云安全知識深度解析

一.“云安全”興起正當其時

1.1、什么是云安全？

市場上對云安全的定義，因為角度的不同，會有不同的定義和范圍，我們在本篇報告中，主要探討的是云平臺自身的安全防護專題。也即，“云安全”是指對云平臺自身的安全保護，主要利用面向云架構/環境的安全策略、技術產品，解決云環境下的安全問題，提升云平臺自身的安全性，保障云計算業務的可用性、數據機密性和完整性、隱私權的保護等。

簡單的來看，目前的云安全在一定程度上，是傳統信息安全領域對“云計算基礎架構”升級，以及在云計算環境下面臨的一些新的安全挑戰。在云計算時代，云上的安全，同傳統的信息安全類似的地方是在細分領域會大致相仿，但交付方式會有相應的差異，以及一些新的安全挑戰帶來的技術和產品的創新。目前，云安全產品的主要交付方式有“鏡像”和“SaaS”兩種，為便于理解，我們不妨將“傳統信息安全產品”發展到“云安全產品”的過程定義為“傳統安全產品的SaaS化”，這實際上也是對云計算“自動化、彈性、即需即用”等特點的適應。

云計算時代下，整體的IT基礎架構發生了根本性的變化，信息安全的防護，越來越多地需要用戶（云租戶）密切參與，即整體的安全責任是由云租戶和云服務商共擔。“誰分擔得多，誰分擔得少”主要隨著所采取的服務模式（SaaS、PaaS和IaaS）的不同而不同。

（1）SaaS：應用軟件層的安全措施由客戶和云服務商分擔，其他安全措施由云服務商實施；

（2）PaaS：軟件平臺層的安全措施由客戶和云服務商分擔。客戶負責自己開發和部署的應用及其運行環境的安全，其他安全措施由云服務商實施；

（3）IaaS：虛擬化計算資源層的安全措施由客戶和云服務商分擔。客戶負責自己部署的操作系統、運行環境和應用安全。云服務商負責虛擬機監視器（Hypervisor）及底層資源的安全。

1.2、云安全正興起，產業并購和融資加速

最近幾年，云安全領域正在逐漸成為投資和并購的熱點，各大巨頭紛紛進行布局：隨著國內外企業不斷上云，傳統安全防護措施已經不能滿足云環境安全所提出的需要。近幾年，包括微軟、思科、百度等在內的各大IT安全解決方案提供商紛紛并購云安全領域初創公司，加速在云安全領域的布局。2014-2015年安全行業重大并購案中，涉及云安全行業的交易占多數（表1）；除此以外，云安全行業初創公司的融資也是一派火熱場面（表2）。

二.時代產物&需求迫切，云安全行業空間持續釋放

2.1、基礎架構的改變是信息安全“云化”的根本原因

“云安全”的誕生其實是信息安全對“云架構”的適應的結果，可以說是云環境下的信息安全。信息安全的演變是由整個IT基礎架構的變遷所決定的。IT基礎架構先后經歷了“傳統IT基礎架構”、“虛擬化”、“云計算”三個階段，目前還處于“三者并存、后者逐步代替前者”的階段，“云計算”將成為未來基礎架構演進的最終形態。

傳統的IT基礎架構在網絡邊界內主要有3種計算資源：隔離區（DMZ）內的計算資源、關鍵任務服務器、終端。最初的傳統網絡安全防護措施主要以網絡邊界上的防御為主，邊界內的主機一般不具有或只具有很弱的防御能力。網絡邊界上的防護措施主要由防火墻、防惡意軟件、入侵檢測系統（IDS）和入侵防御系統（IPS）組成。邊界內的主機防御主要是一些防惡意軟件。

但是網絡邊界上的防護措施并不能阻隔所有的威脅。以防火墻為例，首先其自身可能存在設計上的漏洞；其次，內部黑客可以從網絡內部發起攻擊；再次，外部的黑客可以通過繞過防火墻的連接（如撥號上網）等方式攻入內部網絡。所以有必要對邊界內的主機進行更深層次的防護。如下圖所示，邊界內的主機也和網絡邊界一樣，同樣采取防火墻、防惡意軟件、IDS/IPS的方式，與網絡邊界上的安全措施共同組成一個防護網。

虛擬化技術使得實時創建、刪除虛擬機，并在虛擬機之間遷移應用和數據成為可能。這也要求安全措施能覆蓋至每一個邏輯主機節點上，即將原來只延伸到物理主機上的防護擴展至每一個虛擬機（VM）上。

在云計算時代，越來越多的企業將其業務遷移到云端，并云端運營其業務或者進行數據災備存儲等。IT基礎資源集中化的趨勢，以及客戶的不斷上云，將會使得云安全的變得愈來愈重要。如果云平臺的安全等級以及防護出現問題，其結果將會是致命的。因為，我們看到，主流的云計算廠商及供應商，均在云安全領域進行了巨大的投入和產品升級，以應對云計算時代帶來爆發的云安全需求。

2.2、企業不斷上云，“云安全”需求放“量”

