WIZ是CSPM的海外代表厂商,成立短短三年时间,估值已经超过100亿美元。随着中国云化的进程,中国的“WIZ”们正在萌芽成长。

一、什么是CSPM

CSPM可译为云安全态势管理(Cloud Security Posture Management),关注对云安全风险的持续管理,主要用来解决IaaS和PaaS的错误配置导致的安全风险。CSPM可以发现配置错误、评估数据风险、持续监控云环境、合规性监测等,发现问题后报告用户或直接自动修复。

2016年,Gartner判断,“到2020年,95%的云上安全风险是由于错误配置导致。”云基础设施安全态势评估(CISPA)由此诞生,后来Gartner将CISPA改名为CSPM(云安全态势管理),其后CSPM入选2018、2019年的Gartner十大安全方向 (Top 10 Security Projects)。

最有名的一类配置错误是错误授予云上存储桶或容器的公共访问权限,这最终导致了AWS S3数据泄露事件。2017年6月,网络安全评估公司UpGuard发现一个储存了美国电信公司Verizon的1400万客户的姓名、地址、账号PIN等信息的AWS S3存储库,且被错误配置为“允许公共访问”,攻击者只需知道其URL即可访问这些隐私数据。

具体来说,CSPM的兴起,主要为解决以下这四大用户痛点:

  1. 市场上云服务厂商众多,用户业务环境处于混合云、多云架构下是常态,而在CSPM提出之初,云计算提供商的安全工具往往局限于本云平台。

  2. 云上身份与访问安全难以确保。

  3. 影子资产问题,用户希望以完全可见的方式持续监控资源。

  4. 用户希望统一管理多种多样的云安全工具。

根据Markets and Markets的预测,CSPM市场规模将从2022年的42亿美元增长到2027年的86亿美元,年复合增长率(CAGR)达到15.3%。

二、中国云安全的机遇与挑战

作为云安全工具之一,CSPM的兴起、发展和迭代都与云服务市场的成熟度息息相关。海外云计算市场较成熟,公有云占据主导地位,且三大云占据60%+的IaaS市场。2020~2022年期间的疫情客观上进一步推动云服务市场蓬勃发展,前三大云基础设施供应商集中度由18、19年55%~57%的水平逐年提高至65%+。

海外成熟的云服务市场构筑了CSPM厂商蓬勃发展的底座。所以当论及国内CSPM的潜力空间,对国内云服务整体环境与发展阶段的研究是无法绕开的主题

  • 国内公有云起步晚,早期仍以私有云为主,混合云以及多云的形式较为常见

从云环境类型上来看,中国公有云的采用率相对美国较低,且私有云和传统数据中心在中国仍然占有很高的市场份额,直到2019年公有云规模才超过私有云规模。

由于市场需求侧整体对于云安全的信任度不高,使用主体们更倾向于利用混合云(即云平台由私有云、公有云组合而成)或多云的形式降低整体安全风险。亿欧智库在2022年初的抽样调查显示,278位受访者中,对于“云架构长期愿景”这一问题,38%的受访者选择“混合云和云原生”,51%的受访者则希望“主要部署在服务器、私有云上,小部分在公有云上”;而“倾向于选择哪种形式的伙伴关系”这一问题,76%的受访者选择多个私有云或公有云服务商。

  • 国内云基础设施市场绝对规模快速增加,头部玩家集中度略有下降,但整体发展势头良好

国内云基础设施市场仍处于发展期,绝对规模快速增长,但集中度基本上略有下降。公有云IaaS+PaaS市场 CR3 由60.0% (2021H1) 逐期递减至54.3% (2022H2)。公有云IaaS市场 CR3 由60.9% (2021H1) 逐期递减至57.1% (2022H1),2022下半年略有回升(+0.3%)。

不过这仍与2019~2020年(CSPM发展的重要阶段)全球IaaS的集中度相当。而且,CR3的略有降低一部分是由于天翼云崛起抢占了市场份额。原本位居第四的天翼云于2020年底形成全栈云产品体系,在2021年将其资源和服务团队下沉到地市,最终市场份额在2022年下半年反超腾讯云,成为第三大云服务提供商。以电信为主的国资出手,提示了国内云市场的发展势态和重要意义。

