云安全全景圖2.0:覆蓋9大安全領域、600+安全產品
隨著云計算戰略和架構的發展,確保云安全至關重要。面對快速變化的云安全產業,自2021年起,由零信任實驗室、3S-Lab軟件供應鏈安全實驗室、BSI業務安全推進計劃牽頭,中國信息通信研究院(以下簡稱“中國信通院”)組織開展云安全全景圖征集和研究工作。
繼去年可信云大會發布首個“云安全全景圖”之后,在今年召開的“2022可信云大會”上,中國信通院對云安全全景圖進行全新升級,正式發布“云安全全景圖2.0”。中國信通院云大所開源和軟件安全部副主任孔松對新版云安全全景圖進行全面解讀。
據孔松介紹,云安全全景圖2.0版本覆蓋云工作負載保護、網絡安全、數據安全、應用安全、身份和訪問安全、安全管理和運營、DevSecOps、業務安全、安全服務9大領域。相比1.0版本,2.0版本新增DevSecOps大類,力求通過梳理我國云安全產業發展,為云用戶構建安全體系提供指引和幫助。
云工作負載保護,增厚云上資產“安全墊”
企業上云與數字化轉型的深入發展促進數據中心IT架構不斷變革,多云、混合云部署成為常態,計算資源有物理機向虛擬機、容器、Serverless演進,傳統的安全思路和產品難以適應新的云計算環境,對云上資產的全面保護能力不足。對此,云工作負載保護作為守護云上資源的關鍵一環,在愈發惡劣的網絡安全態勢中發揮著不可替代的關鍵作用。
據中國信通院調查顯示,我國當前安全行業生態中,在云工作負載保護方面具有以下優勢:防護對象除主機、容器與其上的應用外還包含鏡像、鏡像倉庫等,做到了安全前置。入侵防護能力覆蓋絕大部分ATT&CK模型,并具備可擴展性。支持與威脅情報進行聯動,提高告警準確性。支持流量可視化,嚴格把控東西向流量通信。支持微隔離策略的自適應漂移。支持Agent的自適應部署與批量部署,簡化部署流程,降低工作量。
針對云工作負載保護,“云安全全景圖2.0”涵蓋主機安全、容器安全、微隔離3大類,其中主機安全共有24家企業入選,容器安全共有23家企業入選,微隔離共有11家企業入選。
網絡安全,數字化時代的首要議題
數字新業態不斷發展,如何在日漸復雜的數字環境中解決網絡層面風險,已成為企業的必答題。DDoS攻擊、網絡入侵等事件層出不窮,使得企業在發展過程中面臨多重威脅。網絡安全作為底線和根基,對于保障數字資產在存儲、傳輸和使用中的安全性具有至關重要的作用。
全景圖指出,國內網絡安全產業趨于成熟,業務中心逐漸由牢固根基轉變為靈活多效:在抵抗惡意攻擊方面,通過部署高防節點、智能流量調度等,有效清洗網絡層和應用層DDoS攻擊。在管理網絡流量方面,通過防火墻等產品彈性控制網絡流量,無形中保障聯網行為平穩運行。在預防非法入侵方面,通過有機結合攻防技術和攻擊特征庫,實現細粒度、全方位的異常檢測,實時保護數字環境安全。
在網絡安全細分領域,“云安全全景圖2.0”涵蓋DDoS、云防火墻、網絡入侵檢測3大類,其中DDoS共有20家企業入選,云防火墻共有14家企業入選,網絡入侵檢測共有13家企業入選。
數據安全,云安全長城的“基石”
數字化的發展趨勢,讓數據發揮出了更大的價值,但同時各項技術應用背后的數據安全風險也日益凸顯。近年來,頻發的數據泄露事件,引發外界對數據安全問題的極大關注。另一方面,隨著《數據安全法》、《個人信息保護法》等數據安全相關法律法規不斷健全,安全需求日益迫切,推動數據安全生態不斷發展。
全景圖指出,隨著數據安全領域的不斷發展,安全技術呈現三大新特征:一是,國密算法支持度有所提升,以滿足金融等重點行業監管需求;二是,充分釋放數據要素價值成為趨勢,企業紛紛探索利用聯邦學習等新技術解決數據流通安全問題;三是敏感數據識別、異常行為審計等智能化水平不斷提升。
