一.“云安全”兴起正当其时
1.1、什么是云安全?
市场上对云安全的定义,因为角度的不同,会有不同的定义和范围,我们在本篇报告中,主要探讨的是云平台自身的安全防护专题。也即,“云安全”是指对云平台自身的安全保护,主要利用面向云架构/环境的安全策略、技术产品,解决云环境下的安全问题,提升云平台自身的安全性,保障云计算业务的可用性、数据机密性和完整性、隐私权的保护等。
简单的来看,目前的云安全在一定程度上,是传统信息安全领域对“云计算基础架构”升级,以及在云计算环境下面临的一些新的安全挑战。在云计算时代,云上的安全,同传统的信息安全类似的地方是在细分领域会大致相仿,但交付方式会有相应的差异,以及一些新的安全挑战带来的技术和产品的创新。目前,云安全产品的主要交付方式有“镜像”和“SaaS”两种,为便于理解,我们不妨将“传统信息安全产品”发展到“云安全产品”的过程定义为“传统安全产品的SaaS化”,这实际上也是对云计算“自动化、弹性、即需即用”等特点的适应。
云计算时代下,整体的IT基础架构发生了根本性的变化,信息安全的防护,越来越多地需要用户(云租户)密切参与,即整体的安全责任是由云租户和云服务商共担。“谁分担得多,谁分担得少”主要随着所采取的服务模式(SaaS、PaaS和IaaS)的不同而不同。
(1)SaaS:应用软件层的安全措施由客户和云服务商分担,其他安全措施由云服务商实施;
(2)PaaS:软件平台层的安全措施由客户和云服务商分担。客户负责自己开发和部署的应用及其运行环境的安全,其他安全措施由云服务商实施;
(3)IaaS:虚拟化计算资源层的安全措施由客户和云服务商分担。客户负责自己部署的操作系统、运行环境和应用安全。云服务商负责虚拟机监视器(Hypervisor)及底层资源的安全。
1.2、云安全正兴起,产业并购和融资加速
最近几年,云安全领域正在逐渐成为投资和并购的热点,各大巨头纷纷进行布局:随着国内外企业不断上云,传统安全防护措施已经不能满足云环境安全所提出的需要。近几年,包括微软、思科、百度等在内的各大IT安全解决方案提供商纷纷并购云安全领域初创公司,加速在云安全领域的布局。-年安全行业重大并购案中,涉及云安全行业的交易占多数(表1);除此以外,云安全行业初创公司的融资也是一派火热场面(表2)。
二.时代产物需求迫切,云安全行业空间持续释放
2.1、基础架构的改变是信息安全“云化”的根本原因
“云安全”的诞生其实是信息安全对“云架构”的适应的结果,可以说是云环境下的信息安全。信息安全的演变是由整个IT基础架构的变迁所决定的。IT基础架构先后经历了“传统IT基础架构”、“虚拟化”、“云计算”三个阶段,目前还处于“三者并存、后者逐步代替前者”的阶段,“云计算”将成为未来基础架构演进的最终形态。
传统的IT基础架构在网络边界内主要有3种计算资源:隔离区(DMZ)内的计算资源、关键任务服务器、终端。最初的传统网络安全防护措施主要以网络边界上的防御为主,边界内的主机一般不具有或只具有很弱的防御能力。网络边界上的防护措施主要由防火墙、防恶意软件、入侵检测系统(IDS)和入侵防御系统(IPS)组成。边界内的主机防御主要是一些防恶意软件。
但是网络边界上的防护措施并不能阻隔所有的威胁。以防火墙为例,首先其自身可能存在设计上的漏洞;其次,内部黑客可以从网络内部发起攻击;再次,外部的黑客可以通过绕过防火墙的连接(如拨号上网)等方式攻入内部网络。所以有必要对边界内的主机进行更深层次的防护。如下图所示,边界内的主机也和网络边界一样,同样采取防火墙、防恶意软件、IDS/IPS的方式,与网络边界上的安全措施共同组成一个防护网。
虚拟化技术使得实时创建、删除虚拟机,并在虚拟机之间迁移应用和数据成为可能。这也要求安全措施能覆盖至每一个逻辑主机节点上,即将原来只延伸到物理主机上的防护扩展至每一个虚拟机(VM)上。
在云计算时代,越来越多的企业将其业务迁移到云端,并云端运营其业务或者进行数据灾备存储等。IT基础资源集中化的趋势,以及客户的不断上云,将会使得云安全的变得愈来愈重要。如果云平台的安全等级以及防护出现问题,其结果将会是致命的。因为,我们看到,主流的云计算厂商及供应商,均在云安全领域进行了巨大的投入和产品升级,以应对云计算时代带来爆发的云安全需求。
