收藏:云安全知识深度解析
一.“云安全”兴起正当其时
1.1、什么是云安全?
市场上对云安全的定义,因为角度的不同,会有不同的定义和范围,我们在本篇报告中,主要探讨的是云平台自身的安全防护专题。也即,“云安全”是指对云平台自身的安全保护,主要利用面向云架构/环境的安全策略、技术产品,解决云环境下的安全问题,提升云平台自身的安全性,保障云计算业务的可用性、数据机密性和完整性、隐私权的保护等。
简单的来看,目前的云安全在一定程度上,是传统信息安全领域对“云计算基础架构”升级,以及在云计算环境下面临的一些新的安全挑战。在云计算时代,云上的安全,同传统的信息安全类似的地方是在细分领域会大致相仿,但交付方式会有相应的差异,以及一些新的安全挑战带来的技术和产品的创新。目前,云安全产品的主要交付方式有“镜像”和“SaaS”两种,为便于理解,我们不妨将“传统信息安全产品”发展到“云安全产品”的过程定义为“传统安全产品的SaaS化”,这实际上也是对云计算“自动化、弹性、即需即用”等特点的适应。
云计算时代下,整体的IT基础架构发生了根本性的变化,信息安全的防护,越来越多地需要用户(云租户)密切参与,即整体的安全责任是由云租户和云服务商共担。“谁分担得多,谁分担得少”主要随着所采取的服务模式(SaaS、PaaS和IaaS)的不同而不同。
(1)SaaS:应用软件层的安全措施由客户和云服务商分担,其他安全措施由云服务商实施;
(2)PaaS:软件平台层的安全措施由客户和云服务商分担。客户负责自己开发和部署的应用及其运行环境的安全,其他安全措施由云服务商实施;
(3)IaaS:虚拟化计算资源层的安全措施由客户和云服务商分担。客户负责自己部署的操作系统、运行环境和应用安全。云服务商负责虚拟机监视器(Hypervisor)及底层资源的安全。
1.2、云安全正兴起,产业并购和融资加速
最近几年,云安全领域正在逐渐成为投资和并购的热点,各大巨头纷纷进行布局:随着国内外企业不断上云,传统安全防护措施已经不能满足云环境安全所提出的需要。近几年,包括微软、思科、百度等在内的各大IT安全解决方案提供商纷纷并购云安全领域初创公司,加速在云安全领域的布局。2014-2015年安全行业重大并购案中,涉及云安全行业的交易占多数(表1);除此以外,云安全行业初创公司的融资也是一派火热场面(表2)。
二.时代产物&需求迫切,云安全行业空间持续释放
2.1、基础架构的改变是信息安全“云化”的根本原因
“云安全”的诞生其实是信息安全对“云架构”的适应的结果,可以说是云环境下的信息安全。信息安全的演变是由整个IT基础架构的变迁所决定的。IT基础架构先后经历了“传统IT基础架构”、“虚拟化”、“云计算”三个阶段,目前还处于“三者并存、后者逐步代替前者”的阶段,“云计算”将成为未来基础架构演进的最终形态。
传统的IT基础架构在网络边界内主要有3种计算资源:隔离区(DMZ)内的计算资源、关键任务服务器、终端。最初的传统网络安全防护措施主要以网络边界上的防御为主,边界内的主机一般不具有或只具有很弱的防御能力。网络边界上的防护措施主要由防火墙、防恶意软件、入侵检测系统(IDS)和入侵防御系统(IPS)组成。边界内的主机防御主要是一些防恶意软件。
但是网络边界上的防护措施并不能阻隔所有的威胁。以防火墙为例,首先其自身可能存在设计上的漏洞;其次,内部黑客可以从网络内部发起攻击;再次,外部的黑客可以通过绕过防火墙的连接(如拨号上网)等方式攻入内部网络。所以有必要对边界内的主机进行更深层次的防护。如下图所示,边界内的主机也和网络边界一样,同样采取防火墙、防恶意软件、IDS/IPS的方式,与网络边界上的安全措施共同组成一个防护网。
虚拟化技术使得实时创建、删除虚拟机,并在虚拟机之间迁移应用和数据成为可能。这也要求安全措施能覆盖至每一个逻辑主机节点上,即将原来只延伸到物理主机上的防护扩展至每一个虚拟机(VM)上。
在云计算时代,越来越多的企业将其业务迁移到云端,并云端运营其业务或者进行数据灾备存储等。IT基础资源集中化的趋势,以及客户的不断上云,将会使得云安全的变得愈来愈重要。如果云平台的安全等级以及防护出现问题,其结果将会是致命的。因为,我们看到,主流的云计算厂商及供应商,均在云安全领域进行了巨大的投入和产品升级,以应对云计算时代带来爆发的云安全需求。
2.2、企业不断上云,“云安全”需求放“量”
当前,越来越多未使用云的企业选择将部分业务迁移至群上,以前对云稍作尝试的企业也越来越加深对云的使用,将更多的业务放在云上进行。一方面,随着越来越多的企业往云上聚集,云服务提供商对云上业务、数据的安全所肩负的责任担子越来越重,势必会对安全问题更加谨慎,将与专业的云安全提供商进行更密切的合作,所以来自云服务提供商的安全需求将进一步释放;另一方面,正如第一节中所提及的那样,云上的安全责任是云服务提供商与租户共担的,所以企业级客户对云安全的需求也将持续增加。