當前，越來越多未使用云的企業選擇將部分業務遷移至群上，以前對云稍作嘗試的企業也越來越加深對云的使用，將更多的業務放在云上進行。一方面，隨著越來越多的企業往云上聚集，云服務提供商對云上業務、數據的安全所肩負的責任擔子越來越重，勢必會對安全問題更加謹慎，將與專業的云安全提供商進行更密切的合作，所以來自云服務提供商的安全需求將進一步釋放；另一方面，正如第一節中所提及的那樣，云上的安全責任是云服務提供商與租戶共擔的，所以企業級客戶對云安全的需求也將持續增加。

2.3、“云+傳統信息安全”進行時，“質”上有待提升

正如我們之前在第一節中所定義的那樣，可以將云安全理解為傳統信息安全“云化”的過程，但是這種“云化”的過程還遠沒有結束。

為了說明這一結論，我們先向大家詳細介紹“云”和“傳統信息安全”要在哪些方面相結合？“云”對“傳統信息安全”提出了哪些新的要求？最后我們將通過云聯盟（CSA）每年發布的云安全領域的“十大威脅”來說明“傳統信息安全云化”的過程還遠沒有結束。

云安全與傳統的信息安全所涉及的安全層次基本相同，包括物理安全、主機安全、網絡安全、邊界安全、應用安全、數據安全、管理安全7大類。

兩者在本質上沒有區別，只不過由于云計算具有泛在網絡訪問、多租戶、快速彈性伸縮等特點，致使云環境對信息安全的某些層次提出了新的要求。由于云計算采用了虛擬化技術，改變了傳統IT基礎架構，因此對邊界安全提出了新的要求，進而實現云環境下的虛擬化安全；由于用戶將數據和業務系統遷移至云上，因而對應用安全和數據安全的安全防護等級要求更高；由于許多用戶將業務部署在私有云、公有云、混合云不同架構的云上，因此要求有使用于混合架構的管理安全方案出現。

邊界安全：虛擬化技術是云計算中最關鍵、最核心的技術原動力之一。虛擬化架構由主機、虛擬化層軟件和虛擬機構成，目前主流的虛擬化架構是裸機虛擬化。雖然采用虛擬化技術使云計算實現了多租戶、更佳的服務器利用率和數據中心整合等多個好處，但是隨著虛擬化技術的廣泛使用，針對虛擬化架構的安全威脅和攻擊手段也日益增多，為了實現“云自身的安全”，必須加強傳統信息安全領域中的邊界安全。

數據安全：在傳統模式下，用戶的數據和業務系統都位于自己的數據中心，在其直接管理和控制之內，但是在云環境里用戶將數據和業務系統遷移至云上，使得數據的所有權和管理權分離。云計算架構在傳統服務器設施上，所以傳統IT架構上的數據安全問題都有可能在云計算中出現；但是由于云計算具有超大規模、虛擬化、按需自助服務等特征，是一種全新的服務模式，所以云環境下在數據生命周期的每個階段都會出現一系列新的數據安全問題。

應用安全：對于提供各種云服務（IaaS、PaaS、SaaS）的供應商而言，第一，Web安全方面，由于云服務選擇將Web作為絕大多數應用的入口，因而其面臨的各種攻擊可能都會轉嫁至云應用上；第二，內容安全方面，云計算通過互聯網提供服務，網絡上的信息內容安全問題（惡意郵件、虛假欺詐信息等）將不可避免地影響云服務的信譽；第三，用戶管理方面，當前云應用中簡單的身份認證和不嚴格的訪問控制給許多黑客提供了可趁之機。對于將應用遷移至云上的企業而言，在遷移過程中可能會涉及遷移安全、風險評估等諸多問題。

管理安全：前面所提及的都是“技術”層面上的安全，而“管理”意義上的安全同樣重要，對于“云平臺”而言，云安全產品和云安全管理相當于其左膀右臂。在傳統的信息服務平臺中，安全管理主要負責監視和記錄系統中的服務器、網絡設備以及所有應用系統的安全狀況。和傳統平臺相比，云安全管理需要進行的監管范圍更大，所需要的監管力度也更強，它需要負責監視和記錄云平臺中重要的服務器、網絡設備及所有應用的安全情況，也需要對所涉及的計算機、網絡以及應用系統的安全機制實施統一管理、統一監控、協同防護，從而發揮安全機制的整體作用 

從云安全聯盟（CSA）在2016年和2013年發布的報告來看，對云安全構成最大威脅的安全問題大部分都是傳統信息安全領域的陳疴舊疾。信息安全的攻與防從來都是“道高一尺，魔高一丈”的關系，在黑客層出不窮且攻擊手段不斷強大的今天，防御能力還有很大的提升的空間。任何一種威脅攻擊的升級都是對信息安全防御能力的刺激，從而促使新技術的誕生；而技術產品化之后無疑又是一次對云安全產業乃至信息安全產業的推動。因此在防御“質”量上仍然有很大提升空間，云安全還有很長的路要走。

2.4、全球30億美元級云安全服務產業仍將快速增長

從Gartner的市場調研和預測報告的數據綜合來看，目前全球云安全服務市場規模大約為36億美元，整體的云安全服務市場規模增長將會達到23%，預計到2022年，整體市場規模將達到120億美元左右。

