随着云计算战略和架构的发展,确保云安全至关重要。面对快速变化的云安全产业,自2021年起,由零信任实验室、3S-Lab软件供应链安全实验室、BSI业务安全推进计划牵头,中国信息通信研究院(以下简称“中国信通院”)组织开展云安全全景图征集和研究工作。

继去年可信云大会发布首个“云安全全景图”之后,在今年召开的“2022可信云大会”上,中国信通院对云安全全景图进行全新升级,正式发布“云安全全景图2.0”。中国信通院云大所开源和软件安全部副主任孔松对新版云安全全景图进行全面解读。

据孔松介绍,云安全全景图2.0版本覆盖云工作负载保护、网络安全、数据安全、应用安全、身份和访问安全、安全管理和运营、DevSecOps、业务安全、安全服务9大领域。相比1.0版本,2.0版本新增DevSecOps大类,力求通过梳理我国云安全产业发展,为云用户构建安全体系提供指引和帮助。

云工作负载保护,增厚云上资产“安全垫”

企业上云与数字化转型的深入发展促进数据中心IT架构不断变革,多云、混合云部署成为常态,计算资源有物理机向虚拟机、容器、Serverless演进,传统的安全思路和产品难以适应新的云计算环境,对云上资产的全面保护能力不足。对此,云工作负载保护作为守护云上资源的关键一环,在愈发恶劣的网络安全态势中发挥着不可替代的关键作用。

据中国信通院调查显示,我国当前安全行业生态中,在云工作负载保护方面具有以下优势:防护对象除主机、容器与其上的应用外还包含镜像、镜像仓库等,做到了安全前置。入侵防护能力覆盖绝大部分ATT&CK模型,并具备可扩展性。支持与威胁情报进行联动,提高告警准确性。支持流量可视化,严格把控东西向流量通信。支持微隔离策略的自适应漂移。支持Agent的自适应部署与批量部署,简化部署流程,降低工作量。

针对云工作负载保护,“云安全全景图2.0”涵盖主机安全、容器安全、微隔离3大类,其中主机安全共有24家企业入选,容器安全共有23家企业入选,微隔离共有11家企业入选。

网络安全,数字化时代的首要议题

数字新业态不断发展,如何在日渐复杂的数字环境中解决网络层面风险,已成为企业的必答题。DDoS攻击、网络入侵等事件层出不穷,使得企业在发展过程中面临多重威胁。网络安全作为底线和根基,对于保障数字资产在存储、传输和使用中的安全性具有至关重要的作用。

全景图指出,国内网络安全产业趋于成熟,业务中心逐渐由牢固根基转变为灵活多效:在抵抗恶意攻击方面,通过部署高防节点、智能流量调度等,有效清洗网络层和应用层DDoS攻击。在管理网络流量方面,通过防火墙等产品弹性控制网络流量,无形中保障联网行为平稳运行。在预防非法入侵方面,通过有机结合攻防技术和攻击特征库,实现细粒度、全方位的异常检测,实时保护数字环境安全。

在网络安全细分领域,“云安全全景图2.0”涵盖DDoS、云防火墙、网络入侵检测3大类,其中DDoS共有20家企业入选,云防火墙共有14家企业入选,网络入侵检测共有13家企业入选。

数据安全,云安全长城的“基石”

数字化的发展趋势,让数据发挥出了更大的价值,但同时各项技术应用背后的数据安全风险也日益凸显。近年来,频发的数据泄露事件,引发外界对数据安全问题的极大关注。另一方面,随着《数据安全法》、《个人信息保护法》等数据安全相关法律法规不断健全,安全需求日益迫切,推动数据安全生态不断发展。

全景图指出,随着数据安全领域的不断发展,安全技术呈现三大新特征:一是,国密算法支持度有所提升,以满足金融等重点行业监管需求;二是,充分释放数据要素价值成为趋势,企业纷纷探索利用联邦学习等新技术解决数据流通安全问题;三是敏感数据识别、异常行为审计等智能化水平不断提升。