2.3、“云+传统信息安全”进行时,“质”上有待提升
正如我们之前在第一节中所定义的那样,可以将云安全理解为传统信息安全“云化”的过程,但是这种“云化”的过程还远没有结束。
为了说明这一结论,我们先向大家详细介绍“云”和“传统信息安全”要在哪些方面相结合?“云”对“传统信息安全”提出了哪些新的要求?最后我们将通过云联盟(CSA)每年发布的云安全领域的“十大威胁”来说明“传统信息安全云化”的过程还远没有结束。
云安全与传统的信息安全所涉及的安全层次基本相同,包括物理安全、主机安全、网络安全、边界安全、应用安全、数据安全、管理安全7大类。
两者在本质上没有区别,只不过由于云计算具有泛在网络访问、多租户、快速弹性伸缩等特点,致使云环境对信息安全的某些层次提出了新的要求。由于云计算采用了虚拟化技术,改变了传统IT基础架构,因此对边界安全提出了新的要求,进而实现云环境下的虚拟化安全;由于用户将数据和业务系统迁移至云上,因而对应用安全和数据安全的安全防护等级要求更高;由于许多用户将业务部署在私有云、公有云、混合云不同架构的云上,因此要求有使用于混合架构的管理安全方案出现。
边界安全:虚拟化技术是云计算中最关键、最核心的技术原动力之一。虚拟化架构由主机、虚拟化层软件和虚拟机构成,目前主流的虚拟化架构是裸机虚拟化。虽然采用虚拟化技术使云计算实现了多租户、更佳的服务器利用率和数据中心整合等多个好处,但是随着虚拟化技术的广泛使用,针对虚拟化架构的安全威胁和攻击手段也日益增多,为了实现“云自身的安全”,必须加强传统信息安全领域中的边界安全。
数据安全:在传统模式下,用户的数据和业务系统都位于自己的数据中心,在其直接管理和控制之内,但是在云环境里用户将数据和业务系统迁移至云上,使得数据的所有权和管理权分离。云计算架构在传统服务器设施上,所以传统IT架构上的数据安全问题都有可能在云计算中出现;但是由于云计算具有超大规模、虚拟化、按需自助服务等特征,是一种全新的服务模式,所以云环境下在数据生命周期的每个阶段都会出现一系列新的数据安全问题。
应用安全:对于提供各种云服务(IaaS、PaaS、SaaS)的供应商而言,第一,Web安全方面,由于云服务选择将Web作为绝大多数应用的入口,因而其面临的各种攻击可能都会转嫁至云应用上;第二,内容安全方面,云计算通过互联网提供服务,网络上的信息内容安全问题(恶意邮件、虚假欺诈信息等)将不可避免地影响云服务的信誉;第三,用户管理方面,当前云应用中简单的身份认证和不严格的访问控制给许多黑客提供了可趁之机。对于将应用迁移至云上的企业而言,在迁移过程中可能会涉及迁移安全、风险评估等诸多问题。
管理安全:前面所提及的都是“技术”层面上的安全,而“管理”意义上的安全同样重要,对于“云平台”而言,云安全产品和云安全管理相当于其左膀右臂。在传统的信息服务平台中,安全管理主要负责监视和记录系统中的服务器、网络设备以及所有应用系统的安全状况。和传统平台相比,云安全管理需要进行的监管范围更大,所需要的监管力度也更强,它需要负责监视和记录云平台中重要的服务器、网络设备及所有应用的安全情况,也需要对所涉及的计算机、网络以及应用系统的安全机制实施统一管理、统一监控、协同防护,从而发挥安全机制的整体作用。
从云安全联盟(CSA)在2016年和2013年发布的报告来看,对云安全构成最大威胁的安全问题大部分都是传统信息安全领域的陈疴旧疾。信息安全的攻与防从来都是“道高一尺,魔高一丈”的关系,在黑客层出不穷且攻击手段不断强大的今天,防御能力还有很大的提升的空间。任何一种威胁攻击的升级都是对信息安全防御能力的刺激,从而促使新技术的诞生;而技术产品化之后无疑又是一次对云安全产业乃至信息安全产业的推动。因此在防御“质”量上仍然有很大提升空间,云安全还有很长的路要走。
2.4、全球30亿美元级云安全服务产业仍将快速增长
从Gartner的市场调研和预测报告的数据综合来看,目前全球云安全服务市场规模大约为36亿美元,整体的云安全服务市场规模增长将会达到23%,预计到2022年,整体市场规模将达到120亿美元左右。
而聚焦到国内,我们注意会有这样两个特点:(1)国内云计算整体的市场规模占全球总规模的绝对值相对较少,但增速显著快于全球的平均增速,显著说明了国内云计算正处于爆发期;(2)云安全市场尚处于起步阶段,整体的市场规模会随云计算市场增长而快速崛起。据IDC的预测,2014-2019年国内信息安全市场年均复合增长率为16.6%,预计2019年将会达到48.22亿美元。我们认为,未来3-5年,信息安全的整体的增长,将会有相当一部分来自于云安全需求的迅猛增长。
三.云安全升级,现在只是一个开始
3.1、趋势一:“大数据+机器学习+云安全”实现主动智能