而聚焦到國內，我們注意會有這樣兩個特點：（1）國內云計算整體的市場規模占全球總規模的絕對值相對較少，但增速顯著快于全球的平均增速，顯著說明了國內云計算正處于爆發期；（2）云安全市場尚處于起步階段，整體的市場規模會隨云計算市場增長而快速崛起。據IDC的預測，2014-2019年國內信息安全市場年均復合增長率為16.6%，預計2019年將會達到48.22億美元。我們認為，未來3-5年，信息安全的整體的增長，將會有相當一部分來自于云安全需求的迅猛增長。

三.云安全升級，現在只是一個開始

3.1、趨勢一：“大數據+機器學習+云安全”實現主動智能

首先，傳統信息安全領域面臨的最大困境在于只能做到事后防御，在各種攻擊面前顯得過于被動且無效。以監測惡意用戶為例，通常的做法嚴重依賴特征碼，例如IP地址黑名單（為便于理解，可以類比于手機的黑名單：通常有廣告推銷或者電信欺詐這類電話撥打到用戶的手機并接通后才知道這是騷擾電話，之后才加入到黑名單以避免被騷擾）。而且精明的犯罪只需稍稍改變一下路徑就能戰勝特征碼。監測惡意用戶只是傳統防御手段顯得無比“雞肋”的一個很小的縮影，在紛繁復雜的信息安全領域，“被動防御”是全行業的通病。其次，傳統信息安全領域有許多環節都是靠人工完成的，例如病毒代碼編寫和配置等，在強大的攻擊面前效率極低。

大數據和人工智能正在飛速改變著我們身邊的方方面面。“大數據+機器學習+云安全”也正在變革著信息安全領域。正如機器替代人工呼叫中心、代替人類洗衣掃地一樣，機器也正在代替人類分析員以最快的速度和效率阻斷各種威脅行為和惡意活動。而若想達到這一效果，就必須依靠大量的數據“訓練”機器，讓機器從各種案例中進行學習，數據越多，機器的性能優勢也就越明顯。目前，國內外有許多初創公司已經在利用“機器”來驅動安全了，國外包括Invincea ,Cylance , Exabeam 和Argyle Data；國內包括阿里云和綠盟科技的“態勢感知”產品、瀚思的大數據安全分析產品等等。

3.2、趨勢二：云安全為“萬物互聯”保駕護航

云計算真正發展的時代是物聯網的全面普及，計算無處不在，網絡無處不在。目前我國5G網絡第一階段試驗測試已經完畢，雖然離物聯網全面普及還有很長的距離，但是物聯網正在順利推進卻是一個不爭的事實。Gartner發布報告預測2016年全球將有64億臺聯網設備得到使用，比2015年增長30%，2018年聯網設備將達到114億臺；2015年物聯網安全投入為2.815億美元，2016年將增長23.7%，即3.48億美元，2018年將達到5.47億美元。

云安全實際上是物聯網安全的重要組成部分，原因有四：“端”方面，處于感知層的各種感知設備將數據經由網絡層傳輸至云平臺進行處理的過程可以理解為各種終端對云進行訪問的過程，而云訪問安全本來就是云安全的重要組成部分；“管”方面，由于“萬物互聯”必然帶來海量數據，其所涉及的威脅和攻擊必然更加復雜，對大規模數據的保護是傳統信息安全的防護方法所無法做到的，而云安全可以；“云”方面，物聯網的處理層主要是云計算平臺，負責對各類數據進行計算處理，對處理層進行安全防護實際上就是對云自身進行防護；“應用層”方面，目前越來越多的應用開始部署在云上，云安全是這些應用最天然的守護者。隨著物聯網的有序推進，云安全還將迎來廣闊的市場空間。

3.3、趨勢三：新技術不斷涌現，但國內市場尚未落地

Gartner分別在2014年和2016年分布了信息安全十大技術，兩年間，均有與云安全相關的技術上榜。其中“云訪問中的安全代理（CASB）”技術兩度上榜，近幾年也是云安全領域熱點專題，主要用于云身份管理。國內外云安全領域的領導者也紛紛開始布局CASB，例如Web安全網關市場的領導者BlueGoat在2015年收購了兩家云安全訪問代理公司Perspecsys和Elastica；微軟在2017年收購了Adallom；思科在2016年7月宣布計劃收購CloudLock。其他可以重點關注的云安全領域中的熱點技術還有2014年發布的“軟件定義的信息安全”，主要是對傳統安全能力的解耦和按需重構。2016年發布的“微隔離和流可視性”技術是一種更細粒度的網絡隔離技術，主要用于云計算環境下的安全，尤其是針對云中東西向流量（虛擬機之間）的安全保護。國外云計算水平領先于國內，許多技術國外已經落地，但是國內尚處于研究階段，然而能率先將熱點專題技術落地的公司無疑將會是最先引領市場并將具備很強的市場競爭實力，國內云安全行業尚待領導者出現。

四.各類競爭者各具優勢，共同角逐云安全市場

全球云安全市場主要由四種參與者組成：云平臺服務提供商（如阿里云、騰訊云、金山云、亞馬遜AWS、Salesforce等）；專業的云安全解決方案提供商（往往值云安全初創公司，如Zscaler、Symplified、安全狗、云鎖等）；傳統IT安全解決方案提供商（如趨勢科技、賽門鐵克、邁克菲、360等）；大型IT廠商（IBM、惠普、英特爾等）。

