文│ IDC 中国助理研究总监 王军民
作为全球数字化转型的基础设施,云计算已经在全球范围得到大规模的应用。企业上云后的 IT 环境变成混合云、多云架构,其网络暴露面变大,安全管理难度随之加大,云安全成为各行各业最为关注的焦点之一。与全球相比,中国的云安全市场有共性也有明显的差异。
一、云计算的快速发展带动网络安全市场规模不断增长
IDC 认为,云计算市场的快速发展是驱动全球网络安全产业结构发生变化的重要驱动力。例如,IDC 预测,全球基础设施硬件支出中云和传统环境占比将由 2019 年的 49.6% 上升到 2024 年底的62.8%,云计算市场增速明显。根据 IDC 的调研,未来全球 95% 的企业同时使用公有云和私有云,88% 的企业同时与 2 家以上云服务商合作。这些公司认为混合 IT 环境时面临的最大挑战就是安全问题。这刺激了企业在云安全方面的投入不断加大,带来了云安全服务和安全软件市场的快速增长,同时促进了网络安全整体市场的增长。
据 IDC 于今年 3 月发布的《2022 年 V1 全球网络安全支出指南》报告显示,到 2025 年,在 IT 安全软件、硬件、服务方面,中国网络安全市场的复合增长率仍将保持最高,达到 20.5%,高于全球10.4% 的平均水平。但是,中国网络安全市场规模与美国仍然保持明显的差距,2025 年中国市场预计是 215 亿美元,美国市场预计是 1031 亿美元。所以,伴随着数字化转型的进程,国内网络安全市场仍有很大的发展空间。
从网络安全市场结构来看,美国的发展规律比较清晰,即随着公有云技术的快速发展,IT 安全软件、服务市场占比不断加大。2021 年,美国安全软件、服务市场占比达到了 86%,而安全硬件市场仅仅占14%。近几年,中国网络安全市场也在向这个趋势发展,在整体市场规模保持快速增长的同时,IT 安全硬件市场占比在逐步下降,从 2018 年的 52% 下降到 2021 年底的 45%,而 IT 安全软件、服务市场则继续保持快速发展。产业结构的合理性是这个市场成熟与否的一个重要表现,我国网络安全产业结构近几年明显的变化成为我国网络安全市场将走向成熟的一个重要标志。
二、国内云安全市场的特点
国内云市场的发展与全球有所差异。国外公有云市场占据主流位置,国内由于存在大量组织机构自建的私有云和行业云,呈现出公有云市场和私有云/行业云市场并驾齐驱的发展态势。根据 IDC 的调研结果显示,2021 年,中国的私有云、行业云的市场规模是 284 亿美元,而公有云是 274 亿美元,市场规模基本相等。云市场发展的差异,使得中国的云安全市场与全球也有着明显的不同。
《2022 年 V1 全球网络安全支出指南》显示,我国 2021 年公有云安全市场规模达到 9.11 亿美元,占整体 IT 安全软件市场的 29%。如果考虑到私有云/行业云建设中的安全投入,这个数字将更多。但与上文提及的几百亿美元的云计算市场规模相比,云安全投入比例仍然极小。这意味着国内云安全市场有很大的发展潜力,随着上云企业的快速增多,对云安全的需求将更为旺盛。
同时,面向公有云与私有云/行业云市场,云安全技术提供商群体也有明显的不同。
公有云的安全核心是以公有云自身构建安全底座,并且提供各种云原生安全产品及服务,与租户遵从责任分担模型。一般公有云平台里的第三方安全产品与云的耦合度较弱,租户更希望购买云原生提供的安全产品及服务,导致公有云服务提供商实际也承担着公有云安全服务提供商的职能。参照IDC 全球云服务提供商 IaaS 信任感知指数,和全球的平均水平 15.3 分相比,国内的云服务商最高水平只能达到 11.6。这说明国内云服务提供商需要加强安全能力建设,不仅在安全方面,而且需要在隐私、合规等方面加强综合建设,才能提升整体的信任感知指数。
私有云/行业云的安全市场,采用的是“运动员”不能当“裁判员”的建设原则。通常承担云建设的企业,不提供安全服务,安全体系的建设由专业的第三方安全公司承担,这使得绝大多数的网络安全企业都可以参与到安全建设中来。
