“沒有網絡安全就沒有國家安全!”隨著云計算、大數據等技術的飛速發展,云安全成為了我國網絡安全行業的重要細分領域,本文將從產品結構、應用場景、發展環境、競爭格局、投資機會、發展趨勢等方面詳細闡述我國云安全行業發展現狀。
(一)云安全行業定義
云安全行業是云計算行業的分支,云安全即云安全服務,將云計算技術和業務模式應用于網絡安全領域,實現安全即服務的一種技術和業務模式。云安全服務融合了并行處理、網格計算、病毒行為判斷等新興技術和概念,通過網狀的大量客戶端對網絡中軟件行為的異常監測,獲取互聯網中大流量攻擊、木馬、惡意程序、病毒等信息及攻擊流量,并傳送到云端進行自動分析,以云端直接處理或端云協同處理的方式完成安全防御。
云安全行業包括了云計算基礎架構的安全、云計算服務平臺的安全和云計算軟件的安全,具體包括數據、應用、傳輸、系統和網絡等各方面的安全,目前,云安全服務市場的提供商主要包括兩種類型,分別為云服務提供商和安全廠商。云服務提供商在多維度為用戶提供云上安全,如亞馬遜AWS、微軟Azure、阿里云等;安全廠商主要負責用戶側云安全,如McAfee、Palo Alto等。
圖表1:云安全行業定義及分類
資料來源:融中研究整理
(二)云安全產品結構
從責任共擔模型和云原生兩個維度出發,云安全產品可以大體分成三大類,分別為傳統安全設備的云化、云服務提供商(CSP)為配套云服務而提供的安全產品以及基于云原生應運而生的“新安全”產品和服務。
第一類是傳統安全設備的云化。在傳統的數據中心中,安全防護通常是通過在安全域入口部署專用的安全設備來實現的,比如防火墻、IDS、IPS等。在虛擬化的云環境下,傳統的安全防護設備不再發揮作用,因此出現了相對應的虛擬防火墻,虛擬IDS、IPS。
第二類是云服務提供商(CSP)為配套云服務而提供的安全產品。常見的有威脅檢測、云數據庫安全、API安全、容器和工作負載安全、用戶行為監控、合規與風險管理等。
第三類是基于云原生應運而生的“新安全”產品和服務,也是目前發展前景最好的云安全產品,包括CASB(云訪問安全代理),CSPM(云安全配置管理),CWPP(云工作負載安全防護平臺)等。其中,CASB作為部署在客戶和云服務商之間的安全策略控制點,是在訪問基于云的資源時企業實施的安全策略。而CSPM產品通常使用自動化方式來解決云配置和合規性問題。CWPP作為一項以主機為中心的解決方案,主要是滿足這些數據中心的工作負載保護需求,因此,主要適用于IaaS層。雖然這三大產品在功能上有一些重疊,但是三者之間更多是起到互補的作用。
圖表2:三大云安全工具覆蓋范圍關系圖
資料來源:安全牛,融中研究整理
(三)云安全應用場景
云安全的應用需求場景主要可以分為電子郵件安全、web安全、身份識別與訪問管理(IAM)、遠程漏洞評估、安全信息與事件管理(SIEM)、應用安全測試和其他等。
圖表3:云安全應用場景
資料來源:公開資料,融中研究整理
2017年開始,電子郵件安全、Web安全以及身份識別與訪問管理(IAM)成為企業上云的三大優先考慮事項,這些優先事項的主要實現方法(包括SIEM、IAM技術以及新型技術與服務)是云安全服務市場增長的主要組成部分;威脅情報、基于云的惡意軟件沙箱、基于云的數據加密、端點保護管理和WAF等都屬于新興服務,新興服務是云安全服務市場增長最快的部分之一。
根據Gartner統計數據顯示,2019年IAM領域市場規模最大,占比達到38.40%,預計2020年仍然為云安全服務市場的最大板塊;其次是安全的網頁網關,市場規模約為11.20%;安全的電子郵件網關占比位于第三,市場規模占比達到10.4%。
圖表4:2016-2020年全球云安全細分領域市場結構(單位:%)
數據來源:Gartner,融中研究整理
(一)云安全行業政策環境
2016年以前,針對云安全行業的政策較少,行業政策大多只涉及云計算,云安全政策尚不健全。2016年11月7日,中國《網絡安全法》獲得通過,我國網絡安全管理的綜合法律體系建設正式起航,后續配套政策和規范性文件相繼出臺,包括《國家網絡安全應急預案》、《網絡產品和服務安全審查辦法(試行)》、《網絡關鍵設備和網絡安全專用產品目錄》、《個人信息和重要數據出境安全評估辦法(征求意見稿)》等,我國網絡安全法治體系建設加速開展。
“沒有網絡安全就沒有國家安全”網絡空間是國家主權的新疆域,網絡安全事關國家安全和國家發展,國家將網絡安全放在了更重要的位置。2018年3月中央網絡安全和信息化領導小組改為中央網絡安全和信息化委員會,簡稱“中央網信辦”,成為我國網絡安全工作國家層面的監管機構,隨著國家網絡安全監管機構的設立,網絡安全政策陸續實施,云安全政策也不斷出臺。
圖表5:截至2020年云安全行業政策法規匯總
資料來源:各大政府網站,融中研究整理
除相關政策外,網絡安全及云安全也同時被列入國家規劃重點發展方向,隨著“十三五”規劃逐漸落實,“十四五”規劃制定實施,有效拉動云安全產業的規劃和措施也不斷增多。如2018年8月,工信部及發改委提出的《擴大和升級信息消費三年行動計劃(2018-2020年)》、2019年4月工信部《關于工業大數據發展的指導意見》、2020年4月發改委、網信辦的《關于推進“上云用數賦智”行動培育新經濟發展實施方案》等規劃中均對推進云安全行業發展提出了具體措施。
對于云安全行業來說,近年來多項政策、規劃的出臺代表著中國逐漸認可云計算安全,是信息化發展的重大變革和必然趨勢。在政策上積極促進云計算創新發展,但也高度重視云計算存在的安全問題,并強調要制定云安全的相關標準以應對網絡安全問題,是我國云安全行業健康發展的保證。