2.2、企业不断上云,“云安全”需求放“量”
当前,越来越多未使用云的企业选择将部分业务迁移至群上,以前对云稍作尝试的企业也越来越加深对云的使用,将更多的业务放在云上进行。一方面,随着越来越多的企业往云上聚集,云服务提供商对云上业务、数据的安全所肩负的责任担子越来越重,势必会对安全问题更加谨慎,将与专业的云安全提供商进行更密切的合作,所以来自云服务提供商的安全需求将进一步释放;另一方面,正如第一节中所提及的那样,云上的安全责任是云服务提供商与租户共担的,所以企业级客户对云安全的需求也将持续增加。
2.3、“云+传统信息安全”进行时,“质”上有待提升
正如我们之前在第一节中所定义的那样,可以将云安全理解为传统信息安全“云化”的过程,但是这种“云化”的过程还远没有结束。
为了说明这一结论,我们先向大家详细介绍“云”和“传统信息安全”要在哪些方面相结合?“云”对“传统信息安全”提出了哪些新的要求?最后我们将通过云联盟(CSA)每年发布的云安全领域的“十大威胁”来说明“传统信息安全云化”的过程还远没有结束。
云安全与传统的信息安全所涉及的安全层次基本相同,包括物理安全、主机安全、网络安全、边界安全、应用安全、数据安全、管理安全7大类。
两者在本质上没有区别,只不过由于云计算具有泛在网络访问、多租户、快速弹性伸缩等特点,致使云环境对信息安全的某些层次提出了新的要求。由于云计算采用了虚拟化技术,改变了传统IT基础架构,因此对边界安全提出了新的要求,进而实现云环境下的虚拟化安全;由于用户将数据和业务系统迁移至云上,因而对应用安全和数据安全的安全防护等级要求更高;由于许多用户将业务部署在私有云、公有云、混合云不同架构的云上,因此要求有使用于混合架构的管理安全方案出现。
边界安全:虚拟化技术是云计算中最关键、最核心的技术原动力之一。虚拟化架构由主机、虚拟化层软件和虚拟机构成,目前主流的虚拟化架构是裸机虚拟化。虽然采用虚拟化技术使云计算实现了多租户、更佳的服务器利用率和数据中心整合等多个好处,但是随着虚拟化技术的广泛使用,针对虚拟化架构的安全威胁和攻击手段也日益增多,为了实现“云自身的安全”,必须加强传统信息安全领域中的边界安全。
数据安全:在传统模式下,用户的数据和业务系统都位于自己的数据中心,在其直接管理和控制之内,但是在云环境里用户将数据和业务系统迁移至云上,使得数据的所有权和管理权分离。云计算架构在传统服务器设施上,所以传统IT架构上的数据安全问题都有可能在云计算中出现;但是由于云计算具有超大规模、虚拟化、按需自助服务等特征,是一种全新的服务模式,所以云环境下在数据生命周期的每个阶段都会出现一系列新的数据安全问题。
应用安全:对于提供各种云服务(IaaS、PaaS、SaaS)的供应商而言,第一,Web安全方面,由于云服务选择将Web作为绝大多数应用的入口,因而其面临的各种攻击可能都会转嫁至云应用上;第二,内容安全方面,云计算通过互联网提供服务,网络上的信息内容安全问题(恶意邮件、虚假欺诈信息等)将不可避免地影响云服务的信誉;第三,用户管理方面,当前云应用中简单的身份认证和不严格的访问控制给许多黑客提供了可趁之机。对于将应用迁移至云上的企业而言,在迁移过程中可能会涉及迁移安全、风险评估等诸多问题。
管理安全:前面所提及的都是“技术”层面上的安全,而“管理”意义上的安全同样重要,对于“云平台”而言,云安全产品和云安全管理相当于其左膀右臂。在传统的信息服务平台中,安全管理主要负责监视和记录系统中的服务器、网络设备以及所有应用系统的安全状况。和传统平台相比,云安全管理需要进行的监管范围更大,所需要的监管力度也更强,它需要负责监视和记录云平台中重要的服务器、网络设备及所有应用的安全情况,也需要对所涉及的计算机、网络以及应用系统的安全机制实施统一管理、统一监控、协同防护,从而发挥安全机制的整体作用。
从云安全联盟(CSA)在年和年发布的报告来看,对云安全构成最大威胁的安全问题大部分都是传统信息安全领域的陈疴旧疾。信息安全的攻与防从来都是“道高一尺,魔高一丈”的关系,在黑客层出不穷且攻击手段不断强大的今天,防御能力还有很大的提升的空间。任何一种威胁攻击的升级都是对信息安全防御能力的刺激,从而促使新技术的诞生;而技术产品化之后无疑又是一次对云安全产业乃至信息安全产业的推动。因此在防御“质”量上仍然有很大提升空间,云安全还有很长的路要走。