云平臺服務提供商在云安全領域中的分工比較特殊。下面具體以阿里云和騰訊云為例，說明云平臺服務提供商在云安全領域所扮演的角色。

云上的安全有明確的責任劃分，并且隨租戶所采取的云服務模式（IaaS、PaaS、SaaS）的不同而不同（見圖2）。阿里云作為國內知名的IaaS云平臺服務提供商，它所采取的風險共擔模式具有代表性，可說明眾多IaaS提供商的一般情況——即阿里云負責云基礎設施層面的安全，用戶則要對自己的虛擬化層以上負責。在虛擬化層，阿里云同時提供云盾以及通過引入第三方生態合作伙伴的方式來提供安全服務，這種安全責任共擔模式最終的目的是幫助用戶減輕安全運營負擔，更專注于核心業務。

騰訊云與阿里云的安全責任劃分大致相同，主要差別在于其提供的云安全產品所覆蓋的領域上的不同。其安全防護可分為三個方面：云基礎設施安全、云租戶安全、業務安全。其中騰訊云安全團隊的工作重點是對基礎設施的保障；云租戶安全和業務安全一部分自己做，僅提供標準化安全服務，另一部分開放給技術合作伙伴，來給不同行業的客戶提供定制化的安全服務。騰訊云安全總監周斌在2016年7月的騰訊“云+未來”峰會表示：“在云安全生態方面，騰訊云無意成為專業的安全廠商，而是把重點放在提供標準化或說通用化的解決方案上，為云的客戶提供穩定可靠的基礎防護能力，比如異地登錄、漏洞掃描、主機安全等，這些基礎的服務都免費提供給云上的用戶。企業對安全定制化需求或是高級服務能力需求，如詳細的運維審計、數據庫審計等需求，騰訊云更希望由合作伙伴來滿足。簡而言之，就是把專業的事情交給專業的安全廠商去做通過安全生態的建設。”

云平臺提供商所提供的云安全產品主要用于滿足虛擬層之上的安全需求（即云租戶自己負責的那部分），亦采用按需付費的形式收費。從表7可以觀察到云服務提供商的云安全產品所覆蓋的細分領域并不完全一致。我們通過調研部分客戶了解到，阿里云租戶只需購買Web應用防火墻和安騎士即可滿足日常的基本安全需求，但是還需根據自身業務特點采購DDoS高防（例如雙十一期間的電商）、數據加密服務等其他安全產品。除此之外值得注意的是：云平臺提供商基本上都與第三方安全廠商建立了技術合作伙伴關系，將用戶所負責的那部分安全需求開放給第三方合作伙伴，但是我們經過分析發現，云平臺服務提供商與第三方安全廠商所提供的部分產品之間是存在競爭的，例如阿里云的“態勢感知”和“Web應用防火墻”兩款產品與其合伙伙伴綠盟科技的“極光掃描”產品同樣具有漏洞掃描功能，用戶往往擇一即可。

綜上，我們可以得出以下結論：

（1）云平臺服務提供商與租戶之前有著明確的安全責任劃分：以IaaS為例，云平臺服務提供商只負責云基礎設施的安全，虛擬層之上的安全問題由云租戶負責；

（2）雖然IaaS云平臺提供商責任只到云基礎設施為止，但是提供商均推出多種云安全產品滿足虛擬層之上的安全需求（云租戶負責的部分），欲求在云安全市場分得一杯羹；

（3）不同云平臺服務提供商其安全產品所覆蓋的細分領域不同；

（4）云平臺服務提供商均與專業的第三方安全廠商建立了技術合作伙伴關系，將云租戶所負責的那部分安全需求開放給第三方安全廠商，但是兩者在部分產品功能上有重合之處，故而既為合作，又為競爭關系。

接下來的篇幅我們主要分析專業云安全提供商（初創公司）、傳統IT安全解決方案提供商、大型IT提供商各自在與同類型的公司競爭時，具有什么特點的公司會脫穎而出，我們主要以每一類型企業中某一細分領域領導者公司案例的形式展開分析。

4.1、專業云安全提供商靠持續創新能力引領市場

專業的云安全提供商：這類提供商不具備為垂直領域提供安全解決方案的經驗，主要是靠其獨有的專利技術在云安全市場立足。專業的云安全提供商往往擁有在技術上領先的云安全產品，但是這類提供商的劣勢在于地域上的業務拓展。其次，專業的云安全提供商基本上都是初創企業，相比于在IT領域深耕多年的傳統企業而言，不具有客戶基礎。代表型的企業有Zscaler、Symplified、CloudPassage、Dome9 Security。

Zscaler成立于2008年，總部位于美國加利福利亞，是基于云的Web安全網關（SWG）專業提供商，即把Web安全網關作為SaaS服務來交付，其服務既可以保護數據和應用安全，也可以保護云基礎設施。Zscaler一直堅信自己能夠“像Salesforce變革CRM市場一樣變革SWG市場”。Zscaler連續6年被Gartner評為SWG市場的魔力象限領導者。2015年Zscaler為分布在全球185個國家的近5000多家客戶提供服務，是2014年客戶數量的2倍。2016年6月Gartner預測Zscaler在基于云的SWG市場上占有50%的市場份額，是SWG市場中增長速度最快的提供商。

