从早年简单的云主机杀毒,到一体化云上态势感知,从底层计算、存储资源云化到云上软件全生命周期的安全防护,从安全产品的云化到云中内生安全;历经十多年的发展,云安全产业无论是市场需求、防护边界、技术实践还是落地形态都经历了翻天覆地的变化。云安全的责任归属、多云、跨云环境下的安全治理、云应用开发部署全生命周期的安全保护也成为了云服务提供及使用者关注的焦点。FreeBuf咨询特别发布《云安全的技术实践与格局变迁洞察》报告,旨在呈现我国云安全市场的发展特点与脉络,追踪我国云安全技术实践与格局变迁,从而捕捉我国云安全产业的未来发展趋势。
报告关键发现
1. 我国云安全市场的下半场竞争将从IaaS层向PaaS层迁移
2. 绝大多数的云安全事件的责任在企业而非厂商,云服务使用者需充分理解责任共担模型以更好地分配云责任归属
3. 全球公有云市场占绝对主导,我国私有云/行业云市场仍占据较高的比例。海内外用户对资产数据的敏感程度以及对于供应商的信任感构成了两者之间的偏好差异
4. 在多云趋势下,CIEM优势逐渐凸显,帮助企业在更模糊的边界中实现最低身份授权
5. ZTNA、Kubernetes、IaC、DevSecOps技术的不断发展将重塑云安全市场格局
6. 云安全顶层标准制度不断健全,从底层框架、重点行业,向产品层、厂商层以及细分技术层不断拓宽细化
7. 云安全的实践形态正在从安全产品云化走向云中内生安全
我国云安全市场规模高速扩张
云计算的迅速普及带动云安全市场规模持续高增速扩张。IDC预测,到2024年,全球云基础设施占比将超过6成。安全作为保障云计算发展革新的基础,也成为了全球企业上云面临的最大挑战之一,云安全的市场需求在此背景下高速攀升。艾瑞咨询数据显示,我国云安全市场规模将在2024年达到254亿元,年均增速超过40%。
云安全发展历程
FreeBuf咨询认为,云安全的发展历程可以大致分为四个阶段:萌芽阶段、云化阶段、加速发展阶段以及云原生阶段。
萌芽阶段期,云计算概念刚刚兴起。此时用户主要关注云基础设施安全防护,产品形态以简单的云主机防病毒以及云网关组件为主。
伴随AWS 推出 EC2 弹性计算云服务,国内最大的公有云服务商阿里云的成立,各大互联网平台以自身业务需求为契机,将云计算发展推向了另一个高潮,公有云厂商初具规模。
随着云计算的快速发展,阿里、腾讯、百度等公有云服务商全面布局云安全,带领云安全市场进入快速发展期。在此阶段内,除了云服务商,大量传统安全厂商涌入赛道内,提出云化安全解决方案,专注于云安全的厂商也开始涌现。
近年来,云安全建设重点从安全产品云化转向云中内生安全。云安全服务使用者需求从以资源为中心转移到以应用为中心,包括应用敏捷交付、快速弹性、平滑迁移、无损容灾等,带动云安全服务商将服务范围拓展至开发端,能力下沉至平台侧。
云安全顶层标准制度不断健全
云安全顶层标准制度不断健全,从重点领域、底层框架,向产品层、厂商层以及细分技术层不断拓宽细化。云安全产业联盟CSA在2009年发布了首个云计算安全实践《针对云计算重点领域的安全指南》,2010年发布云控制矩阵(CCM)几乎涵盖了云技术的所有关键领域,映射了大量法律法规和国际标准的要求。2014年,我国发布《云计算服务安全指南》与《云计算服务安全能力要求》两项标准,用于政府部门云上安全管理,并指导云厂商建设安全的云平台与服务。
2016年CSA大中华区发布了首个产品级云安全标准。而2018年由CSA发布的云计算可信厂商(TCP)标识,从厂商角度为华为、亚马逊、微软等数十家云厂商提供认证。2022年《云安全技术标准 2.0》、《云应用安全技术规范(CAST)》和《云原生安全技术规范(CNST)》的出台提供了云原生、云应用等细分技术层面的建设思路。