2.4、全球30亿美元级云安全服务产业仍将快速增长
从Gartner的市场调研和预测报告的数据综合来看,目前全球云安全服务市场规模大约为36亿美元,整体的云安全服务市场规模增长将会达到23%,预计到年,整体市场规模将达到亿美元左右。
而聚焦到国内,我们注意会有这样两个特点:(1)国内云计算整体的市场规模占全球总规模的绝对值相对较少,但增速显著快于全球的平均增速,显著说明了国内云计算正处于爆发期;(2)云安全市场尚处于起步阶段,整体的市场规模会随云计算市场增长而快速崛起。据IDC的预测,-年国内信息安全市场年均复合增长率为16.6%,预计年将会达到48.22亿美元。我们认为,未来3-5年,信息安全的整体的增长,将会有相当一部分来自于云安全需求的迅猛增长。
三.云安全升级,现在只是一个开始
3.1、趋势一:“大数据+机器学习+云安全”实现主动智能
首先,传统信息安全领域面临的最大困境在于只能做到事后防御,在各种攻击面前显得过于被动且无效。以监测恶意用户为例,通常的做法严重依赖特征码,例如IP地址黑名单(为便于理解,可以类比于手机的黑名单:通常有广告推销或者电信欺诈这类电话拨打到用户的手机并接通后才知道这是骚扰电话,之后才加入到黑名单以避免被骚扰)。而且精明的犯罪只需稍稍改变一下路径就能战胜特征码。监测恶意用户只是传统防御手段显得无比“鸡肋”的一个很小的缩影,在纷繁复杂的信息安全领域,“被动防御”是全行业的通病。其次,传统信息安全领域有许多环节都是靠人工完成的,例如病毒代码编写和配置等,在强大的攻击面前效率极低。
大数据和人工智能正在飞速改变着我们身边的方方面面。“大数据+机器学习+云安全”也正在变革着信息安全领域。正如机器替代人工呼叫中心、代替人类洗衣扫地一样,机器也正在代替人类分析员以最快的速度和效率阻断各种威胁行为和恶意活动。而若想达到这一效果,就必须依靠大量的数据“训练”机器,让机器从各种案例中进行学习,数据越多,机器的性能优势也就越明显。目前,国内外有许多初创公司已经在利用“机器”来驱动安全了,国外包括Invincea,Cylance,Exabeam和ArgyleData;国内包括阿里云和绿盟科技的“态势感知”产品、瀚思的大数据安全分析产品等等。
3.2、趋势二:云安全为“万物互联”保驾护航
云计算真正发展的时代是物联网的全面普及,计算无处不在,网络无处不在。目前我国5G网络第一阶段试验测试已经完毕,虽然离物联网全面普及还有很长的距离,但是物联网正在顺利推进却是一个不争的事实。Gartner发布报告预测年全球将有64亿台联网设备得到使用,比年增长30%,年联网设备将达到亿台;年物联网安全投入为2.亿美元,年将增长23.7%,即3.48亿美元,年将达到5.47亿美元。
云安全实际上是物联网安全的重要组成部分,原因有四:“端”方面,处于感知层的各种感知设备将数据经由网络层传输至云平台进行处理的过程可以理解为各种终端对云进行访问的过程,而云访问安全本来就是云安全的重要组成部分;“管”方面,由于“万物互联”必然带来海量数据,其所涉及的威胁和攻击必然更加复杂,对大规模数据的保护是传统信息安全的防护方法所无法做到的,而云安全可以;“云”方面,物联网的处理层主要是云计算平台,负责对各类数据进行计算处理,对处理层进行安全防护实际上就是对云自身进行防护;“应用层”方面,目前越来越多的应用开始部署在云上,云安全是这些应用最天然的守护者。随着物联网的有序推进,云安全还将迎来广阔的市场空间。
3.3、趋势三:新技术不断涌现,但国内市场尚未落地
Gartner分别在年和年分布了信息安全十大技术,两年间,均有与云安全相关的技术上榜。其中“云访问中的安全代理(CASB)”技术两度上榜,近几年也是云安全领域热点专题,主要用于云身份管理。国内外云安全领域的领导者也纷纷开始布局CASB,例如Web安全网关市场的领导者BlueGoat在年收购了两家云安全访问代理公司Perspecsys和Elastica;微软在年收购了Adallom;思科在年7月宣布计划收购CloudLock。其他可以重点