在数据安全领域,“云安全全景图2.0”涵盖云加密机、密钥管理、数据安全管理、数据防泄漏、数据脱敏、数据库安全、数据流通与共享、数据备份与恢复、SSL证书/证书管理9大类。

其中,云加密机共有4家企业入选,密钥管理共有9家企业入选、数据安全管理共有17家企业入选、数据防泄漏共有13家企业入选、数据脱敏共有9家企业入选、数据库安全共有10家企业入选、数据流通与共享共有6家企业入选、数据备份与恢复共有7家企业入选、SSL证书/证书管理共有6家企业入选。

应用安全,构建纵深安全防御体系

数字化时代下,层出不穷的应用层安全威胁和漏洞已经成为了企业关注的重中之重。

全景图指出,我国应用安全产业已日趋成熟,主要呈现出三个特点。一是,云WAF作为应用安全的领头产品,API安全、漏洞扫描、网页防篡改产品紧随其后,为后续重点关注方向。二是,云WAF具备核心安全防护能力,Bot能力逐渐成为重点,以云原生接入服务的能力在逐步成熟当中。三是,数字化时代API增长迅速,其安全性受到了广泛关注。

在应用安全方面,“云安全全景图2.0”涵盖云WAF、API安全、网页防篡改、漏洞扫描、Web应用扫描及监控、勒索软件防护、移动安全7大类。

其中,云WAF共有19家企业入选、API安全共有家16企业入选、网页防篡改共有13家企业入选、漏洞扫描共有15家企业入选、Web应用扫描及监控共有12家企业入选、勒索软件防护共有9家企业入选、移动安全共有11家企业入选。

身份和访问安全,防御云威胁第一道防线

随着云计算的蓬勃发展,身份认证和权限管理成为企业安全防护的基础。随着数字化转型浪潮的来袭,企业业务云化后,身份认证和权限管理领域也变得更加复杂和多样化。

全景图指出,降低资源访问过程中的安全风险,已成为企业数字化转型过程中的首要任务。身份作为访问控制的基石,为企业基于零信任理念构建现代化安全防护架构提供支撑。

具体到安全策略,体现在四个层面:一是,以身份而非网络为中心,通过统一接入、统一访问控制和权限体系,提供一致的访问体验。二是,零信任默认一切不可信,基于最小权限原则对所有访问进行动态授权,可以对身份和访问开展持续安全防护。三是,统一终端安全策略,将为终端资产提供一体化的安全保障。四是,加强对运维人员操作行为的监管与审计已成为访问安全发展的必然趋势。

在身份和访问安全方面,“云安全全景图2.0”涵盖云IDaaS、零信任、SASE、堡垒机、终端安全5大类。其中,IDaaS共有9家企业入选、零信任共有家34企业入选、SASE共有16家企业入选、堡垒机共有14家企业入选、终端安全共有13家企业入选。

安全管理和运营,网络安全落地的有力抓手

安全运营和管理作为安全团队感知与响应安全事件的直接途径,充当着安全团队的感官与四肢,在安全运维中起决定性作用。

全景图指出,我国当前安全行业生态中,在安全管理和运营方面具有四方面优势。首先,安全态势做到了可视化,为安全团队全方面展示企业面临的威胁与风险情况。其次,安全编排具备可视化剧本编辑器,降低编排门槛。第三,归一策略将不同数据源的安全数据进行归一化处理,集中展示。第四,利用人工智能与大数据分析技术建立威胁模型,从被动防御向主动威胁狩猎进发。

针对安全管理与运营,“云安全全景图2.0”涵盖云安全运营中心、态势感知、UEBA、威胁情报、XDR、SOAR共6大类。其中,安全运营中心共有25家企业入选、态势感知共有家18企业入选、UEBA共有7家企业入选、威胁情报共有8家企业入选、XDR共有11家企业入选、SOAR共有8家企业入选。

