文|極新 小新
編輯|苑晶
云安全更像是在數(shù)字化浪潮中的“賣(mài)水人”,水大則魚(yú)大。但同時(shí),云安全又是面向全球的行業(yè),在萬(wàn)千云安全公司中,國(guó)內(nèi)的云安全公司還與世界先進(jìn)公司存在一定差距。
網(wǎng)絡(luò)安全,即便是何時(shí)提起,其重要性也不能小覷。在波詭云譎的2022,在各行各業(yè)掀起上云狂潮后,云安全的概念隨之爆發(fā),而在這場(chǎng)競(jìng)爭(zhēng)中,全球的公司也將注意力投射在頭頂上的那朵云彩之上。據(jù)Gartner的估計(jì),到2023年,云安全市場(chǎng)規(guī)模將增長(zhǎng)10倍,達(dá)到124億美元(相比之下,2020年為12億美元)。
在相關(guān)部門(mén)對(duì)關(guān)于網(wǎng)絡(luò)安全保障需求的劃分(即云安全、人工智能安全、大數(shù)據(jù)安全、車(chē)聯(lián)網(wǎng)安全、物聯(lián)網(wǎng)安全、智慧城市安全、網(wǎng)絡(luò)安全共性技術(shù)、網(wǎng)絡(luò)安全創(chuàng)新服務(wù)、網(wǎng)絡(luò)安全“高精尖”技術(shù)創(chuàng)新平臺(tái))下,云安全被提到了首要位置,可見(jiàn)其對(duì)該行業(yè)的重視程度。
追溯歷史,云安全是傳統(tǒng)信息安全行業(yè)的再升級(jí)。嚴(yán)格意義上,云安全是一種行業(yè)補(bǔ)充。在行業(yè)細(xì)分中,則囊括云基礎(chǔ)設(shè)施安全,云計(jì)算資源安全,云計(jì)算操作系統(tǒng)安全,云計(jì)算應(yīng)用軟件安全,用戶(hù)信息安全等一系列內(nèi)容。
在全球市場(chǎng)中,云安全的市場(chǎng)規(guī)模正以?xún)晌粩?shù)的高速成長(zhǎng)中。在相關(guān)數(shù)據(jù)中,其在2021年已達(dá)到147.8億美元,預(yù)計(jì)在2026年,全球市場(chǎng)規(guī)??赏黄?84.5億美元。
據(jù)了解,2020年中,在使用了公有云的企業(yè)和組織中,有近3/4在過(guò)去受到過(guò)安全事件?,F(xiàn)如今,越拉越多的中小企業(yè)也在增加對(duì)網(wǎng)絡(luò)安全方面的投入,加之以往中小企業(yè)更偏向云服務(wù),無(wú)形中,助推了云安全從一個(gè)小眾市場(chǎng)走向主流的步伐。
01最頭疼的問(wèn)題還是發(fā)生了
企業(yè)主真的知道其所購(gòu)買(mǎi)的云產(chǎn)品軟件是什么嗎?答案可能是否定的。
在開(kāi)源變成不可逆的趨勢(shì)之時(shí),一個(gè)軟件在誕生的過(guò)程中裹挾了來(lái)自天南海北的開(kāi)源代碼,而開(kāi)源本身就存在安全隱患,也就是說(shuō),軟件在開(kāi)發(fā)的時(shí)候就可能已經(jīng)有了“天生殘疾”——這就是業(yè)界討論的軟件供應(yīng)鏈問(wèn)題。
國(guó)外相關(guān)機(jī)構(gòu)對(duì)開(kāi)源本身做過(guò)測(cè)算:其結(jié)果是99%的代碼庫(kù)包含開(kāi)源代碼,而由第三方或開(kāi)源編寫(xiě)的代碼,可能從一開(kāi)始就未收到嚴(yán)格控制。在開(kāi)源代碼的編寫(xiě)過(guò)程中,可能經(jīng)過(guò)了幾千名工作人員,從最壞的角度上說(shuō),這些人都可以訪問(wèn)代碼。
誰(shuí)能保證每一行代碼都沒(méi)有問(wèn)題?
