近期,国际权威咨询机构Gartner基于对中国安全市场的调查研究和中国安全产品供应商的评估发布了分析报告《中国云安全市场概览》(Top Practices for Cloud Security in China)。
不同于以往针对全球化市场给出建议,Gartner针对中国细分市场给出独立报告,足以说明中国安全市场已经为世界瞩目。
报告显示,中国是一个非常独特的市场,在云安全领域既面临一些全球共通性的挑战:例如是否或如何信任公有云,也面临一些本土特有的难点:例如技术可行性以及如何正确选择CSP。
构成公有云信任问题的主要原因是大众对于物理位置的关注超过了对于安全控制本身,而另一方面,成熟的云安全防御体系需要依靠云安全责任共担模型作基础支撑,并有效评估安全工具与CSP可能产生的风险。报告中将中国市场目前面临的问题归纳为以下三点:
- 整体而言,在中国市场,公有云的采用率正在逐步增加,但私有云、混合云和传统数据中心在中国仍然占有很高的市场份额,这是因为市场仍过度关注数据的物理位置,而非对于云安全的控制。
- 海外的云服务提供商(CSP)和安全供应商在为中国市场提供云服务时存在技术可行性的问题,而本地供应商为避免与公有云提供商直接竞争,更倾向于提供私有云服务,这使得企业/组织很难选择云安全工具。
- 中国的许多企业/组织不会对CSP进行系统性的风险评估,使企业面临安全风险。
正因为中国市场同全球市场的差别明显,特别是在SaaS产品的部署以及对于本地法规需求的额外考量方面。因此企业在做安全建设时不能简单地照搬国外做法,而必须确保在通用实践和本地个性化需求场景之间取得平衡。对此,报告给予了中国云安全和风险管理负责人相应的建议:
- 通过对云安全责任共担模型的评估,明确云提供商的安全责任范围,并建立所需的安全能力
- 建立云安全架构,通过云原生优先的方式,利用第三方和开源工具实施安全控制,同时持续监控其在中国的技术可行性。
- 利用分层模型和安全认证来评估CSP可能存在的风险
这三个建议的具体操作又引申出三个具体的问题,如何与云提供商确定安全责任的范围并建立所需的能力;如何建立云安全架构;如何有效评估CSP风险。报告围中绕这三个问题进行了详细的分析。
如何与云提供商确定安全责任的范围并建立所需的能力?
报告首先提出的是建立云安全责任共担模型。组织和企业需根据云部署的类型来理解其安全责任,通过与CSP分担一些其他安全责任,从而专注于保护其最核心的资产,并降低对数据位置的关注。
其次是建立云安全能力。传统保护数据中心的安全专业知识不适用于保护所有云资源,组织企业需建立云安全能力。
配备云安全架构师也是必不可少的。为解决云安全复杂性,组织和企业需配备云安全架构师以负责引领云安全文化变革、制定云安全策略、开发和协调云安全的安全技术和工具采用、聘用或培训云安全工程师。
最后是云安全工程师。组织/企业可通过聘用掌握网络安全、服务器安全、漏洞管理、应用程序安全和数据安全等广泛安全领域知识的云安全工程师来实现深度技术支持。
如何建立云安全架构?
云产品部署模式的多样性及责任分摊的复杂性使用户需要配备一套完善的工具组来安全地使用云。云安全厂商通常采用模块化的方法来提供服务,并将功能整合到一个组合中。报告中将其大致分为三类并做了详细的分析和研究。
- 成熟的服务:本地云安全工具、云安全访问代理(CASB)、云工作负载保护平台(CWPP)、云安全态势管理(CSPM)等
- 新兴工具:SaaS安全态势管理(SSPM)、SaaS管理平台(SMP)等、开源工具等
- 其他服务:云原生应用程序保护平台(CNAPP)
本地云安全工具易于购买和实现,但需对它们根据用例、功能以及与现有内部安全工具和流程的集成来进行评估。一些全球CSP设有全球云和中国云,中国特有的法规导致了产品、技术可行性和服务模式的差异。
开源工具是云安全的选择之一。开源工具为云安全提供灵活性与创新性,也会带来新的风险,需正确管理开放源代码带来的风险与回报。通常而言,非本土供应商并不向中国境内提供所有产品与服务,他们要么商要么与本地基础设施运营商合作,要么让用户通过跨境连接获得全球服务。而中国供应商为避免与提供公有云工具的供应商竞争,多专注于内部云和私有云部署的安全工具,而非公有云,尤其是SaaS,使公有云在中国的采用率还没有发挥出全部潜力。随着全球供应商逐步提高在中国的服务可行性,以及本土供应商投资覆盖更多场景的产品,中国与世界的技术差距最终将变小。
CNAPP整合了大量过去封闭的能力,包括容器扫描、云安全态势管理、基础设施如扫码、云基础设施授权管理,一些本地厂商的产品旨在解决云原生应用程序的安全需求,但目前并没有覆盖所有领域的能力。
如何有效评估CSP风险?
报告采用的评估方法为国际通用的CSP评估模型。
经过评估,CSP共被划分为三个等级。
I 一级CSP
所有一级CSP都经过了中国MLPS三级认证和多个其他第三方安全评估。这些大型CSP保护他们的品牌形象,并不断寻求方法来鼓励更高水平的客户信任。它们主要由在市场上占据主导地位的老牌云服务提供商组成。突出案例包括:阿里云、腾讯云、华为云、ecloud、亚马逊和微软
II 二级CSP
二级CSP主要由中型提供商和一些在云计算能力上不突出的大型软件服务商构成。这些CSP在安全和操作方面相对不成熟,通常缺乏第三方评估,可能存在财务基础薄弱,偿付能力不足的问题。市场商大部分供应商都集中在这个级别。
III 三级CSP
主要指非常小的供应商,它们缺乏接受第三方评估的资源,且具备的能力非常有限,它们薄弱的财务基础很难在短时间内得到改变。你必须假设它们是不安全的,任何接受这种服务的组织/企业都必须充分意识并接受可能存在的任何风险。
此外,报告也详细介绍了几种形式的第三方评估。第三方评估或认证通常用于评估CSP的安全性。除了全球认证外,中国本土的认证在这个环节必不可少。常见的第三方认证包括几种:MLPS、可信云认证、ITSS云计算服务能力评估、中国网络空间管理局(CAC)网络安全评估、ISO 27001/27017/27018认证等。报告指出,MLPS是最重要的,中国合格的CSP必须通过MLPS三级评估。
中国云安全市场未来可期
尽管目前中国在云计算和云原生技术的发展上与西方发达国家仍存在一定差距,但云安全早已受到行业企业以及市场客户的日益关注与重视。当前已有很多国内厂商能够提供CWPP相关服务,相信随着对PaaS、容器、和云集成等能力的进一步完善,中国市场存在广阔的增长空间。
云安全服务作为网络安全服务的最新服务形式,将云计算技术和业务模式应用于网络安全领域,以云的方式交付安全能力,实现了安全即服务的理念。在网络攻击更加复杂化的环境下,云安全服务成为网络安全重要发展方向是不可逆转的趋势。
Gartner预计,到2024年,中国终端用户在系统基础设施和基础设施软件上的支出将有近40%转移到云服务支出。这一结构性的转移使得云安全成为中国安全和风险管理人优先需要关注的重点。