厂商什么时候布局，企业什么时候部署

时间：2022-03-18 12:24:01 | 来源：行业动态

时间：2022-03-18 12:24:01 来源：行业动态

云安全技术趋势的研究主要就是跟踪Gartner，Gartner的技术成熟度曲线说明一个技术生命周期的不同阶段。我认为可以分为创新促动期、炒作极盛期、泡沫破裂期、光明爬坡期、生产平台期。这个技术成熟度曲线可以用来指导厂商什么时候投入技术研发，客户什么时候采用安全产品。



上图是2020年的云安全技术成熟度曲线，我们重点关注了里面的7种技术。从后往前说，CASB、CWPP、Microsegmentation这三个目前处于光明爬坡期，也就是技术和市场都已经趋于成熟，厂商再后进入就是竞争惨烈，客户采用倒是没什么风险。

CSPM、ZTNA、Container Security这三个目前处于泡沫破裂期，技术和市场都不太成熟，先进入的厂商还在熬，具体熬多久不好说，不过也不用悲观，CWPP就是从2019年的泡沫破裂期一年的时间就进入了2020年的光明爬坡期。最后的SASE同样也是发展很快，从2019年的创新促动期一年的时间就进入了2020年的炒作极盛期。

CASB、CWPP、CSPM被Gartner称为三大云安全工具。CASB是云访问安全代理，主要是做数据安全和用户行为安全的，之前提到的在SaaS业务模式下，云租户自己用第三方的能力自行建设的安全也就剩它了，但是由于国内跟国外SaaS业务发展情况不同，CASB在国内多少有些水土不服。CWPP是云工作负载安全防护平台，主要是做虚机的安全，覆盖范围非常大，很难有独立厂商全部搞定的，用户通常得根据实际需要去自行组合，其实容器也算工作负载，但是后面有专门的容器安全技术；CSPM是云安全态势管理，主要是做云的配置和合规性管理，虽然第三方产商有早期进入的，但未来很大可能性直接被云平台自己解决。



Microsegmentation，国内把它翻译成微隔离。它也是NIST定义的零信任安全架构里的落地技术之一，这是Garnter在2019年修订的定义，插入到同一个二层网络域内不同虚拟负载间的安全服务，国内的等保2.0也涉及了部分需求内容，由于不同环境的技术条件不同，也就出现了基于云平台、基于网络、基于主机三种不同类型的落地方案形式，技术都比较成熟了，用户根据实际需要选择即可。



接下来是ZTNA，零信任网络访问，2019年也叫SDP（软件定义边界），2020年把SDP去掉了，因为Garnter自己解释说，软件定义和基于身份的安全方法在IaaS、PaaS云和虚拟化私有云中是很常见的， 零信任网络访问（ZTNA）涵盖所有形式，而不仅仅是基于无VPN观念的软件定义边界访问IaaS云和私有云中运行的用户应用，虽然改了说法，但是没有新的架构定义，我这里也就还用SDP的架构来解释，主要说的就是客户端对服务端的访问要经过零信任网关进行代理访问，对客户端进行应用和环境级别的身份认证，并持续对用户行为进行监控，真正落地还要看用户的接受程度，需要考虑现有内网访问方案的迁移成本和各种应用代理的技术难度。



下面到了Container Security，容器安全，字面上就能理解，技术上跟虚机安全还是有很大不同的，Gartner认为容器安全要覆盖容器的全生命周期，分为开发（代码 CI/CD）、部署（静态安全）、运行（动态安全）三个阶段，目前国内外已经看到多家厂商进入，产品功能主要包括容器镜像漏扫、容器运行时进程监控、容器业务流量可视化，容器网络微隔离、容器平台安全基线审查以及合规监控等功能，技术成熟度和市场都发展极为迅速，很有可能像CWPP一样，一年的时间就从泡沫破裂期跨入光明爬坡期。



最后要讲的是SASE，安全接入服务边界，从架构上看，可以认为是网络服务和安全服务的融合，其实这不是新技术，而是一种新的安全架构和服务形态，2019年Gartner基于国外多个厂商的创新产品和服务形式提出的这一概念，国内厂商跟进的速度也很快，由于国内外大环境的差异以及SASE的运营商服务特点，国内厂商投入的门槛还是很高的，SASE对运营商来说倒是非常值得关注，流量服务和安全服务的融合是大势所趋，运营商做SASE服务有先天优势，这也许是运营商解决管道化问题的一个非常好的突破点。



安全底层技术的演变，随着企业业务的变化而更加复杂。发展与安全之间一定是相辅相成的。云安全产品的落地，无非是网络安全和主机安全技术形态的变化。

无论是公有云还是私有云，由于虚拟环境硬件盒子部署不进去了，所有硬件盒子VNF化，有了虚拟化防火墙。

然后是终端安全软件的轻量级化，由于不同云的虚拟化网络设计都不同，虚拟化防火墙的部署就有一定的技术门槛儿，这个时候终端安全就来了机会，只需要在虚机里安装agent软件就可以了，是操作系统就行，跟虚拟化环境没啥关系，而传统的终端安全软件这个杀毒那个卫士，都要占用很多系统资源，并且主要面向PC机，但云上的虚机通常都是服务器类型的，安全需求也跟PC机不一样，这就新催生出来一种轻量级agent 集中管理的云安全产品。

最后就是多种类硬件盒子虚拟池化，这种云安全产品的出现跟等保2.0有很大关系，等保一体机、安全资源池，无论是技术上还是商务上都给用户带来了很大便捷性。

山石网科自2013年就发布了虚拟化防火墙产品山石云界，上架了全球各大公有云，不少行业云也都在大规模使用。围绕虚拟化防火墙产品，我们又跟进了ETSI的NFV框架，推出了我们符合NFV环境需要的VNF控制器产品山石云集，在5G/MEC环境都在推广。另一个主打的虚机网络微隔离的安全产品山石云格，主要面向的是VMware的vSphere环境。SD-WAN产品也能利用上在全球各大公有云都有我们虚拟化防火墙上架的优势。安全资源池产品我们也跟进了，并做出了我们自己的差异化，满足我们客户的等保2.0的需求。最后就是容器安全，按照Gartner的定义，覆盖容器全生命周期的各种安全功能。这样我们就在围绕云的边界、云内、管道上建起了我们山石网科自己的云安全战略图景。