首先,传统信息安全领域面临的最大困境在于只能做到事后防御,在各种攻击面前显得过于被动且无效。以监测恶意用户为例,通常的做法严重依赖特征码,例如IP地址黑名单(为便于理解,可以类比于手机的黑名单:通常有广告推销或者电信欺诈这类电话拨打到用户的手机并接通后才知道这是骚扰电话,之后才加入到黑名单以避免被骚扰)。而且精明的犯罪只需稍稍改变一下路径就能战胜特征码。监测恶意用户只是传统防御手段显得无比“鸡肋”的一个很小的缩影,在纷繁复杂的信息安全领域,“被动防御”是全行业的通病。其次,传统信息安全领域有许多环节都是靠人工完成的,例如病毒代码编写和配置等,在强大的攻击面前效率极低。
大数据和人工智能正在飞速改变着我们身边的方方面面。“大数据+机器学习+云安全”也正在变革着信息安全领域。正如机器替代人工呼叫中心、代替人类洗衣扫地一样,机器也正在代替人类分析员以最快的速度和效率阻断各种威胁行为和恶意活动。而若想达到这一效果,就必须依靠大量的数据“训练”机器,让机器从各种案例中进行学习,数据越多,机器的性能优势也就越明显。目前,国内外有许多初创公司已经在利用“机器”来驱动安全了,国外包括Invincea ,Cylance , Exabeam 和Argyle Data;国内包括阿里云和绿盟科技的“态势感知”产品、瀚思的大数据安全分析产品等等。
3.2、趋势二:云安全为“万物互联”保驾护航
云计算真正发展的时代是物联网的全面普及,计算无处不在,网络无处不在。目前我国5G网络第一阶段试验测试已经完毕,虽然离物联网全面普及还有很长的距离,但是物联网正在顺利推进却是一个不争的事实。Gartner发布报告预测2016年全球将有64亿台联网设备得到使用,比2015年增长30%,2018年联网设备将达到114亿台;2015年物联网安全投入为2.815亿美元,2016年将增长23.7%,即3.48亿美元,2018年将达到5.47亿美元。
云安全实际上是物联网安全的重要组成部分,原因有四:“端”方面,处于感知层的各种感知设备将数据经由网络层传输至云平台进行处理的过程可以理解为各种终端对云进行访问的过程,而云访问安全本来就是云安全的重要组成部分;“管”方面,由于“万物互联”必然带来海量数据,其所涉及的威胁和攻击必然更加复杂,对大规模数据的保护是传统信息安全的防护方法所无法做到的,而云安全可以;“云”方面,物联网的处理层主要是云计算平台,负责对各类数据进行计算处理,对处理层进行安全防护实际上就是对云自身进行防护;“应用层”方面,目前越来越多的应用开始部署在云上,云安全是这些应用最天然的守护者。随着物联网的有序推进,云安全还将迎来广阔的市场空间。
3.3、趋势三:新技术不断涌现,但国内市场尚未落地
Gartner分别在2014年和2016年分布了信息安全十大技术,两年间,均有与云安全相关的技术上榜。其中“云访问中的安全代理(CASB)”技术两度上榜,近几年也是云安全领域热点专题,主要用于云身份管理。国内外云安全领域的领导者也纷纷开始布局CASB,例如Web安全网关市场的领导者BlueGoat在2015年收购了两家云安全访问代理公司Perspecsys和Elastica;微软在2017年收购了Adallom;思科在2016年7月宣布计划收购CloudLock。其他可以重点关注的云安全领域中的热点技术还有2014年发布的“软件定义的信息安全”,主要是对传统安全能力的解耦和按需重构。2016年发布的“微隔离和流可视性”技术是一种更细粒度的网络隔离技术,主要用于云计算环境下的安全,尤其是针对云中东西向流量(虚拟机之间)的安全保护。国外云计算水平领先于国内,许多技术国外已经落地,但是国内尚处于研究阶段,然而能率先将热点专题技术落地的公司无疑将会是最先引领市场并将具备很强的市场竞争实力,国内云安全行业尚待领导者出现。
四.各类竞争者各具优势,共同角逐云安全市场
全球云安全市场主要由四种参与者组成:云平台服务提供商(如阿里云、腾讯云、金山云、亚马逊AWS、Salesforce等);专业的云安全解决方案提供商(往往值云安全初创公司,如Zscaler、Symplified、安全狗、云锁等);传统IT安全解决方案提供商(如趋势科技、赛门铁克、迈克菲、360等);大型IT厂商(IBM、惠普、英特尔等)。
云平台服务提供商在云安全领域中的分工比较特殊。下面具体以阿里云和腾讯云为例,说明云平台服务提供商在云安全领域所扮演的角色。
云上的安全有明确的责任划分,并且随租户所采取的云服务模式(IaaS、PaaS、SaaS)的不同而不同(见图2)。阿里云作为国内知名的IaaS云平台服务提供商,它所采取的风险共担模式具有代表性,可说明众多IaaS提供商的一般情况——即阿里云负责云基础设施层面的安全,用户则要对自己的虚拟化层以上负责。在虚拟化层,阿里云同时提供云盾以及通过引入第三方生态合作伙伴的方式来提供安全服务,这种安全责任共担模式最终的目的是帮助用户减轻安全运营负担,更专注于核心业务。
