信息化觀察網(wǎng)

近期，國際權(quán)威咨詢機構(gòu)Gartner基于對中國安全市場的調(diào)查研究和中國安全產(chǎn)品供應(yīng)商的評估發(fā)布了分析報告《中國云安全市場概覽》（Top Practices for Cloud Security in China）。

不同于以往針對全球化市場給出建議，Gartner針對中國細分市場給出獨立報告，足以說明中國安全市場已經(jīng)為世界矚目。

報告顯示，中國是一個非常獨特的市場，在云安全領(lǐng)域既面臨一些全球共通性的挑戰(zhàn)：例如是否或如何信任公有云，也面臨一些本土特有的難點：例如技術(shù)可行性以及如何正確選擇CSP。

構(gòu)成公有云信任問題的主要原因是大眾對于物理位置的關(guān)注超過了對于安全控制本身，而另一方面，成熟的云安全防御體系需要依靠云安全責(zé)任共擔(dān)模型作基礎(chǔ)支撐，并有效評估安全工具與CSP可能產(chǎn)生的風(fēng)險。報告中將中國市場目前面臨的問題歸納為以下三點：

整體而言，在中國市場，公有云的采用率正在逐步增加，但私有云、混合云和傳統(tǒng)數(shù)據(jù)中心在中國仍然占有很高的市場份額，這是因為市場仍過度關(guān)注數(shù)據(jù)的物理位置，而非對于云安全的控制。

海外的云服務(wù)提供商（CSP）和安全供應(yīng)商在為中國市場提供云服務(wù)時存在技術(shù)可行性的問題，而本地供應(yīng)商為避免與公有云提供商直接競爭，更傾向于提供私有云服務(wù)，這使得企業(yè)/組織很難選擇云安全工具。

中國的許多企業(yè)/組織不會對CSP進行系統(tǒng)性的風(fēng)險評估，使企業(yè)面臨安全風(fēng)險。

正因為中國市場同全球市場的差別明顯，特別是在SaaS產(chǎn)品的部署以及對于本地法規(guī)需求的額外考量方面。因此企業(yè)在做安全建設(shè)時不能簡單地照搬國外做法，而必須確保在通用實踐和本地個性化需求場景之間取得平衡。對此，報告給予了中國云安全和風(fēng)險管理負(fù)責(zé)人相應(yīng)的建議：

通過對云安全責(zé)任共擔(dān)模型的評估，明確云提供商的安全責(zé)任范圍，并建立所需的安全能力

建立云安全架構(gòu)，通過云原生優(yōu)先的方式，利用第三方和開源工具實施安全控制，同時持續(xù)監(jiān)控其在中國的技術(shù)可行性。

利用分層模型和安全認(rèn)證來評估CSP可能存在的風(fēng)險

這三個建議的具體操作又引申出三個具體的問題，如何與云提供商確定安全責(zé)任的范圍并建立所需的能力；如何建立云安全架構(gòu)；如何有效評估CSP風(fēng)險。報告圍中繞這三個問題進行了詳細的分析。

如何與云提供商確定安全責(zé)任的范圍

并建立所需的能力？

報告首先提出的是建立云安全責(zé)任共擔(dān)模型。組織和企業(yè)需根據(jù)云部署的類型來理解其安全責(zé)任，通過與CSP分擔(dān)一些其他安全責(zé)任，從而專注于保護其最核心的資產(chǎn)，并降低對數(shù)據(jù)位置的關(guān)注。

其次是建立云安全能力。傳統(tǒng)保護數(shù)據(jù)中心的安全專業(yè)知識不適用于保護所有云資源，組織企業(yè)需建立云安全能力。

配備云安全架構(gòu)師也是必不可少的。為解決云安全復(fù)雜性，組織和企業(yè)需配備云安全架構(gòu)師以負(fù)責(zé)引領(lǐng)云安全文化變革、制定云安全策略、開發(fā)和協(xié)調(diào)云安全的安全技術(shù)和工具采用、聘用或培訓(xùn)云安全工程師。

最后是云安全工程師。組織/企業(yè)可通過聘用掌握網(wǎng)絡(luò)安全、服務(wù)器安全、漏洞管理、應(yīng)用程序安全和數(shù)據(jù)安全等廣泛安全領(lǐng)域知識的云安全工程師來實現(xiàn)深度技術(shù)支持。

如何建立云安全架構(gòu)？

云產(chǎn)品部署模式的多樣性及責(zé)任分?jǐn)偟膹?fù)雜性使用戶需要配備一套完善的工具組來安全地使用云。云安全廠商通常采用模塊化的方法來提供服務(wù)，并將功能整合到一個組合中。報告中將其大致分為三類并做了詳細的分析和研究。

成熟的服務(wù)：本地云安全工具、云安全訪問代理(CASB)、云工作負(fù)載保護平臺(CWPP)、云安全態(tài)勢管理(CSPM)等

新興工具：SaaS安全態(tài)勢管理(SSPM)、SaaS管理平臺(SMP)等、開源工具等

其他服務(wù)：云原生應(yīng)用程序保護平臺（CNAPP）

本地云安全工具易于購買和實現(xiàn)，但需對它們根據(jù)用例、功能以及與現(xiàn)有內(nèi)部安全工具和流程的集成來進行評估。一些全球CSP設(shè)有全球云和中國云，中國特有的法規(guī)導(dǎo)致了產(chǎn)品、技術(shù)可行性和服務(wù)模式的差異。