在2008年以前，Web安全網關市場（SWG）就一直被以下幾類廠商占據：硬件設備廠商，如URL過濾領域的領導廠商Websense公司；傳統的反病毒廠商，如邁克菲、趨勢科技和Sophos公司；以及電子郵件安全廠商，如Secure Computing公司（CipherTrust）和思科公司（通過收購CipherTrust的競爭對手IronPort公司）。那么Zscaler為何能通過提供SaaS服務的形式打破原有格局？又是為何能從創立的第四年至今就一直穩居行業領導者的位置？而其他處于領導地位的競爭對手又是如何沒落的呢？

首先來回答第一個問題：第一，Zscaler是全球最早將Web安全作為SaaS服務來提供的兩家公司之一，另外一家是Purewire，具有先發優勢。第二，在Zscaler出現之前，許多公司苦于諸如桌面反惡意軟件、防火墻和嵌入式入侵防御系統等單點設備只具備部分功能，而無法從整體上全面了解防范網絡釣魚、病毒及惡意軟件的情況，而Zscaler能基于云提供提供了URL過濾、HTTP流量掃描、用戶Web訪問控制、應用程序控制、數據防丟失（DLP）等綜合服務。再次，SaaS緩解了企業購買安全設備、應對資本預算以及管理及維護設備的許多問題，而且Web安全是企業所愿意外包出去的項目。Zscaler在解決安全設備單點功能、通過SaaS將企業的資本支出（CAPAX）變為運營支出（OPEX），極大地縮短了企業Web安全的部署周期，讓大中小型企業以最小的成本獲得性價比最高的服務，真正實現Web安全的“按需付費、即需即用”，對客戶的痛點有著精準的把握。因此能成功打破原有的SWG市場格局。

第二個問題：憑借獨特的基于云的架構、快速的功能開發、全球性的執行節點、在全球大中小型市場中的驚人增速，Zscaler從2011年開始進入Gartner安全網關市場魔力象限的“領導者”象限，直到2016年仍然是SWG市場的領軍者。究其原因可總結為以下幾點：

（1）通過持續創新云功能引領市場：例如新型的Zscaler Private Access可以替代VPN；Nanolog Streaming Service可以實時向SIEM系統輸出日志。Zscaler在2015年12月推出了Zscaler App和the VZEN virtual proxy兩款產品后，緊接著在2016年4月又推出了ZscalerPrivate Access和Zscaler App兩款產品，不斷豐富云安全平臺的附加可選功能，有利于滿足客戶的多元化需求，其持續創新能力可見一斑。

（2）在所有安全Web網關提供商中，Zscaler擁有全球最大的云覆蓋率：Zscaler在全球30個國家擁有100多個數據中心，而傳統安全廠商趨勢科技卻只在10個國家擁有約14個數據中心。云覆蓋率高的好處是可以保證客戶的網絡流量以最快的速度傳至最近的節點并進行安全處理。客戶必將選擇同行中能提供最高效服務的供應商。

（3）強大的技術伙伴支持網絡：Zscaler的每一個創新產品都需要技術伙伴的支持，例如Zscaler新推出的Nanolog流服務（NSS）產品主要功能是將網絡日志發送到客戶的安全信息和事件管理系統（SIEM）中，以加強SIEM的日志搜集能力，Nanolog必須與這些SIEM系統整合，產品成功與否其關鍵就在于SIEM解決方案提供商的技術支持。而目前全球主流的SIEM解決方案主要有惠普的Arcsight，IBM的SecurityQradar和Splunk等，Zscaler已經成功地與這些企業建立了技術合作伙伴關系。除了SIEM領域的合作，Zscaler與云端訪問安全代理（CASB）、數據丟失防護（DLP）、企業移動管理（EMM）、身份和訪問管理（IAM）、網絡和廣域網優化、SD-WLAN等細分領域的行業領導者都有十分緊密的技術合作。

第三個問題可以通過分析兩家代表性公司而窺知一二，第一家是傳統安全市場極具競爭力的企業之一——趨勢科技；第二家則代表了大型IT企業——思科。

趨勢科技從2012年開始，在SWG市場上的地位就不斷下滑，主要體現在執行力下降上。目前趨勢科技安全網關產品主要由虛擬設備IWSVA和云安全服務IWSaaS構成。在SWG市場上不保其“領導者”地位的主要原因有點：第一，在提供基于云的SWG服務上起步較晚。雖然它曾計劃推出支持移動用戶的云服務，但是直至2012年都始終沒有解決這一問題，在2013年四季度才推出基于云的解決方案；第二，其產品因為一直不具備“企業級”特征而飽受詬病，例如在2012年時，其安全Web網關解決方案IWS就作為一個附加型的套件或功能模塊，而不是作為一個單獨的產品銷售，另外，大型企業所需要的“基于角色的高級管理”、DLP支持等功能是趨勢科技的解決方案所不具備的。

思科在2007年通過并購IronPort從而開始進入SWG本地設備市場，在2009年通過并購ScanSafe進入SWG云服務市場。但是思科從2014年開始市場地位逐漸下降，并在2015年退到挑戰者領域。其主要原因是思科未能成功整合IronPort和ScanSafe的業務和產品，其SWG解決方案不能同時適應本地、私有云、公有云等所組成的混合架構。許多大型企業多采用混合云，將核心業務保留在本地或私有云，將非核心業務放在公有云上，思科顯然不能滿足這類客戶的需求。