腾讯云与阿里云的安全责任划分大致相同,主要差别在于其提供的云安全产品所覆盖的领域上的不同。其安全防护可分为三个方面:云基础设施安全、云租户安全、业务安全。其中腾讯云安全团队的工作重点是对基础设施的保障;云租户安全和业务安全一部分自己做,仅提供标准化安全服务,另一部分开放给技术合作伙伴,来给不同行业的客户提供定制化的安全服务。腾讯云安全总监周斌在2016年7月的腾讯“云+未来”峰会表示:“在云安全生态方面,腾讯云无意成为专业的安全厂商,而是把重点放在提供标准化或说通用化的解决方案上,为云的客户提供稳定可靠的基础防护能力,比如异地登录、漏洞扫描、主机安全等,这些基础的服务都免费提供给云上的用户。企业对安全定制化需求或是高级服务能力需求,如详细的运维审计、数据库审计等需求,腾讯云更希望由合作伙伴来满足。简而言之,就是把专业的事情交给专业的安全厂商去做通过安全生态的建设。”
云平台提供商所提供的云安全产品主要用于满足虚拟层之上的安全需求(即云租户自己负责的那部分),亦采用按需付费的形式收费。从表7可以观察到云服务提供商的云安全产品所覆盖的细分领域并不完全一致。我们通过调研部分客户了解到,阿里云租户只需购买Web应用防火墙和安骑士即可满足日常的基本安全需求,但是还需根据自身业务特点采购DDoS高防(例如双十一期间的电商)、数据加密服务等其他安全产品。除此之外值得注意的是:云平台提供商基本上都与第三方安全厂商建立了技术合作伙伴关系,将用户所负责的那部分安全需求开放给第三方合作伙伴,但是我们经过分析发现,云平台服务提供商与第三方安全厂商所提供的部分产品之间是存在竞争的,例如阿里云的“态势感知”和“Web应用防火墙”两款产品与其合伙伙伴绿盟科技的“极光扫描”产品同样具有漏洞扫描功能,用户往往择一即可。
综上,我们可以得出以下结论:
(1)云平台服务提供商与租户之前有着明确的安全责任划分:以IaaS为例,云平台服务提供商只负责云基础设施的安全,虚拟层之上的安全问题由云租户负责;
(2)虽然IaaS云平台提供商责任只到云基础设施为止,但是提供商均推出多种云安全产品满足虚拟层之上的安全需求(云租户负责的部分),欲求在云安全市场分得一杯羹;
(3)不同云平台服务提供商其安全产品所覆盖的细分领域不同;
(4)云平台服务提供商均与专业的第三方安全厂商建立了技术合作伙伴关系,将云租户所负责的那部分安全需求开放给第三方安全厂商,但是两者在部分产品功能上有重合之处,故而既为合作,又为竞争关系。
接下来的篇幅我们主要分析专业云安全提供商(初创公司)、传统IT安全解决方案提供商、大型IT提供商各自在与同类型的公司竞争时,具有什么特点的公司会脱颖而出,我们主要以每一类型企业中某一细分领域领导者公司案例的形式展开分析。
4.1、专业云安全提供商靠持续创新能力引领市场
专业的云安全提供商:这类提供商不具备为垂直领域提供安全解决方案的经验,主要是靠其独有的专利技术在云安全市场立足。专业的云安全提供商往往拥有在技术上领先的云安全产品,但是这类提供商的劣势在于地域上的业务拓展。其次,专业的云安全提供商基本上都是初创企业,相比于在IT领域深耕多年的传统企业而言,不具有客户基础。代表型的企业有Zscaler、Symplified、CloudPassage、Dome9 Security。
Zscaler成立于2008年,总部位于美国加利福利亚,是基于云的Web安全网关(SWG)专业提供商,即把Web安全网关作为SaaS服务来交付,其服务既可以保护数据和应用安全,也可以保护云基础设施。Zscaler一直坚信自己能够“像Salesforce变革CRM市场一样变革SWG市场”。Zscaler连续6年被Gartner评为SWG市场的魔力象限领导者。2015年Zscaler为分布在全球185个国家的近5000多家客户提供服务,是2014年客户数量的2倍。2016年6月Gartner预测Zscaler在基于云的SWG市场上占有50%的市场份额,是SWG市场中增长速度最快的提供商。
在2008年以前,Web安全网关市场(SWG)就一直被以下几类厂商占据:硬件设备厂商,如URL过滤领域的领导厂商Websense公司;传统的反病毒厂商,如迈克菲、趋势科技和Sophos公司;以及电子邮件安全厂商,如Secure Computing公司(CipherTrust)和思科公司(通过收购CipherTrust的竞争对手IronPort公司)。那么Zscaler为何能通过提供SaaS服务的形式打破原有格局?又是为何能从创立的第四年至今就一直稳居行业领导者的位置?而其他处于领导地位的竞争对手又是如何没落的呢?
