云安全将进入黄金时代 - Gartner 报告解读

随着云技术在中国的不断发展，中国的云服务市场也越来越受到重视，与整个云计算市场伴生发展的云安全越来越受到重视。

2021年的调查就显示，目前全球不同规模企业所面临的的上云挑战中，安全性已经排到了首位。在可见的未来，云安全已经进入一个发展的黄金阶段。

针对云安全在中国的发展情况，Gartner 根据其对中国安全市场的研究和对中国安全产品供应商的评估，发布了分析报告《中国云安全市场概览》。

以往 Gartner 更多关注于全球市场的情况，本次的报告是第一次单独针对中国的云安全市场给出深度的分析和建议。

虽然中国是一个独特的市场，在云安全领域也面临一些全球挑战：如公有云的信任度问题，另外就是一些具有独特性的本土问题：像何如确认云服务商的安全性和独立服务商的选择。

报告围绕中国云安全和风险管理的一些重点问题进行讨论，大致有以下几点：

• 云安全责任共担模型
• 云安全能力建设
• 云安全架构建立。
• 云服务商风险评估模型

云安全责任共担模型

云安全领域首先要理解的就是云安全责任共担模型。组织和企业需根据云部署的类型来理解其安全责任，通过与云服务商分担一些其他安全责任，从而专注于保护其最核心的资产，并降低对数据位置的关注。

安全能力建设

从企业自身的角度，在人员能力方面最核心的是建立云安全能力。传统安全的相关知识不适用于保护所有云资源，组织企业需建立云安全能力。

云安全架构师成为一个突出角色。为解决云安全复杂性，组织和企业需配备云安全架构师以负责引领云安全文化变革、制定云安全策略、开发和协调云安全的安全技术和工具采用、聘用或培训云安全工程师。

云安全工程师。云安全工程师是掌握网络安全、服务器安全、漏洞管理、应用程序安全和数据安全等广泛安全领域知识专业人员，云安全工程师来实现深度技术支持。

云安全架构建立

在云计算中一个核心内容就是架构，因为云的机构改变了从基础设施到应用的多种架构模型。同时部署模式的多样性及责任分摊的复杂性使用户的管理难度提升，这样我们需要配备专业的工具来安全地使用云。这其中关键的工具包括但不限于：

本地云安全工具、云安全访问代理(CASB)、云工作负载保护平台(CWPP)、云安全态势管理(CSPM)等、SaaS安全态势管理(SSPM)、SaaS管理平台(SMP)等、开源工具等、云原生应用程序保护平台（CNAPP）

开源工具是云安全的重要选择。开源工具为云安全提供灵活性与创新性，也会带来新的风险，需正确管理开放源代码带来的风险与回报。通常而言，非本土供应商并不向中国境内提供所有产品与服务，他们要么商要么与本地基础设施运营商合作，要么让用户通过跨境连接获得全球服务。而中国供应商为避免与提供公有云工具的供应商竞争，多专注于内部云和私有云部署的安全工具，而非公有云，尤其是SaaS，使公有云在中国的采用率还没有发挥出全部潜力。随着全球供应商逐步提高在中国的服务可行性，以及本土供应商投资覆盖更多场景的产品，中国与世界的技术差距最终将变小。

云安全配置管理平台（CSPM）

公有云IaaS和PaaS服务中的高度自动化和用户自助服务，更加突出了正确的云配置和合规性的重要性。一个错误就可能立即暴露出数千个系统或大量敏感数据。云服务的采用率不断增长，加之平台服务的数量不断增加，而云技能（包括安全性）却相对匮乏，这让企业信息和工作负载暴露无遗。雪上加霜的是，对程序化云基础架构缺乏全面了解，这意味着很长一段时间都不会发现配置不正确和不合规问题。这就导致了，即便底层的云提供商基础架构本身是安全的，但大多数企业都没有准确的流程、成熟工具或规模来确保安全使用云服务。

公有云IaaS和PaaS服务中的高度自动化和用户自助服务，更加突出了正确的云配置和合规性的重要性。一个错误就可能立即暴露出数千个系统或大量敏感数据。云服务的采用率不断增长，加之平台服务的数量不断增加，而云技能（包括安全性）却相对匮乏，这让企业信息和工作负载暴露无遗。雪上加霜的是，对程序化云基础架构缺乏全面了解，这意味着很长一段时间都不会发现配置不正确和不合规问题。这就导致了，即便底层的云提供商基础架构本身是安全的，但大多数企业都没有准确的流程、成熟工具或规模来确保安全使用云服务。

云原生应用保护平（CNAPP）

Cloud-Native Application Protection Platform，CNAPP是新上成熟度周期的一个产品，也是新定义的一个产品。CNAPP在CSPM和CWPP的融合中引入了应用程序和数据上下文，以保护主机和工作负载，包括VM、容器和无服务器（serverless）功能。

CNAPP整合了大量过去封闭的能力，包括容器扫描、云安全态势管理、基础设施如扫码、云基础设施授权管理，一些本地厂商的产品旨在解决云原生应用程序的安全需求，但目前并没有覆盖所有领域的能力。

CSP风险评估模型

报告采用的评估方法为国际通用的CSP评估模型。

中国云安全市场未来可期

尽管目前中国在云计算和云原生技术的发展上与西方发达国家仍存在一定差距，但云安全早已受到行业企业以及市场客户的日益关注与重视。当前已有很多国内厂商能够提供CWPP相关服务，相信随着对PaaS、容器、和云集成等能力的进一步完善，中国市场存在广阔的增长空间。

云安全服务作为网络安全服务的最新服务形式，将云计算技术和业务模式应用于网络安全领域，以云的方式交付安全能力，实现了安全即服务的理念。在网络攻击更加复杂化的环境下，云安全服务成为网络安全重要发展方向是不可逆转的趋势。

Gartner预计，到2024年，中国终端用户在系统基础设施和基础设施软件上的支出将有近40%转移到云服务支出。这一结构性的转移使得云安全成为中国安全和风险管理人优先需要关注的重点。

关于HummerRisk

HummerRisk 是开源的云原生安全平台，以非侵入的方式解决云原生的安全和治理问题，核心能力包括混合云的安全治理和K8S容器云安全检测。

https://github.com/HummerRisk/HummerRisk

HummerRisk 覆盖了Gartner定义的CSPM和CNAPP两部分，为云原生环境安全提供了出色的工具支撑。