文|极新 小新
编辑|苑晶
云安全更像是在数字化浪潮中的“卖水人”,水大则鱼大。但同时,云安全又是面向全球的行业,在万千云安全公司中,国内的云安全公司还与世界先进公司存在一定差距。
网络安全,即便是何时提起,其重要性也不能小觑。在波诡云谲的2022,在各行各业掀起上云狂潮后,云安全的概念随之爆发,而在这场竞争中,全球的公司也将注意力投射在头顶上的那朵云彩之上。据Gartner的估计,到2023年,云安全市场规模将增长10倍,达到124亿美元(相比之下,2020年为12亿美元)。
在相关部门对关于网络安全保障需求的划分(即云安全、人工智能安全、大数据安全、车联网安全、物联网安全、智慧城市安全、网络安全共性技术、网络安全创新服务、网络安全“高精尖”技术创新平台)下,云安全被提到了首要位置,可见其对该行业的重视程度。
追溯历史,云安全是传统信息安全行业的再升级。严格意义上,云安全是一种行业补充。在行业细分中,则囊括云基础设施安全,云计算资源安全,云计算操作系统安全,云计算应用软件安全,用户信息安全等一系列内容。
在全球市场中,云安全的市场规模正以两位数的高速成长中。在相关数据中,其在2021年已达到147.8亿美元,预计在2026年,全球市场规模可突破284.5亿美元。
据了解,2020年中,在使用了公有云的企业和组织中,有近3/4在过去受到过安全事件。现如今,越拉越多的中小企业也在增加对网络安全方面的投入,加之以往中小企业更偏向云服务,无形中,助推了云安全从一个小众市场走向主流的步伐。
01最头疼的问题还是发生了
企业主真的知道其所购买的云产品软件是什么吗?答案可能是否定的。
在开源变成不可逆的趋势之时,一个软件在诞生的过程中裹挟了来自天南海北的开源代码,而开源本身就存在安全隐患,也就是说,软件在开发的时候就可能已经有了“天生残疾”——这就是业界讨论的软件供应链问题。
国外相关机构对开源本身做过测算:其结果是99%的代码库包含开源代码,而由第三方或开源编写的代码,可能从一开始就未收到严格控制。在开源代码的编写过程中,可能经过了几千名工作人员,从最坏的角度上说,这些人都可以访问代码。
谁能保证每一行代码都没有问题?
另外,恶意代码正在和安全软件博弈:根据WatchGuard技术公司的一份报告得出的,该公司声称规避恶意软件检测的数量已经上升到创纪录的水平。
在疫情的催化下,越来越多的人采用居家办公的方式进行工作,而这客观上也助长了恶意攻击的概率。如今,云安全的边界早已超出传统互联网范畴,扩大到了物联网、家庭网络和移动设备之中。
02云安全的最新变量
传统软件中,IT架构较为垂直,在这种架构中,系统之间不能共享资源,是典型的信息孤岛。由于云架构在基础架构增加了虚拟化层和云管理层,极大扩充了传统软件的使用边界。
可问题就在这里,正是因为虚拟化层和云管理层的存在才出现了诸多新的网络安全问题。
这种情况体现在两个方面:即保护云自身的安全环境和安全云,后者以云的方式为系统提供安全解决方案。
新的行业增量为云安全带来了更多场景。
在汽车行业,空中汽车(OTA)催生出了不断需要维护的软件安全市场。在实际情况中,车的互联网化的背后是安全在多云、多解决方案、多地区衔接的具体场景。
很多情况中,OTA厂商需从云服务器下载代码,甚至远程修复、维护和改进软件。在安全和私密性的考量下,汽车内的网络安全环境会被高度关注。就目前的市场环境,车厂开始尝试在软件中加装车辆动力系统升级的软件,从而通过订阅的方式收取服务费。
但云安全的风险反而就存在于这数百万、数十亿、万亿、千万亿的交易、消息、会话和其他结构化元素中。
诸如汽车行业的场景还有很多,这里不一一举例。
广大的市场吸引了众多参与者,寻求在行业中分得一杯羹。
在云安全的行业参与者中,主要囊括了以下几种玩家:即传统安全服务商、底层基础设施平台方和新兴云安全提供商。在上一个时代存活下来的安全公司(如奇安信、亚信、启明星辰、天融信、绿盟和深信服等),借着云概念开启了第二春;在平台类公司中,还是阿里、腾讯、华为、百度等玩家;在新兴公司中,有山石网科、青藤云等公司。
03云安全道阻且长
场景的多样性,导致云安全产品的多元。从主机到虚拟机,从虚拟机到容器,云安全好像无所不能,贯穿了云时代的全部历史。但正如我们在系列文章中提到的那样,中国的软件公司的发展道路曲折,困难重重。
对于云安全公司来说,便遇到了以下问题:
目前急需要在云安全标准中进行统一;
大量公司仍然以软件外包形式存在,行业缺乏优秀标的;
企业规模过小,传统公司转型慢;
等等。
目前,国内的广大公司仍处于萌芽的发展阶段。背后的原因也十分深刻:其一,在获客上,以政企招标为主要形式,这样的形式进一步限制了企业规模。
其二,用户对于公有云的安全问题由来已久,关于云平台之中的安全责任更是用户较为担心的一点。这样的风险广泛存在于因地理位置、用户身份变更、法律的适用性等多方面因素。
在人的方面,更是取决于企业内数据资产管理者的安全意识和云安全厂商。应该如何制定云安全流程,出了问题应该如何解决等必要性问题缺乏前置解决方案。
第三,在获客上,以政企招标为主要形式,这样的形式进一步限制了云安全行业企业的规模。从广大安全公司的发展历史中,由于绝大部分公司起家于细分市场,目前正在各自的细分领域巩固实力。
有专家认为,未来的云安全属于智能化和数字化,但如何实现?截至目前,我们看到的现实是,绝大部分公司仍旧被限制在客户定制的囹圄之中。实现自动化仍然任重道远。
总之,云安全虽火,只是离成熟还需时日。
评论