DevSecOps,关注软件应用全生命周期安全风险

DevSecOps已成为DevOps生态系统中最热门的流行语之一,支持在软件开发生命周期的早期实现无缝的应用程序安全,而不是在发现漏洞后以高成本去解决。

经过多年的发展,DevSecOps贯穿全流程的研发运营安全理念已经深入人心,得到了广泛认可。DevSecOps秉承安全前置理念,从软件需求设计早期便考虑安全,从源头处提升安全能力,已被证明可以有效、低成本的解决大量现存的安全问题,全面提升应用服务的整体安全能力,助推数字经济的整体发展。

根据中国信通院观察,国内DevSecOps产业发展呈现出两个特点。一是,企业组织逐步重视可信研发运营安全理念,自上而下推动研运安全体系的落地,建设安全文化,打破研发与安全堡垒。二是,厂商开始积极布局,国内研发运营安全工具持续发展,不断突破创新,适应当前开发模式,切实助力一线研发测试人员提升安全能力。

在DevSecOps领域,“云安全全景图2.0”涵盖DevSecOps平台、SAST、IAST、RASP共4大类。其中,DevSecOps平台共有15家企业入选、SAST共有家10企业入选、IAST共有6家企业入选、RASP共有9家企业入选。

业务安全,抵御数字化浪潮下的业务风险

数字化时代,企业的业务安全面临更致命、更隐蔽的风险,团伙化、专业化的黑产侵入业务环节,不仅给企业造成重大经济损失,同时次生灾难所造成的损失更加难以用金钱来衡量。业务安全风险已成为近年来企业需重点关注的运营风险之一。

全景图指出,我国业务安全产业发展呈现三个特点。第一,营销安全与内容安全作为业务安全的先行部队,交易、信贷、防伪溯源、知识产权等领域,为后续重点发展方向。第二,内容安全的合法和规范性,已成为关注的重点。第三,营销安全、信贷安全、交易安全产业呈快速发展趋势。

针对业务安全领域,“云安全全景图2.0”涵盖内容安全、交易安全、信贷安全、营销安全、防伪溯源、交互安全、钓鱼检测、邮件安全、私域安全、风险情报、广告欺诈、知识产权12大类。

其中,内容安全平台共有15家企业入选、交易安全共有12家企业入选、信贷安全共有5家企业入选、营销安全共有18家企业入选、防伪溯源共有5家企业入选、交互安全共有8家企业入选、钓鱼检测共有7家企业入选、邮件安全共有7家企业入选、私域安全共有3家企业入选、风险情报共有11家企业入选、广告欺诈共有9家企业入选、知识产权共有3家企业入选。

安全服务,“管家式”服务筑牢安全防线

安全服务是企业安全管理不容忽视的环节,作为连接人与机器的桥梁,已渗透到企业安全建设全流程中。从企业安全能力提升的路径来看,安全工具只是构建安全能力的基础,在采购安全工具之后,如何用好安全工具,如何发挥安全工具最大的价值,往往需要在安全团队、安全策略以及安全体系等方面进行持续投入。

全景图指出,国内安全服务市场正处于蓬勃上升期,由于政企用户对安全服务的需求和采购持续增加,导致安全服务行业在数字化转型趋势下备受重视。

具体而言,安全培训专注打造专业安全人才,提升业务安全管理水平,实现降本增效;安全测评塑造企业业务立体安全形象,推动行业服务标准化、规范化;安全响应有效提高企业承担风险的能力,竭力保障安全事故损失最小化

在安全服务方面,“云安全全景图2.0”涵盖安全咨询、渗透测试、风险评估、安全培训、应急响应5大类。其中安全咨询共有16家企业入选、渗透测试共有23家企业入选、风险评估共有16家企业入选、安全培训共有9家企业入选、应急响应共有15家企业入选。

了解更多“云安全全景图2.0”内容,扫描下方二维码,下载全景图!

云安全全景图2.0手册

云安全全景图2.0高清大图

声明:本文来自云计算开源产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。