在數據安全領域,“云安全全景圖2.0”涵蓋云加密機、密鑰管理、數據安全管理、數據防泄漏、數據脫敏、數據庫安全、數據流通與共享、數據備份與恢復、SSL證書/證書管理9大類。
其中,云加密機共有4家企業入選,密鑰管理共有9家企業入選、數據安全管理共有17家企業入選、數據防泄漏共有13家企業入選、數據脫敏共有9家企業入選、數據庫安全共有10家企業入選、數據流通與共享共有6家企業入選、數據備份與恢復共有7家企業入選、SSL證書/證書管理共有6家企業入選。
應用安全,構建縱深安全防御體系
數字化時代下,層出不窮的應用層安全威脅和漏洞已經成為了企業關注的重中之重。
全景圖指出,我國應用安全產業已日趨成熟,主要呈現出三個特點。一是,云WAF作為應用安全的領頭產品,API安全、漏洞掃描、網頁防篡改產品緊隨其后,為后續重點關注方向。二是,云WAF具備核心安全防護能力,Bot能力逐漸成為重點,以云原生接入服務的能力在逐步成熟當中。三是,數字化時代API增長迅速,其安全性受到了廣泛關注。
在應用安全方面,“云安全全景圖2.0”涵蓋云WAF、API安全、網頁防篡改、漏洞掃描、Web應用掃描及監控、勒索軟件防護、移動安全7大類。
其中,云WAF共有19家企業入選、API安全共有家16企業入選、網頁防篡改共有13家企業入選、漏洞掃描共有15家企業入選、Web應用掃描及監控共有12家企業入選、勒索軟件防護共有9家企業入選、移動安全共有11家企業入選。
身份和訪問安全,防御云威脅第一道防線
隨著云計算的蓬勃發展,身份認證和權限管理成為企業安全防護的基礎。隨著數字化轉型浪潮的來襲,企業業務云化后,身份認證和權限管理領域也變得更加復雜和多樣化。
全景圖指出,降低資源訪問過程中的安全風險,已成為企業數字化轉型過程中的首要任務。身份作為訪問控制的基石,為企業基于零信任理念構建現代化安全防護架構提供支撐。
具體到安全策略,體現在四個層面:一是,以身份而非網絡為中心,通過統一接入、統一訪問控制和權限體系,提供一致的訪問體驗。二是,零信任默認一切不可信,基于最小權限原則對所有訪問進行動態授權,可以對身份和訪問開展持續安全防護。三是,統一終端安全策略,將為終端資產提供一體化的安全保障。四是,加強對運維人員操作行為的監管與審計已成為訪問安全發展的必然趨勢。
在身份和訪問安全方面,“云安全全景圖2.0”涵蓋云IDaaS、零信任、SASE、堡壘機、終端安全5大類。其中,IDaaS共有9家企業入選、零信任共有家34企業入選、SASE共有16家企業入選、堡壘機共有14家企業入選、終端安全共有13家企業入選。
安全管理和運營,網絡安全落地的有力抓手
安全運營和管理作為安全團隊感知與響應安全事件的直接途徑,充當著安全團隊的感官與四肢,在安全運維中起決定性作用。
全景圖指出,我國當前安全行業生態中,在安全管理和運營方面具有四方面優勢。首先,安全態勢做到了可視化,為安全團隊全方面展示企業面臨的威脅與風險情況。其次,安全編排具備可視化劇本編輯器,降低編排門檻。第三,歸一策略將不同數據源的安全數據進行歸一化處理,集中展示。第四,利用人工智能與大數據分析技術建立威脅模型,從被動防御向主動威脅狩獵進發。
針對安全管理與運營,“云安全全景圖2.0”涵蓋云安全運營中心、態勢感知、UEBA、威脅情報、XDR、SOAR共6大類。其中,安全運營中心共有25家企業入選、態勢感知共有家18企業入選、UEBA共有7家企業入選、威脅情報共有8家企業入選、XDR共有11家企業入選、SOAR共有8家企業入選。