首先来回答第一个问题:第一,Zscaler是全球最早将Web安全作为SaaS服务来提供的两家公司之一,另外一家是Purewire,具有先发优势。第二,在Zscaler出现之前,许多公司苦于诸如桌面反恶意软件、防火墙和嵌入式入侵防御系统等单点设备只具备部分功能,而无法从整体上全面了解防范网络钓鱼、病毒及恶意软件的情况,而Zscaler能基于云提供提供了URL过滤、HTTP流量扫描、用户Web访问控制、应用程序控制、数据防丢失(DLP)等综合服务。再次,SaaS缓解了企业购买安全设备、应对资本预算以及管理及维护设备的许多问题,而且Web安全是企业所愿意外包出去的项目。Zscaler在解决安全设备单点功能、通过SaaS将企业的资本支出(CAPAX)变为运营支出(OPEX),极大地缩短了企业Web安全的部署周期,让大中小型企业以最小的成本获得性价比最高的服务,真正实现Web安全的“按需付费、即需即用”,对客户的痛点有着精准的把握。因此能成功打破原有的SWG市场格局。
第二个问题:凭借独特的基于云的架构、快速的功能开发、全球性的执行节点、在全球大中小型市场中的惊人增速,Zscaler从2011年开始进入Gartner安全网关市场魔力象限的“领导者”象限,直到2016年仍然是SWG市场的领军者。究其原因可总结为以下几点:
(1)通过持续创新云功能引领市场:例如新型的Zscaler Private Access可以替代VPN;Nanolog Streaming Service可以实时向SIEM系统输出日志。Zscaler在2015年12月推出了Zscaler App和the VZEN virtual proxy两款产品后,紧接着在2016年4月又推出了ZscalerPrivate Access和Zscaler App两款产品,不断丰富云安全平台的附加可选功能,有利于满足客户的多元化需求,其持续创新能力可见一斑。
(2)在所有安全Web网关提供商中,Zscaler拥有全球最大的云覆盖率:Zscaler在全球30个国家拥有100多个数据中心,而传统安全厂商趋势科技却只在10个国家拥有约14个数据中心。云覆盖率高的好处是可以保证客户的网络流量以最快的速度传至最近的节点并进行安全处理。客户必将选择同行中能提供最高效服务的供应商。
(3)强大的技术伙伴支持网络:Zscaler的每一个创新产品都需要技术伙伴的支持,例如Zscaler新推出的Nanolog流服务(NSS)产品主要功能是将网络日志发送到客户的安全信息和事件管理系统(SIEM)中,以加强SIEM的日志搜集能力,Nanolog必须与这些SIEM系统整合,产品成功与否其关键就在于SIEM解决方案提供商的技术支持。而目前全球主流的SIEM解决方案主要有惠普的Arcsight,IBM的SecurityQradar和Splunk等,Zscaler已经成功地与这些企业建立了技术合作伙伴关系。除了SIEM领域的合作,Zscaler与云端访问安全代理(CASB)、数据丢失防护(DLP)、企业移动管理(EMM)、身份和访问管理(IAM)、网络和广域网优化、SD-WLAN等细分领域的行业领导者都有十分紧密的技术合作。
第三个问题可以通过分析两家代表性公司而窥知一二,第一家是传统安全市场极具竞争力的企业之一——趋势科技;第二家则代表了大型IT企业——思科。
趋势科技从2012年开始,在SWG市场上的地位就不断下滑,主要体现在执行力下降上。目前趋势科技安全网关产品主要由虚拟设备IWSVA和云安全服务IWSaaS构成。在SWG市场上不保其“领导者”地位的主要原因有点:第一,在提供基于云的SWG服务上起步较晚。虽然它曾计划推出支持移动用户的云服务,但是直至2012年都始终没有解决这一问题,在2013年四季度才推出基于云的解决方案;第二,其产品因为一直不具备“企业级”特征而饱受诟病,例如在2012年时,其安全Web网关解决方案IWS就作为一个附加型的套件或功能模块,而不是作为一个单独的产品销售,另外,大型企业所需要的“基于角色的高级管理”、DLP支持等功能是趋势科技的解决方案所不具备的。
思科在2007年通过并购IronPort从而开始进入SWG本地设备市场,在2009年通过并购ScanSafe进入SWG云服务市场。但是思科从2014年开始市场地位逐渐下降,并在2015年退到挑战者领域。其主要原因是思科未能成功整合IronPort和ScanSafe的业务和产品,其SWG解决方案不能同时适应本地、私有云、公有云等所组成的混合架构。许多大型企业多采用混合云,将核心业务保留在本地或私有云,将非核心业务放在公有云上,思科显然不能满足这类客户的需求。