另外,惡意代碼正在和安全軟件博弈:根據(jù)WatchGuard技術(shù)公司的一份報(bào)告得出的,該公司聲稱(chēng)規(guī)避惡意軟件檢測(cè)的數(shù)量已經(jīng)上升到創(chuàng)紀(jì)錄的水平。
在疫情的催化下,越來(lái)越多的人采用居家辦公的方式進(jìn)行工作,而這客觀上也助長(zhǎng)了惡意攻擊的概率。如今,云安全的邊界早已超出傳統(tǒng)互聯(lián)網(wǎng)范疇,擴(kuò)大到了物聯(lián)網(wǎng)、家庭網(wǎng)絡(luò)和移動(dòng)設(shè)備之中。
02云安全的最新變量
傳統(tǒng)軟件中,IT架構(gòu)較為垂直,在這種架構(gòu)中,系統(tǒng)之間不能共享資源,是典型的信息孤島。由于云架構(gòu)在基礎(chǔ)架構(gòu)增加了虛擬化層和云管理層,極大擴(kuò)充了傳統(tǒng)軟件的使用邊界。
可問(wèn)題就在這里,正是因?yàn)樘摂M化層和云管理層的存在才出現(xiàn)了諸多新的網(wǎng)絡(luò)安全問(wèn)題。
這種情況體現(xiàn)在兩個(gè)方面:即保護(hù)云自身的安全環(huán)境和安全云,后者以云的方式為系統(tǒng)提供安全解決方案。
新的行業(yè)增量為云安全帶來(lái)了更多場(chǎng)景。
在汽車(chē)行業(yè),空中汽車(chē)(OTA)催生出了不斷需要維護(hù)的軟件安全市場(chǎng)。在實(shí)際情況中,車(chē)的互聯(lián)網(wǎng)化的背后是安全在多云、多解決方案、多地區(qū)銜接的具體場(chǎng)景。
很多情況中,OTA廠商需從云服務(wù)器下載代碼,甚至遠(yuǎn)程修復(fù)、維護(hù)和改進(jìn)軟件。在安全和私密性的考量下,汽車(chē)內(nèi)的網(wǎng)絡(luò)安全環(huán)境會(huì)被高度關(guān)注。就目前的市場(chǎng)環(huán)境,車(chē)廠開(kāi)始嘗試在軟件中加裝車(chē)輛動(dòng)力系統(tǒng)升級(jí)的軟件,從而通過(guò)訂閱的方式收取服務(wù)費(fèi)。
但云安全的風(fēng)險(xiǎn)反而就存在于這數(shù)百萬(wàn)、數(shù)十億、萬(wàn)億、千萬(wàn)億的交易、消息、會(huì)話(huà)和其他結(jié)構(gòu)化元素中。
諸如汽車(chē)行業(yè)的場(chǎng)景還有很多,這里不一一舉例。
廣大的市場(chǎng)吸引了眾多參與者,尋求在行業(yè)中分得一杯羹。
在云安全的行業(yè)參與者中,主要囊括了以下幾種玩家:即傳統(tǒng)安全服務(wù)商、底層基礎(chǔ)設(shè)施平臺(tái)方和新興云安全提供商。在上一個(gè)時(shí)代存活下來(lái)的安全公司(如奇安信、亞信、啟明星辰、天融信、綠盟和深信服等),借著云概念開(kāi)啟了第二春;在平臺(tái)類(lèi)公司中,還是阿里、騰訊、華為、百度等玩家;在新興公司中,有山石網(wǎng)科、青藤云等公司。
03云安全道阻且長(zhǎng)
場(chǎng)景的多樣性,導(dǎo)致云安全產(chǎn)品的多元。從主機(jī)到虛擬機(jī),從虛擬機(jī)到容器,云安全好像無(wú)所不能,貫穿了云時(shí)代的全部歷史。但正如我們?cè)谙盗形恼轮刑岬降哪菢?,中?guó)的軟件公司的發(fā)展道路曲折,困難重重。
對(duì)于云安全公司來(lái)說(shuō),便遇到了以下問(wèn)題:
目前急需要在云安全標(biāo)準(zhǔn)中進(jìn)行統(tǒng)一;
大量公司仍然以軟件外包形式存在,行業(yè)缺乏優(yōu)秀標(biāo)的;
企業(yè)規(guī)模過(guò)小,傳統(tǒng)公司轉(zhuǎn)型慢;
等等。
目前,國(guó)內(nèi)的廣大公司仍處于萌芽的發(fā)展階段。背后的原因也十分深刻:其一,在獲客上,以政企招標(biāo)為主要形式,這樣的形式進(jìn)一步限制了企業(yè)規(guī)模。
其二,用戶(hù)對(duì)于公有云的安全問(wèn)題由來(lái)已久,關(guān)于云平臺(tái)之中的安全責(zé)任更是用戶(hù)較為擔(dān)心的一點(diǎn)。這樣的風(fēng)險(xiǎn)廣泛存在于因地理位置、用戶(hù)身份變更、法律的適用性等多方面因素。
在人的方面,更是取決于企業(yè)內(nèi)數(shù)據(jù)資產(chǎn)管理者的安全意識(shí)和云安全廠商。應(yīng)該如何制定云安全流程,出了問(wèn)題應(yīng)該如何解決等必要性問(wèn)題缺乏前置解決方案。
第三,在獲客上,以政企招標(biāo)為主要形式,這樣的形式進(jìn)一步限制了云安全行業(yè)企業(yè)的規(guī)模。從廣大安全公司的發(fā)展歷史中,由于絕大部分公司起家于細(xì)分市場(chǎng),目前正在各自的細(xì)分領(lǐng)域鞏固實(shí)力。
有專(zhuān)家認(rèn)為,未來(lái)的云安全屬于智能化和數(shù)字化,但如何實(shí)現(xiàn)?截至目前,我們看到的現(xiàn)實(shí)是,絕大部分公司仍舊被限制在客戶(hù)定制的囹圄之中。實(shí)現(xiàn)自動(dòng)化仍然任重道遠(yuǎn)。
總之,云安全雖火,只是離成熟還需時(shí)日。