DevSecOps,關注軟件應用全生命周期安全風險
DevSecOps已成為DevOps生態系統中最熱門的流行語之一,支持在軟件開發生命周期的早期實現無縫的應用程序安全,而不是在發現漏洞后以高成本去解決。
經過多年的發展,DevSecOps貫穿全流程的研發運營安全理念已經深入人心,得到了廣泛認可。DevSecOps秉承安全前置理念,從軟件需求設計早期便考慮安全,從源頭處提升安全能力,已被證明可以有效、低成本的解決大量現存的安全問題,全面提升應用服務的整體安全能力,助推數字經濟的整體發展。
根據中國信通院觀察,國內DevSecOps產業發展呈現出兩個特點。一是,企業組織逐步重視可信研發運營安全理念,自上而下推動研運安全體系的落地,建設安全文化,打破研發與安全堡壘。二是,廠商開始積極布局,國內研發運營安全工具持續發展,不斷突破創新,適應當前開發模式,切實助力一線研發測試人員提升安全能力。
在DevSecOps領域,“云安全全景圖2.0”涵蓋DevSecOps平臺、SAST、IAST、RASP共4大類。其中,DevSecOps平臺共有15家企業入選、SAST共有家10企業入選、IAST共有6家企業入選、RASP共有9家企業入選。
業務安全,抵御數字化浪潮下的業務風險
數字化時代,企業的業務安全面臨更致命、更隱蔽的風險,團伙化、專業化的黑產侵入業務環節,不僅給企業造成重大經濟損失,同時次生災難所造成的損失更加難以用金錢來衡量。業務安全風險已成為近年來企業需重點關注的運營風險之一。
全景圖指出,我國業務安全產業發展呈現三個特點。第一,營銷安全與內容安全作為業務安全的先行部隊,交易、信貸、防偽溯源、知識產權等領域,為后續重點發展方向。第二,內容安全的合法和規范性,已成為關注的重點。第三,營銷安全、信貸安全、交易安全產業呈快速發展趨勢。
針對業務安全領域,“云安全全景圖2.0”涵蓋內容安全、交易安全、信貸安全、營銷安全、防偽溯源、交互安全、釣魚檢測、郵件安全、私域安全、風險情報、廣告欺詐、知識產權12大類。
其中,內容安全平臺共有15家企業入選、交易安全共有12家企業入選、信貸安全共有5家企業入選、營銷安全共有18家企業入選、防偽溯源共有5家企業入選、交互安全共有8家企業入選、釣魚檢測共有7家企業入選、郵件安全共有7家企業入選、私域安全共有3家企業入選、風險情報共有11家企業入選、廣告欺詐共有9家企業入選、知識產權共有3家企業入選。
安全服務,“管家式”服務筑牢安全防線
安全服務是企業安全管理不容忽視的環節,作為連接人與機器的橋梁,已滲透到企業安全建設全流程中。從企業安全能力提升的路徑來看,安全工具只是構建安全能力的基礎,在采購安全工具之后,如何用好安全工具,如何發揮安全工具最大的價值,往往需要在安全團隊、安全策略以及安全體系等方面進行持續投入。
全景圖指出,國內安全服務市場正處于蓬勃上升期,由于政企用戶對安全服務的需求和采購持續增加,導致安全服務行業在數字化轉型趨勢下備受重視。
具體而言,安全培訓專注打造專業安全人才,提升業務安全管理水平,實現降本增效;安全測評塑造企業業務立體安全形象,推動行業服務標準化、規范化;安全響應有效提高企業承擔風險的能力,竭力保障安全事故損失最小化
在安全服務方面,“云安全全景圖2.0”涵蓋安全咨詢、滲透測試、風險評估、安全培訓、應急響應5大類。其中安全咨詢共有16家企業入選、滲透測試共有23家企業入選、風險評估共有16家企業入選、安全培訓共有9家企業入選、應急響應共有15家企業入選。
文章來源:云計算開源產業聯盟