综上,我们可以看出,专业的云安全服务提供商有机会在云安全的某一个细分领域胜出。能超越传统安全厂商、大型IT提供商的专业云安全服务提供商具备但不限于以下特征:具备先发优势并且精准把握用户需求、能够持续创新推出新产品以丰富云服务功能进而满足客户的多元化需求、在全球拥有极高的云覆盖率(数据中心数量)、强大的技术伙伴支持。
除此之外,传统安全厂商和大型IT提供商可能但不限于因为以下原因而失去在某一个云安全细分市场的领先地位:进入安全云市场的时间较晚导致服务没有最早进入的行业领导者那么成熟、忽略了某一部分客户群体的需求(例如大型企业)、并购整合效果不佳。
4.2、传统IT安全解决方案提供商是最天然的云安全提供商
传统IT安全提供商:这类提供商按照其业务涉及领域可划分为两类,即综合性的大型IT安全解决方案提供商、特定细分安全领域的提供商。我们认为他们的最大的优势都在于其深耕多年的技术积累。通过改进其技术以适应云架构,从而成为最天然的云安全提供商。
综合性的大型IT安全解决方案提供商在IT安全市场已经经营多年,业务的地域覆盖面广且具有深厚的客户基础,往往能凭借其强大的品牌效应在市场中处于有利地位。凭借其现有的合作伙伴关系网,通常能快速切入新的市场领域。代表性企业有趋势科技、迈克菲、赛门铁克、CA科技。
特定的细分安全领域提供商通常只专注于某一个特定的信息安全细分领域,例如身份管理、数据加密等,这也使得在云时代来临时,也能在各自的细分领域获得优势。这些企业往往有领先的技术优势。代表性企业有Palo Alto Network(网络安全领域)、SecureAuth(身份管理领域)、ThreatMetrix、WhiteHat Security。
趋势科技在全球服务器安全市场上的市占率第一。趋势科技云安全产品主要有服务器深度安全防护系统Deep Security(用于数据中心虚拟化)、防毒墙网络版(用于桌面虚拟化)、邮件安全网关IMSA(用于邮件网关虚拟化)、Web安全网关IWSA(用于Web网关虚拟化)。
趋势科技在2010年发布云安全3.0战略,开始从“用云来做安全”聚焦到“保护云自身的安全”,直到2011年发布云安全5.0战略时才真正将云安全落地,确定了趋势科技云计算安全发展的四大支柱,即从云基础设施、云终端设备、云应用和云数据四个方面来保护云的安全。
趋势科技杀手级的产品是Deep Security,该产品奠定了其在服务器和虚拟化安全产品市场中的领先地位。DeepSecurity属于云主机安全领域的产品,而云主机安全又可以分为云安全信息和事件管理(SIEM)、单纯的云主机安全、私有云服务器安全3大技术方向,进一步细分可把Deep Security归入私有云服务器安全领域。市场中提供私有云服务器安全产品的厂商不止趋势科技一家,那么趋势科技又是靠什么击败赛门铁克、迈克菲等传统安全领域的劲敌,成为云主机安全领域中的市场领导者的呢?
我们认为趋势科技的成功主要基于以下几点:
(1)Deep Security的无代理防护为全球首创,与传统防护措施相比该技术不占用虚拟机资源:所谓“无代理”主要是指用户无需在每一个虚拟机上安装客户端,只需要在物理主机上进行一次性安装即可,并且以主机为单位进行安全保护。采用该种技术的好处在于不像传统方案那样,需要在每一个逻辑主机上建立病毒库并需要定期更新,如此一来将占用大量资源。除此之外,该技术还可以解决虚拟机之间攻击盲点等安全问题。
(2)与VMware的核心合作伙伴关系:作为虚拟化及云基础架构全球领导厂商VMware的核心战略合作伙伴,趋势科技是目前业内唯一可运用最新的VMware API提供增强的服务器保护的云计算安全厂商,并已成为全球虚拟化安全管理解决方案市场占有率第一的品牌,这一骄人成绩与趋势科技和VMware始终保持在技术上的密切合作是分不开的。VMware目前在全球数据中心自动化软件中的市占率位列第一,在中国虚拟化软件市场的市场占有率也居首位,两者的强强联合能实现优势互补,使两者的产品更获市场青睐。除了VMware,趋势科技还和惠普、微软、亚马逊等建立了合作伙伴关系。
(3)趋势科技在提出云安全5.0战略之前就已经是服务器安全和虚拟化安全市场上市占率第一的提供商了,而虚拟机和云主机安全在技术上是一脉相承的,从其市占率可以看出趋势科技在技术上过硬。可以说趋势科技在进入云主机安全领域之前就已经把一只脚踏进该市场的大门了,而且从技术上而言还领先其他厂商,是云主机安全解决方案的最天然的提供商。趋势科技的领先技术除了之前提到的无代理技术之外,还有其强大的终端防护能力(连续13年被Gartner评为行业领导者),除服务器等设备外,还能防护各种移动设备(BYOD)的安全;另外,Deep Security还同时适用于物理、虚拟化、私有云或公有云三种环境,并提供统一的解决方案。
