)泄露發(fā)生在云上,在企業(yè)的云安全實(shí)踐方面,17%的企業(yè)云安全實(shí)踐方面幾乎為零,26%的企業(yè)處于云安全實(shí)踐早期階段,只有23%的企業(yè)處于成熟階段。
Fortinet最近發(fā)布的《2023云安全報(bào)告》稱,云安全仍然是一個(gè)重要問題,95%的受訪組織擔(dān)心其在公有云環(huán)境中的安全狀況,為應(yīng)對(duì)安全方面的擔(dān)憂,已有60%的組織表示將增加預(yù)算,以全面提升云的安全可見性。這一預(yù)期將促使企業(yè)在云安全領(lǐng)域整體消費(fèi)能力增長(zhǎng)33%。
用云量不斷上升,云安全本身也有了更好的生存土壤,并伴隨著技術(shù)的進(jìn)步與變化,云安全也在不斷進(jìn)步的道路上持續(xù)深層發(fā)展。默安科技創(chuàng)始團(tuán)隊(duì)均出身阿里云,對(duì)國(guó)內(nèi)的云基礎(chǔ)設(shè)施架構(gòu)以及云安全產(chǎn)品具有豐富的參與建設(shè)經(jīng)驗(yàn),更懂云更懂云安全是他們的最大優(yōu)勢(shì),這款CSPM未來是否能夠得到企業(yè)客戶的青睞,我們也將拭目以待。