RSAC2019 终极之问:云安全的想象空间有多大?

虽然RSAC 2019已经结束了,还想聊聊RSA相关的话题。

基于RSA和国内目前都比较关注云安全,我们也想针对于云安全的市场空间来进行探讨,云安全的国内市场想象空间有多大?

先厘清一下什么是云安全。

如果你是用云的客户,其实对云安全的理解很简单:一、云平台要是安全的;二、我的东西放在云上要是安全的。

但其实云安全是一个非常具有想象空间的概念。在首个提供云服务的亚马逊眼里,云计算的本质是一套面向全球的互联网操作系统;后来者微软的野心更大,用Azure来命名公有云。Azure本身在英文中为“蓝天”的意思,也就是说微软Azure公有云的本意是为全世界做一个“虚拟” 操作系统,如果把全世界的计算设备都连在一起形成一台虚拟计算机的话,它的操作系统就是Azure。在这样的语境下,云安全的含义自然十分庞大,理解为世界的安全似乎也不过分。

但这毕竟是两大巨头对未来美好图景的畅想。现行通用的云安全定义用腾讯安全联合实验室在知乎平台上给出的解释比较吻合:一种是云计算安全,主要是对云自身的安全保护,包括云计算应用系统安全、云计算应用服务安全、云计算用户信息安全等;另一种安全云计算,通过使用云的形式提供和交付安全,即通过采用云计算技术来提升安全系统的服务性能,如基于云计算的防病毒技术、挂马检测技术等。

具体到实际场景,云的安全则包括安全合规管理、基础设施安全、网络边界安全、系统安全、应用安全、数据安全、身份与访问安全以及业务安全八大领域。

上云是否安全?上云不安全是“幸存者偏差”

自云诞生以来,就在重构互联网,这种重新部署企业IT的方式吸引了大量关注,但是倘若爆发安全事件,“云不安全”也将更容易被整个互联网所铭记。这里引入统计学中的“幸存者偏差”概念——云不安全的认知达成是经过筛选的,比如Uber5700万用户数据和NSA超100GB的数据在云上泄露。但没有上云的数据泄露事件同样是数不胜数——仅仅是酒店行业就有希尔顿、华柱、万豪酒店……接连中招。

理性看待云上爆发的数据安全事件,要认识到无论上云与否都阻止不了黑客对数据的攫取欲望。如果企业有足够的成本支持,自建所有的数据中心存放数据当然是最安心的选择。当然这也要建立在成熟的运营体系之上,酒店行业频发的数据泄露事件基本上都可归咎为,企业在内部数据使用流程、安全管理制度和数据库系统保护措施上明显不够。

将数据托管在专业的云服务商,和自建数据中心的对比,如同饮用自来水厂和自家挖井的区别。先不论水是否好喝,当你家有一千个人需要供养却只有一个人挑水的时候,用自来水可能是最好的选择。

在数据安全之外,大量安全问题已被验证云视角下将获得更好的解决方案。比如端点安全,在BYOD移动化办公大背景下,通过云服务交付的终端安全能够使得管理远程资产像在网络中管理一样轻松,使得企业组织不必保护控制台或担心诸如数据库溢出等细节问题。主打网络资产管理的Axonius成了本届创新沙盒的冠军,也释放出云上天生具备“看见”资产的优势,会让资产管理更轻松,这也引发了越来越多的SOC都基于云建的趋势。

不可回避的是,上云与云安全的关注趋势都将更强烈。

一、企业上云将是一大趋势。近十年来,我国企业的上云率从2009年的3.2%增至2018年的30.8%。当全社会都建立在云端之后,那么必然会存在云安全的议题。而且现在产业常提的以云、大数据、人工智能、物联网和区块链等数字技术所驱动的企业数字化转型,其终极目标就是建立云原生的数字企业,或者称为数字原生企业,其核心竞争力在于大规模的云软件的开发、运维及运营能力。这种场景也是标准意义下的SDA,那么云安全自然是所有的网络安全问题。

二、技术层面无本质差别。在边界上,云安全与网络安全关注的都是数据、数据中心、网络等领域的问题,并且安全威胁同样来自木马、病毒和密码破译等几种方式。从技术角度来看,云安全与传统网络安全并无本质的差别。

三、云的安全性更高。相较之下,上云之后很多传统安全问题将不复存在,或者得到更加简单高效的解法,虽然也会面临新的安全挑战,但上云的价值毋庸赘述。云不仅仅是新的工作负载部署目标,还代表着改善安全的潜在方法。云资源转瞬即逝的属性也可用于提升安全。云资源不是静态的,其瞬时特性应被更多公司企业利用来改善自身网络安全态势。Gartner判断,到2020年,与传统数据中心相比,公共云的安全能力将帮助企业至少降低60%的安全事件。

如何让云更安全?一个“古老”的概念开始活跃——云管端

但在云安全逐渐发展的过程中,我们似乎要开始重新重视一个“古老”的概念——云管端一体化。

对于中国企业而言,IT化水平不能一概而论,上云步伐差距显著。全部上云、部分上云、混合云、多云的情况都存在,当然大量的中小企业对云的态度还持保留态度,尚未开始转型。这就意味着安全厂商需要更加全面的解决方案,以提升云的安全属性,这也和本届RSA透露的“马太效应”吻合——小厂的竞争力将逐渐下降,拥有整合能力、多维度解决能力的大厂机会更多,他们往往有能力打造从流量到端到云,一整套的信息安全解决方案。

国内的头部玩家在云管端布局比较完整的是腾讯。自去年930组织架构调整之后,腾讯安全整合服务C端的能力、腾讯安全联合实验室以及腾讯云的安全能力,形成了全新的云管端布局,指向也很明确——护航腾讯云与智慧产业,打造最安全的产业云。

(腾讯安全在今年初的媒体沟通会上披露布局)

中国云安全市场增速迅猛,空间巨大

腾讯加码云安全的背后,显示出整个中国云安全市场进入到了快速发展阶段。赛迪在近期发布的《2019中国网络安全发展白皮书》中表示,虽然中国云安全市场目前仍处于起步阶段,但整体的市场规模会随着云计算市场规模的增长而快速崛起。2018年,中国云安全市场规模达到37.8亿元,增长率为44.8%。

云安全市场充满广阔前景的另一大核心动因还在于,中国安全市场局势尚未清晰。赛迪报告显示,2018年中国安全市场规模逼近500亿,预测2021年中国网络信息安全市场将达到926.8亿元。巨大的蛋糕下行业集中有待提升,目前行业细分领域多,市场高度分散,市场格局未定,CR5小于30%。同时,我国现在还没有安全厂商跻身百亿俱乐部,这给更多企业留下了机会。

伴随着云越来越深入到生产生活的方方面面,安全能力也将成为客户选择云的重要因素之一,云安全市场空间的爆发也在预料之中。明年的RSA大会上,或许超过50%的厂商会更为关注云安全,让我们一起期待国内云安全业务的迅猛发展。