近日,国际权威咨询机构Gartner发布了一份基于其对中国安全市场研究和中国安全评估的分析报告产品供应商《中国云安全市场概览》(中国云安全最佳实践)。与以往针对全球市场的推荐不同,Gartner这次针对中国细分市场给出了一份独立报告,足以说明中国安防市场已经为世界所瞩目。报告显示,中国是一个非常独特的市场,在云安全领域面临着一些全球共同的挑战:比如是否信任或如何信任公有云,同时也面临着一些当地特有的困难:比如技术可行性和如何正确选择CSP。造成公有云信任问题的主要原因是公众更关注物理位置而不是安全控制本身。另一方面,成熟的云安全防御体系需要以云安全责任分担模型为基础支撑,有效评估安全工具。CSP可能带来的风险。报告将目前中国市场面临的问题总结为以下三点:总体而言,在中国市场,公有云的采用率正在逐步提升,但私有云、混合云和传统数据中心在中国仍占据较高市场份额,因为市场仍然过度关注数据的物理位置,而不是对云安全的控制。海外云服务提供商(CSP)和安全提供商在为中国市场提供云服务时存在技术可行性问题,而本土提供商则更愿意提供私有云服务,以避免与公有云提供商直接竞争。这使得企业/组织很难选择云安全工具。中国很多企业/组织没有对CSP进行系统的风险评估,使企业面临安全风险。正是因为中国市场与全球市场存在显着差异,尤其是在SaaS产品的部署和对当地监管要求的额外考虑上。因此,企业在进行安全建设时不能简单照搬国外的做法,必须在通用做法和当地个性化需求场景之间取得平衡。对此,报告向中国云安全与风险管理负责人给出相应建议:通过云安全责任分担模型评估,明确云提供商的安全责任范围,建立所需的安全能力;建立云安全架构,通过云原生优先的方式,使用第三方和开源工具实施安全控制,同时持续监测其在中国的技术可行性;使用分层模型和安全认证来评估CSP可能存在的风险。这三项建议的具体操作导致了三个具体问题,如何确定与云提供商的安全责任范围并建立所需的能力;如何建立云安全架构;如何有效评估CSP风险。报告围绕这三个问题进行了详细分析。您如何确定安全责任范围并与您的云提供商一起构建所需的功能?报告提出的第一件事是建立云安全责任分担模型。组织和企业需要根据云部署的类型了解他们的安全责任,并通过与CSP分担一些其他安全责任,他们可以专注于保护他们最核心的资产并减少他们对数据位置的担忧。二是构建云安全能力。传统上用于保护数据中心的安全专业知识并不适用于保护所有云资源,组织需要建立云安全能力。拥有云安全架构师也很重要。为了应对云安全的复杂性,组织和企业需要配备云安全架构师,负责领导云安全文化变革、制定云安全战略、开发和协调云安全技术和工具的采用、招聘或培训云安全工程师。最后,还有云安全工程师。组织/企业可以通过聘请在网络安全、服务器安全、漏洞管理、应用程序安全和数据安全等广泛安全领域具有知识的云安全工程师来获得深入的技术支持。如何建立云安全架构?云产品部署模式的多样性和责任分配的复杂性要求用户配备一整套工具才能安全使用云。云安全供应商通常采用模块化方法来提供服务并将功能组合到一个产品组合中。报告大致将其分为三类并进行了详细的分析研究:成熟服务:本地云安全工具、云安全访问代理(CASB)、云工作负载保护平台(CWPP)、云安全态势管理(CSPM)等新兴服务工具:SaaS安全态势管理(SSPM)、SaaS管理平台(SMP)等,开源工具等其他服务:云原生应用保护平台(CNAPP)原生云安全工具易于购买和实施,但它们需要评估用例、功能以及与现有内部安全工具和流程的集成。一些全球CSP有全球云和中国云,中国特定的法规导致产品、技术可行性和服务模式的差异。开源工具是云安全的选择之一。开源工具为云安全提供了灵活性和创新,但也带来了新的风险。需要妥善管理开源的风险和回报。一般来说,非本地供应商并不提供所有在中国的产品和服务。他们或出售或与当地基础设施运营商合作,或让用户通过跨境连接获得全球服务。为了避免与提供公有云工具的供应商竞争,中国供应商更多地关注内部云和私有云部署的安全工具,而不是公有云,尤其是SaaS,因此公有云在中国的采用率尚未得到充分发挥。充分的潜力。随着全球供应商逐渐提高在中国服务的可行性,以及本土供应商投入覆盖更多场景的产品,中国与世界的技术差距终将缩小。CNAPP集成了以往大量封闭的能力,包括容器扫描、云安全态势管理、扫码等基础设施、云基础设施授权管理等。一些本土厂商的产品旨在解决云原生应用的安全需求,但目前还不具备覆盖所有领域的能力。如何有效评估光热发电风险?报告采用的评估方法是国际通用的CSP评估模型。经过评估,CSP分为三个等级。ITier1CSP所有Tier1CSP均通过中国MLPSLevel3认证及多项第三方安全评估。这些大型CSP保护其品牌形象,并不断寻找提高客户信任度的方法。他们主要由主导市场的老牌云服务提供商组成。突出案例包括:阿里云、腾讯云、华为云、ecloud、亚马逊、微软II二级CSP二级CSP主要由中型供应商和一些云计算能力不突出的大型软件服务供应商组成。这些CSP在安全和运营方面相对不成熟,往往缺乏第三方评估,可能资金基础薄弱,偿付能力不足。市场主体的供应商大多集中在这一层。LevelIIICSP主要指非常小的供应商,他们缺乏接受第三方评估的资源,能力非常有限。短时间内很难改变他们薄弱的财力基础。您必须假设它们不安全,任何接受此类服务的组织/企业都必须充分了解并接受可能存在的任何风险。此外,该报告详细介绍了几种形式的第三方评估。第三方评估或认证通常用于评估CSP的安全性。这个环节除了全球认证,中国本土的认证也是必不可少的。常见的第三方认证包括几类:MLPS、可信云认证、ITSS云计算服务能力评估、国家互联网信息办公室(CAC)网络安全评估、ISO27001/27017/27018认证等。报告指出MLPS是最重要的是,中国合格的CSP必须通过MLPS的三级评估。中国云安全市场的未来可期。尽管中国在云计算和云原生技术的发展上与西方发达国家还有一定差距,但云安全已经越来越受到行业企业和市场客户的关注和重视。目前国内已有多家厂商能够提供CWPP相关服务。相信随着PaaS、容器、云融合能力的进一步提升,中国市场还有广阔的增长空间。云安全服务作为网络安全服务的最新服务形态,将云计算技术和商业模式应用到网络安全领域,以云的形式交付安全能力,实现安全即服务的理念。在网络攻击日趋复杂的环境下,云安全服务成为网络安全的重要发展方向是不可逆转的趋势。Gartner预测,到2024年,近40%的中国终端用户在系统基础设施和基础设施软件上的支出将转向云服务支出。这种结构性转变使云安全成为中国安全和风险管理者的首要任务。