(4)趋势科技拥有大量优质客户资源,所服务的客户领域横跨金融、教育、政府、制造等各行业。在中国500强企业中,77%已经使用了趋势科技的解决方案,其中包括70%以上的银行、80%的证劵公司、65%的汽车制造商和50%的保险公司。以前成功案例的实施所积累起来的众多客户在上云的过程中,肯定会优先选择之前有过成功合作的、且具有云安全技术实力的厂商,所以趋势科技是不二选择。另外我们也可以从亚信安全收购趋势科技中国业务的出发点看出在安全市场获客的难度:2015年9月亚信科技收购趋势科技(中国),并成立独立的安全技术公司——亚信安全。在此之前,亚信科技的安全业务主要集中于通信领域,在收购趋势科技之前,亚信科技便宣布了产业互联网战略,但是进军产业互联网的挑战在于如何在各行各业快速获取客户,亚信科技通过并购趋势科技进军金融、教育、制造等众多行业,这也从侧面反映了“客户资源”至少是云主机安全市场的一大壁垒,否则亚信科技不必进行此次交易。
我们通过对趋势科技的分析,基本上可以得出以下结论:首先,从趋势科技凭借原来在虚拟化安全技术上的优势,在云主机安全领域做大做强可以看出,在传统信息安全领域具有技术优势的安全厂商完全可以改善技术将其应用至云架构,它们是云安全解决方案最天然的提供商,是离云安全最近的参与者。其次,与虚拟化软件提供商、云服务提供商的合作伙伴关系尤为重要,强强联合,优势互补,可以最大程度地加速产品或解决方案的研发和推广。最后,客户资源也是云安全行业的壁垒之一,以往积累了丰富客户资源且有许多成功案例的传统安全解决方案提供商会比其他企业的发展顺利很多。
传统IT安全解决方案提供商中除了趋势科技、赛门铁克这样的综合性的安全厂商之外,还有一类——只专注于某一细分领域的IT安全厂商。国外代表性的厂商有Palo Alto,它成立于2005年,是全球首家提出“下一代防火墙”概念的网络安全厂商,并且连续多年被Gartner评为下一代硬件防火墙领导者,在防火墙领域无人能出其右。目前Palo Alto,在全球拥有3000名员工,超过3.4万客户,总市值约为145亿美元。
Palo Alto的收入来源主要来自于销售防火墙硬件产品所获得的一次性收入以及订购其附加和非附加服务、安全支持所获得的持续性收入(其防火墙硬件产品主要有PA系列和VM系列等,前者适用于物理环境,后者适用于虚拟环境)。持续性收入部分全部按年收费:附加服务是作为Palo Alto硬件防火墙的附加功能模块搭配使用的,所以必须购买Palo Alto硬件产品才能起作用,客户可以根据自己的需要订购相应的功能模块;非附加服务则适用于所有的硬件防火墙,均以软件的形式交付;安全支持主要是指Palo Alto工作人员为客户安装防火墙、附加和非附加服务的软件、专业工程师对企业客户的员工进行培训等所单独收取的服务费用,这一部分将随硬件产品的销售量和附加与非附加服务的订购量的增加而增加。
目前PaloAlto的产品和服务基本上能适用于所有的私有云环境,及绝大多数的公有云(AWS、Azure等),但是由于受某些方面的限制不适用于极小部分公有云,例如VM系列的防火墙可以支持AWS、Azure、VMware。
Palo Alto的年营业额一直保持50%以上的高速增长,并且其来源于附加和非附加服务的订购收入从2012财年不足硬件产品一半的体量增加到了2016财年与硬件产品收入相当的体量,即6.56亿美元,并且其增速远高于硬件收入。
Palo Alto之所以能在网络安全领域获得如此傲人的成绩,应归功于其业内首创的“下一代安全平台”。下一代安全平台是面向云、网络及终端的全新体系,并通过平台化方式,利用云端运算能力,将防火墙、网关、威胁云平台等产品和防御手段智能的集成整合,并可根据客户需要,灵活的调整和部署所需要的解决方案以及扩展其他安全功能(即可从附加和非附加的服务中选择任意数量的功能模块)。其最大的优势是并非通过单点防护来保障网络安全,而是通过Palo Alto Networks平台覆盖到端点、系统、协议几个方面,来实行整个系统全方面的保护。
4.3、大型IT厂商——拥有强大整合能力者为王
大型IT提供商:这类企业规模较大,营收体量很大,在IT多个细分领域进行多元化经营且能满足许多不同类型终端用户的需求。这类公司拥有巨大的技术合作伙伴网络和经销商合作伙伴网络,有利于在云安全市场将业务迅速拓展开来。由于这类企业在安全领域不具有技术上的优势,所以它们主要以收购兼并小型公司的方式不断扩充其云安全市场上的技术实力,以期快速进入云安全市场并且不断提升其市场地位。代表型企业有IBM、惠普、英特尔、Novell等。