当然,云安全市场也有部分交集的地方,例如公有云安全服务提供商可以在私有云/行业云的安全市场拓展销售,反之,网络安全厂商也可以进入到公有云安全市场,通过订阅提供服务。但这种交集部分的市场规模相对较小。
三、云安全市场的热点技术
在云安全技术热点方面,IDC 于 2022 年 2 月发布了《IDC TechScape: Worldwide Cloud Security EnablingTechnologies, 2022》报告,定义了截至 2022 年初与云安全相关技术的系统评估。
IDC TechScape 类型报告会将热点技术划分为变革型技术(技术将重塑市场)、主导型技术(已有技术上的不断迭代更新)、机会型技术(满足某些特定场景需求下的技术)。报告提及的云安全热点技术共 12 个,包括:容器管理系统 Kubernetes 的安全态势管理,基础设施即代码(IaC),开发安全运营一体化(DevSecOps),零信任网络访问(ZTNA),容器(Containers),云安全配置管理/云工作负载保护平台(CSPM/CWPP),人工智能/机器学习,治理、风险和合规(GRC)、安全访问服务边缘(SASE)、云基础设施授权管理,机密计算,量子计算。其中,IDC 认为,Kubernetes 安全态势管理、基础架构即代码(IaC)、DevSecOps 属于变革型技术,将有可能重塑云安全市场。下文对这三个变革型技术做简要介绍。
(一)Kubernetes 安全态势管理
在私有云、公有云或混合云 IT 场景中,可部署的自动化技术如近些年出现的虚拟化、容器、容器引擎 Docker,以及现在流行的 Kubernetes (K8s),可以帮助安全团队有效提升运维效率。最初由谷歌开发并且开源的 K8s,现已成为基于容器的编排和部署工具。容器是从单体到基于微服务的重要技术基础应用程序,允许以更常规和一致的方式更新代码以添加新的功能,并“修补”新发现的漏洞。
Kubernetes和多云的普及,使得攻击面日益扩大。此时,提供自动化 Kubernetes 安全态势管理的第三方安全供应商(KSPM)的解决方案变得非常重要。另外,KSPM 解决方案还可以解决和监控最常见的违规原因——人为错误导致的配置错误。
(二)基础设施即代码(IaC)
基础设施即代码(IaC)是现代开发运营一体化(DevOps)流程的解决方案。IaC 是一种自动化工具/平台,它已迅速成为跨云安全管理和部署基础架构的标准。通过早期将 IaC 集成到持续集成/持续部署(CI/DI)管道,删除手动配置组件,开发人员可以减少人为错误,显著提高安全性。IaC 让应用在运行时识别和防止错误配置,在跨云 IT 环境中获得一致性,给编程带来了极大的便利性和安全性,让软件开发可以更快地进入实际应用阶段。
(三)DevSecOps
DevSecOps 代表开发、安全和运营。这是一种在整个 IT 生命周期中将安全性作为一项共同责任集成在一起的软件开发方法,通常是以“左移”为特征。
如今,许多公司将其软件开发生命周期自动化,向DevOps演变。DevOps是加速软件开发的重要举措,其特征包括:可以减少错误并产生更小的代码更改;更快地提升解决问题的平均时间;具备更高的测试可靠性和更快的发布速度。但是,DevOps 需要等到计划、编码、构建、测试和发布周期结束才评估安全问题,因而存在严重风险。DevSecOps 将安全测试左移,意味着安全隐患可以尽早、及时地被发现。因此,将安全团队融入整个开发过程中非常重要。
中国本地的云安全虽然总体上也包含上述的 12个云安全技术热点,但仍有部分差异,例如,托管安全服务、抗 DDoS 攻击服务等都是中国云安全市场的热点,在各类云市场中都有着明显的需求。
(本文刊登于《中国信息安全》杂志2022年第5期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。