開源工具是云安全的選擇之一。開源工具為云安全提供靈活性與創(chuàng)新性，也會帶來新的風(fēng)險，需正確管理開放源代碼帶來的風(fēng)險與回報。通常而言，非本土供應(yīng)商并不向中國境內(nèi)提供所有產(chǎn)品與服務(wù)，他們要么商要么與本地基礎(chǔ)設(shè)施運營商合作，要么讓用戶通過跨境連接獲得全球服務(wù)。而中國供應(yīng)商為避免與提供公有云工具的供應(yīng)商競爭，多專注于內(nèi)部云和私有云部署的安全工具，而非公有云，尤其是SaaS，使公有云在中國的采用率還沒有發(fā)揮出全部潛力。隨著全球供應(yīng)商逐步提高在中國的服務(wù)可行性，以及本土供應(yīng)商投資覆蓋更多場景的產(chǎn)品，中國與世界的技術(shù)差距最終將變小。

CNAPP整合了大量過去封閉的能力，包括容器掃描、云安全態(tài)勢管理、基礎(chǔ)設(shè)施如掃碼、云基礎(chǔ)設(shè)施授權(quán)管理，一些本地廠商的產(chǎn)品旨在解決云原生應(yīng)用程序的安全需求，但目前并沒有覆蓋所有領(lǐng)域的能力。

如何有效評估CSP風(fēng)險？

報告采用的評估方法為國際通用的CSP評估模型。

經(jīng)過評估，CSP共被劃分為三個等級。

I一級CSP

所有一級CSP都經(jīng)過了中國MLPS三級認(rèn)證和多個其他第三方安全評估。這些大型CSP保護他們的品牌形象，并不斷尋求方法來鼓勵更高水平的客戶信任。它們主要由在市場上占據(jù)主導(dǎo)地位的老牌云服務(wù)提供商組成。突出案例包括：阿里云、騰訊云、華為云、ecloud、亞馬遜和微軟

II二級CSP

二級CSP主要由中型提供商和一些在云計算能力上不突出的大型軟件服務(wù)商構(gòu)成。這些CSP在安全和操作方面相對不成熟，通常缺乏第三方評估，可能存在財務(wù)基礎(chǔ)薄弱，償付能力不足的問題。市場商大部分供應(yīng)商都集中在這個級別。

III三級CSP

主要指非常小的供應(yīng)商，它們?nèi)狈邮艿谌皆u估的資源，且具備的能力非常有限，它們薄弱的財務(wù)基礎(chǔ)很難在短時間內(nèi)得到改變。你必須假設(shè)它們是不安全的，任何接受這種服務(wù)的組織/企業(yè)都必須充分意識并接受可能存在的任何風(fēng)險。

此外，報告也詳細介紹了幾種形式的第三方評估。第三方評估或認(rèn)證通常用于評估CSP的安全性。除了全球認(rèn)證外，中國本土的認(rèn)證在這個環(huán)節(jié)必不可少。常見的第三方認(rèn)證包括幾種：MLPS、可信云認(rèn)證、ITSS云計算服務(wù)能力評估、中國網(wǎng)絡(luò)空間管理局(CAC)網(wǎng)絡(luò)安全評估、ISO 27001/27017/27018認(rèn)證等。報告指出，MLPS是最重要的，中國合格的CSP必須通過MLPS三級評估。

中國云安全市場未來可期

盡管目前中國在云計算和云原生技術(shù)的發(fā)展上與西方發(fā)達國家仍存在一定差距，但云安全早已受到行業(yè)企業(yè)以及市場客戶的日益關(guān)注與重視。當(dāng)前已有很多國內(nèi)廠商能夠提供CWPP相關(guān)服務(wù)，相信隨著對PaaS、容器、和云集成等能力的進一步完善，中國市場存在廣闊的增長空間。

云安全服務(wù)作為網(wǎng)絡(luò)安全服務(wù)的最新服務(wù)形式，將云計算技術(shù)和業(yè)務(wù)模式應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域，以云的方式交付安全能力，實現(xiàn)了安全即服務(wù)的理念。在網(wǎng)絡(luò)攻擊更加復(fù)雜化的環(huán)境下，云安全服務(wù)成為網(wǎng)絡(luò)安全重要發(fā)展方向是不可逆轉(zhuǎn)的趨勢。

Gartner預(yù)計，到2024年，中國終端用戶在系統(tǒng)基礎(chǔ)設(shè)施和基礎(chǔ)設(shè)施軟件上的支出將有近40%轉(zhuǎn)移到云服務(wù)支出。這一結(jié)構(gòu)性的轉(zhuǎn)移使得云安全成為中國安全和風(fēng)險管理人優(yōu)先需要關(guān)注的重點。