IBM 2015年全年营业收入817.41亿美元,其中安全业务年收入达20亿美元。虽然安全业务比重仅占2.4%,但是在总体营收下滑(-11.9%)的背景之下,其安全业务却逆势增长12%——其中IBM的SIEM(安全信息和事件管理)威胁情报和移动安全都将有着10%以上的增长率,云安全业务更是呈现50%的高增长。一直以来大家忽视了IBM其实是全球第三大安全公司,第一大企业级安全厂商。
IBM云安全解决方案主要涉及访问安全、数据安全、可视化和安全运营四个方面。IBM一共有62项安全产品,仅云安全一个解决方案就囊括了其中13个产品。不同的产品相互组合可共同实现某一功能,不同功能再相互组合共同实现对某一个特定层次的完整防护,IBM的云解决方案整体体现出了极强的协同性。
IBM是以做商用机器起家的公司,回溯其公司发展历程可以发现IBM的安全业务部门IBM Security在2012年才开始成立,但是它开始接触安全业务却早在上世纪70年代,随着主机业务的扩展而做主机和服务器安全。20多年后,即1999年IBM开始引入访问管理的业务,并从此开始了安全业务体系的打造之路,进行一系列的安全领域并购交易。在IBM Security成立之前,其安全业务和产品分散在各个子部门里,直至攻防态势的变化(例如高级持续性威胁APT的出现),使得单点防御无法做好全局性的安全防护,使得IBM专门成立一个安全部门来整合线上所有分散的安全产品。
经过4年的整合,如今已经形成了完整的产品体系,涵盖数据、应用、网络、终端、移动、高级防欺诈、身份和存取控制、安全智能八大安全框架,其中以QRadar系列产品为主的“安全智能”处于核心位置,归属于安全信息和事件管理领域(SIEM),相当于整个体系的“心脏”,而IBM的安全研究团队X-Force则相当于整个系统的“大脑”,负责监控、研究、培训和集成。这些框架之间可以互相联动,分享信息,是一套完整的,具备防御,侦测和响应能力的企业安全免疫系统。这个体系包括7000多名安全专家,3700多项安全专利,和25个安全研究中心或实验室。
我们认为,IBM能在大型IT提供商中把云安全做大做强极为关键的一点在于其强大的“并购整合能力”。正如我们之前看到的思科在Web安全网关市场失败的例子一样,对不同功能的产品进行并购整合能力并不是每一个公司所具备的,像思科这样国际性的大企业尚且失败过;而且对于像IBM这样的超大型IT解决方案提供商而言,往往需要整合十几家甚至是几十家并购而来的具有不同经营理念、文化背景、技术领域等等的公司,对于如何一家公司而言,无论其规模如何,都是一个巨大的挑战。
除此之外,我们认为IBM在众多公司中最有可能会成为云安全领域未来的王者。主要基于以下几点理由:正如我们在3.1节中所提出来的,未来不变的大趋势是从“被动防御”转为“主动防御”,这一趋势主要是通过“大数据+机器学习+云安全”来实现。首先IBM最不缺的就是安全数据,遍布全球的12个安全运营中心(SOC)是IBM如此强大的安全能力的基础,而且IBM拥有1万余家企业客户,SOC每天可以从这些客户这里搜集200亿以上的安全事件。这些数据传给IBM旗下的安全研究机构X-Force,进行实时监控并集成。其次,IBM拥有全球顶尖的机器学习能力——IBM人工智能战略的核心:沃森(沃森众所周知,这里就不加赘述了)。最后,IBM现在已经是SIEM和安全托管服务(MSS)的提供商中公认的全球领导者(排名第一),以此可以证明IBM在信息安全领域的综合实力,而且IBM自己还是IaaS和PaaS提供商,对云的基础架构不仅有着深刻理解,而且还做成出色的云安全服务提供商自然不在话下。
4.4、总结
综合以上部分的论述,我们认为:
(1)在云安全时代,云平台服务商主要的定位还是为云基础设施提供坚实、通用标准化的安全防护,确保基础云平台不受外部的攻击,云上应用层及数据的个性化防护,则会通过引入相应的安全技术合作伙伴构建云安全合作生态,由第三方进行云安全产品和技术服务的提供;
(2)对于专业的云安全厂商(初创企业)来说,一般是近几年刚刚成立,没有长期的客户积累,往往是依靠各自创新的云安全技术切入到云安全市场,这类公司中能够持续吸引市场关注的最为关键的是持续的创新能力和差异化技术优势;
(3)对于传统IT安全提供商而言,其具备多年的长期技术积累和客户基础,主要靠技术沿袭和客户积累快速切入云安全市场,是最天然的云安全解决方案提供商,它们离云安全市场最近;
(4)对于大型IT解决方案提供商而言,主要通过不断并购初创公司来获得技术和人才,但是最为关键的一点在于其并购整合能力,我们尤其看好IBM,不仅已经在信息安全领域深耕多年,而且还符合“大数据+机器学习+云安全”的大趋势,有望成为未来云安全领域的霸主。