綜上，我們可以看出，專業的云安全服務提供商有機會在云安全的某一個細分領域勝出。能超越傳統安全廠商、大型IT提供商的專業云安全服務提供商具備但不限于以下特征：具備先發優勢并且精準把握用戶需求、能夠持續創新推出新產品以豐富云服務功能進而滿足客戶的多元化需求、在全球擁有極高的云覆蓋率（數據中心數量）、強大的技術伙伴支持。

除此之外，傳統安全廠商和大型IT提供商可能但不限于因為以下原因而失去在某一個云安全細分市場的領先地位：進入安全云市場的時間較晚導致服務沒有最早進入的行業領導者那么成熟、忽略了某一部分客戶群體的需求（例如大型企業）、并購整合效果不佳。

4.2、傳統IT安全解決方案提供商是最天然的云安全提供商

傳統IT安全提供商：這類提供商按照其業務涉及領域可劃分為兩類，即綜合性的大型IT安全解決方案提供商、特定細分安全領域的提供商。我們認為他們的最大的優勢都在于其深耕多年的技術積累。通過改進其技術以適應云架構，從而成為最天然的云安全提供商。

綜合性的大型IT安全解決方案提供商在IT安全市場已經經營多年，業務的地域覆蓋面廣且具有深厚的客戶基礎，往往能憑借其強大的品牌效應在市場中處于有利地位。憑借其現有的合作伙伴關系網，通常能快速切入新的市場領域。代表性企業有趨勢科技、邁克菲、賽門鐵克、CA科技。

特定的細分安全領域提供商通常只專注于某一個特定的信息安全細分領域，例如身份管理、數據加密等，這也使得在云時代來臨時，也能在各自的細分領域獲得優勢。這些企業往往有領先的技術優勢。代表性企業有Palo Alto Network（網絡安全領域）、SecureAuth（身份管理領域）、ThreatMetrix、WhiteHat Security。

趨勢科技在全球服務器安全市場上的市占率第一。趨勢科技云安全產品主要有服務器深度安全防護系統Deep Security（用于數據中心虛擬化）、防毒墻網絡版（用于桌面虛擬化）、郵件安全網關IMSA（用于郵件網關虛擬化）、Web安全網關IWSA（用于Web網關虛擬化）。

趨勢科技在2010年發布云安全3.0戰略，開始從“用云來做安全”聚焦到“保護云自身的安全”，直到2011年發布云安全5.0戰略時才真正將云安全落地，確定了趨勢科技云計算安全發展的四大支柱，即從云基礎設施、云終端設備、云應用和云數據四個方面來保護云的安全。

趨勢科技殺手級的產品是Deep Security，該產品奠定了其在服務器和虛擬化安全產品市場中的領先地位。DeepSecurity屬于云主機安全領域的產品，而云主機安全又可以分為云安全信息和事件管理（SIEM）、單純的云主機安全、私有云服務器安全3大技術方向，進一步細分可把Deep Security歸入私有云服務器安全領域。市場中提供私有云服務器安全產品的廠商不止趨勢科技一家，那么趨勢科技又是靠什么擊敗賽門鐵克、邁克菲等傳統安全領域的勁敵，成為云主機安全領域中的市場領導者的呢？  

我們認為趨勢科技的成功主要基于以下幾點：

（1）Deep Security的無代理防護為全球首創，與傳統防護措施相比該技術不占用虛擬機資源：所謂“無代理”主要是指用戶無需在每一個虛擬機上安裝客戶端，只需要在物理主機上進行一次性安裝即可，并且以主機為單位進行安全保護。采用該種技術的好處在于不像傳統方案那樣，需要在每一個邏輯主機上建立病毒庫并需要定期更新，如此一來將占用大量資源。除此之外，該技術還可以解決虛擬機之間攻擊盲點等安全問題。

（2）與VMware的核心合作伙伴關系：作為虛擬化及云基礎架構全球領導廠商VMware的核心戰略合作伙伴，趨勢科技是目前業內唯一可運用最新的VMware API提供增強的服務器保護的云計算安全廠商，并已成為全球虛擬化安全管理解決方案市場占有率第一的品牌，這一驕人成績與趨勢科技和VMware始終保持在技術上的密切合作是分不開的。VMware目前在全球數據中心自動化軟件中的市占率位列第一，在中國虛擬化軟件市場的市場占有率也居首位，兩者的強強聯合能實現優勢互補，使兩者的產品更獲市場青睞。除了VMware，趨勢科技還和惠普、微軟、亞馬遜等建立了合作伙伴關系。

（3）趨勢科技在提出云安全5.0戰略之前就已經是服務器安全和虛擬化安全市場上市占率第一的提供商了，而虛擬機和云主機安全在技術上是一脈相承的，從其市占率可以看出趨勢科技在技術上過硬。可以說趨勢科技在進入云主機安全領域之前就已經把一只腳踏進該市場的大門了，而且從技術上而言還領先其他廠商，是云主機安全解決方案的最天然的提供商。趨勢科技的領先技術除了之前提到的無代理技術之外，還有其強大的終端防護能力（連續13年被Gartner評為行業領導者），除服務器等設備外，還能防護各種移動設備（BYOD）的安全；另外，Deep Security還同時適用于物理、虛擬化、私有云或公有云三種環境，并提供統一的解決方案。

（4）趨勢科技擁有大量優質客戶資源，所服務的客戶領域橫跨金融、教育、政府、制造等各行業。在中國500強企業中，77%已經使用了趨勢科技的解決方案，其中包括70%以上的銀行、80%的證劵公司、65%的汽車制造商和50%的保險公司。以前成功案例的實施所積累起來的眾多客戶在上云的過程中，肯定會優先選擇之前有過成功合作的、且具有云安全技術實力的廠商，所以趨勢科技是不二選擇。另外我們也可以從亞信安全收購趨勢科技中國業務的出發點看出在安全市場獲客的難度：2015年9月亞信科技收購趨勢科技（中國），并成立獨立的安全技術公司——亞信安全。在此之前，亞信科技的安全業務主要集中于通信領域，在收購趨勢科技之前，亞信科技便宣布了產業互聯網戰略，但是進軍產業互聯網的挑戰在于如何在各行各業快速獲取客戶，亞信科技通過并購趨勢科技進軍金融、教育、制造等眾多行業，這也從側面反映了“客戶資源”至少是云主機安全市場的一大壁壘，否則亞信科技不必進行此次交易。

我們通過對趨勢科技的分析，基本上可以得出以下結論：首先，從趨勢科技憑借原來在虛擬化安全技術上的優勢，在云主機安全領域做大做強可以看出，在傳統信息安全領域具有技術優勢的安全廠商完全可以改善技術將其應用至云架構，它們是云安全解決方案最天然的提供商，是離云安全最近的參與者。其次，與虛擬化軟件提供商、云服務提供商的合作伙伴關系尤為重要，強強聯合，優勢互補，可以最大程度地加速產品或解決方案的研發和推廣。最后，客戶資源也是云安全行業的壁壘之一，以往積累了豐富客戶資源且有許多成功案例的傳統安全解決方案提供商會比其他企業的發展順利很多。

傳統IT安全解決方案提供商中除了趨勢科技、賽門鐵克這樣的綜合性的安全廠商之外，還有一類——只專注于某一細分領域的IT安全廠商。國外代表性的廠商有Palo Alto，它成立于2005年，是全球首家提出“下一代防火墻”概念的網絡安全廠商，并且連續多年被Gartner評為下一代硬件防火墻領導者，在防火墻領域無人能出其右。目前Palo Alto，在全球擁有3000名員工，超過3.4萬客戶，總市值約為145億美元。

Palo Alto的收入來源主要來自于銷售防火墻硬件產品所獲得的一次性收入以及訂購其附加和非附加服務、安全支持所獲得的持續性收入（其防火墻硬件產品主要有PA系列和VM系列等，前者適用于物理環境，后者適用于虛擬環境）。持續性收入部分全部按年收費：附加服務是作為Palo Alto硬件防火墻的附加功能模塊搭配使用的，所以必須購買Palo Alto硬件產品才能起作用，客戶可以根據自己的需要訂購相應的功能模塊；非附加服務則適用于所有的硬件防火墻，均以軟件的形式交付；安全支持主要是指Palo Alto工作人員為客戶安裝防火墻、附加和非附加服務的軟件、專業工程師對企業客戶的員工進行培訓等所單獨收取的服務費用，這一部分將隨硬件產品的銷售量和附加與非附加服務的訂購量的增加而增加。

目前PaloAlto的產品和服務基本上能適用于所有的私有云環境，及絕大多數的公有云（AWS、Azure等），但是由于受某些方面的限制不適用于極小部分公有云，例如VM系列的防火墻可以支持AWS、Azure、VMware。

Palo Alto的年營業額一直保持50%以上的高速增長，并且其來源于附加和非附加服務的訂購收入從2012財年不足硬件產品一半的體量增加到了2016財年與硬件產品收入相當的體量，即6.56億美元，并且其增速遠高于硬件收入。

Palo Alto之所以能在網絡安全領域獲得如此傲人的成績，應歸功于其業內首創的“下一代安全平臺”。下一代安全平臺是面向云、網絡及終端的全新體系，并通過平臺化方式，利用云端運算能力，將防火墻、網關、威脅云平臺等產品和防御手段智能的集成整合，并可根據客戶需要，靈活的調整和部署所需要的解決方案以及擴展其他安全功能（即可從附加和非附加的服務中選擇任意數量的功能模塊）。其最大的優勢是并非通過單點防護來保障網絡安全，而是通過Palo Alto Networks平臺覆蓋到端點、系統、協議幾個方面，來實行整個系統全方面的保護。

4.3、大型IT廠商——擁有強大整合能力者為王

大型IT提供商：這類企業規模較大，營收體量很大，在IT多個細分領域進行多元化經營且能滿足許多不同類型終端用戶的需求。這類公司擁有巨大的技術合作伙伴網絡和經銷商合作伙伴網絡，有利于在云安全市場將業務迅速拓展開來。由于這類企業在安全領域不具有技術上的優勢，所以它們主要以收購兼并小型公司的方式不斷擴充其云安全市場上的技術實力，以期快速進入云安全市場并且不斷提升其市場地位。代表型企業有IBM、惠普、英特爾、Novell等。

IBM 2015年全年營業收入817.41億美元，其中安全業務年收入達20億美元。雖然安全業務比重僅占2.4%，但是在總體營收下滑（-11.9%）的背景之下，其安全業務卻逆勢增長12%——其中IBM的SIEM（安全信息和事件管理）威脅情報和移動安全都將有著10%以上的增長率，云安全業務更是呈現50%的高增長。一直以來大家忽視了IBM其實是全球第三大安全公司，第一大企業級安全廠商。

IBM云安全解決方案主要涉及訪問安全、數據安全、可視化和安全運營四個方面。IBM一共有62項安全產品，僅云安全一個解決方案就囊括了其中13個產品。不同的產品相互組合可共同實現某一功能，不同功能再相互組合共同實現對某一個特定層次的完整防護，IBM的云解決方案整體體現出了極強的協同性。

IBM是以做商用機器起家的公司，回溯其公司發展歷程可以發現IBM的安全業務部門IBM Security在2012年才開始成立，但是它開始接觸安全業務卻早在上世紀70年代，隨著主機業務的擴展而做主機和服務器安全。20多年后，即1999年IBM開始引入訪問管理的業務，并從此開始了安全業務體系的打造之路，進行一系列的安全領域并購交易。在IBM Security成立之前，其安全業務和產品分散在各個子部門里，直至攻防態勢的變化（例如高級持續性威脅APT的出現），使得單點防御無法做好全局性的安全防護，使得IBM專門成立一個安全部門來整合線上所有分散的安全產品。

經過4年的整合，如今已經形成了完整的產品體系，涵蓋數據、應用、網絡、終端、移動、高級防欺詐、身份和存取控制、安全智能八大安全框架，其中以QRadar系列產品為主的“安全智能”處于核心位置，歸屬于安全信息和事件管理領域（SIEM），相當于整個體系的“心臟”，而IBM的安全研究團隊X-Force則相當于整個系統的“大腦”，負責監控、研究、培訓和集成。這些框架之間可以互相聯動，分享信息，是一套完整的，具備防御，偵測和響應能力的企業安全免疫系統。這個體系包括7000多名安全專家，3700多項安全專利，和25個安全研究中心或實驗室。

我們認為，IBM能在大型IT提供商中把云安全做大做強極為關鍵的一點在于其強大的“并購整合能力”。正如我們之前看到的思科在Web安全網關市場失敗的例子一樣，對不同功能的產品進行并購整合能力并不是每一個公司所具備的，像思科這樣國際性的大企業尚且失敗過；而且對于像IBM這樣的超大型IT解決方案提供商而言，往往需要整合十幾家甚至是幾十家并購而來的具有不同經營理念、文化背景、技術領域等等的公司，對于如何一家公司而言，無論其規模如何，都是一個巨大的挑戰。

除此之外，我們認為IBM在眾多公司中最有可能會成為云安全領域未來的王者。主要基于以下幾點理由：正如我們在3.1節中所提出來的，未來不變的大趨勢是從“被動防御”轉為“主動防御”，這一趨勢主要是通過“大數據+機器學習+云安全”來實現。首先IBM最不缺的就是安全數據，遍布全球的12個安全運營中心（SOC）是IBM如此強大的安全能力的基礎，而且IBM擁有1萬余家企業客戶，SOC每天可以從這些客戶這里搜集200億以上的安全事件。這些數據傳給IBM旗下的安全研究機構X-Force，進行實時監控并集成。其次，IBM擁有全球頂尖的機器學習能力——IBM人工智能戰略的核心：沃森（沃森眾所周知，這里就不加贅述了）。最后，IBM現在已經是SIEM和安全托管服務（MSS）的提供商中公認的全球領導者（排名第一），以此可以證明IBM在信息安全領域的綜合實力，而且IBM自己還是IaaS和PaaS提供商，對云的基礎架構不僅有著深刻理解，而且還做成出色的云安全服務提供商自然不在話下。

4.4、總結

綜合以上部分的論述，我們認為：

（1）在云安全時代，云平臺服務商主要的定位還是為云基礎設施提供堅實、通用標準化的安全防護，確保基礎云平臺不受外部的攻擊，云上應用層及數據的個性化防護，則會通過引入相應的安全技術合作伙伴構建云安全合作生態，由第三方進行云安全產品和技術服務的提供；

（2）對于專業的云安全廠商（初創企業）來說，一般是近幾年剛剛成立，沒有長期的客戶積累，往往是依靠各自創新的云安全技術切入到云安全市場，這類公司中能夠持續吸引市場關注的最為關鍵的是持續的創新能力和差異化技術優勢；

（3）對于傳統IT安全提供商而言，其具備多年的長期技術積累和客戶基礎，主要靠技術沿襲和客戶積累快速切入云安全市場，是最天然的云安全解決方案提供商，它們離云安全市場最近；

（4）對于大型IT解決方案提供商而言，主要通過不斷并購初創公司來獲得技術和人才，但是最為關鍵的一點在于其并購整合能力，我們尤其看好IBM，不僅已經在信息安全領域深耕多年，而且還符合“大數據+機器學習+云安全”的大趨勢，有望成為未來云安全領域的霸主。