根据IDC的中国公有云服务市场跟踪的一系列报告,笔者中国前五大公有云IaaS厂商与前五大公有云IaaS+PaaS厂商市场份额占比变化整理为以上两张图。

  • 政务云已成为一股不可忽视的力量

在国内云市场,政务云作为一种行业云形态近年来高速成长,体量已不容小觑,2021年政务云市场规模已达786.9亿元,占据了国内整个云服务市场的24.4%。然而,政务云涉及公民个人信息等关键数据,泄露之后社会危害性极大。因此对保密性以及安全性的要求较高,对云安全和数据安全的需求强烈。除此之外,地方大数据局的云节点同样也是CSPM的一大应用场景。出于安全性的考量,此类细分赛道内的主要玩家为运营商、国企以及华为等在安全属性上值得信任的企业:华为云、浪潮云、新华三/紫光云、中国电信/天翼云、中国移动、中国联通、曙光等。

从政务云的云环境来看,许多地方各层级政府、各部门的政务云往往采用不同架构的云基础设施,且私有云占比较大。IDC报告显示,2022年上半年政务云基础设施市场规模达239.43亿元,其中17.4%为公有云基础设施,70.4%为专属云基础设施,其余为运营与服务。CSPM的发力点之一就是跨云、跨堆栈的扫描能力,那么政务云相对复杂的基础架构所产生的安全诉求或能加速国内CSPM的发展与成熟。

  • 客户认知有待提升

虽然云安全需求的存量和增量都很可观,但CSPM的概念在国内并不普及:2022.5.19~2023.5.19这一年时间中,虽然云安全相关招标公告共上千条,且近年来逐年增加,但“配置管理”相关招标公告仅12条(手动剔除重复的或无关的公告,下同),“云合规”相关招标仅11条。

三、CSPM厂商的常见发展路径

根据G2网站的评分和评价,我们将海外部分CSPM代表厂商当前能力与客户反馈列在下表,仅供参考。

*数据截至2023/4/25。

**按G2评分由高到低的顺序展示,排名更新于2023/5/16。

***本列数据更新于2023/5/16(小:不多于50人;中:51~1000人;大:多于1000人)。

(一)针对性厂商:自研技术的领先性

  • WIZ:微软团队针对市场痛点再创业

    • 创始团队曾供职于以色列国防军(IDF)情报部门8200部队,后共同创立Adallom(CASB提供商),2015年被微软以3.2亿美元收购,2020年1月于以色列成立WIZ。为了解决当时云安全工具复杂多样、难以统一管理的问题,WIZ在与多位CEO交谈验证需求后,说服AWS, Azure, GCP三大云提供统一的API,构建了一个全栈多云安全平台,提供了识别和消除各类云环境(跨云、跨容器、跨工作负载)安全风险的解决方案。

    • 借助Snapshot技术(API连接每个云),客户无需agent或sidecar代理即可在VM和容器中深入扫描。

    • 适用云环境:AWS, Azure, GCP, OCI, 阿里云, VMware vSphere, Kubernetes, Red Hat Openshift。

    • 我们曾对WIZ展开较为详细的剖析,详见《成立3年ARR达1亿美元,浅探Wiz的云原生安全之路》。

相较于云服务提供商,第三方CSPM厂商如何脱颖而出?

适用云环境:在数量/类别/兼容性上取胜,除三大云服务提供商之外,触达自建容器等云环境,从而占据市场空隙。

  • Microsoft Defender for Cloud适用于AWS, Azure, GCP, 混合云,但G2许多用户评价其与AWS, GCP的兼容性需要提升。阿里云云安全中心同样主要面向阿里云用户,也可安装Agent插件,对其他厂商提供的云服务器(如AWS、腾讯云、青云、UCloud等)提供安全防护。

  • 默安科技的CSPM类产品适用的云环境更多,如阿里云、腾讯云、华为云、AWS、Azure、天翼云、移动云等。小佑科技当前则专注于容器的安全态势管理。

用户体验:指可视化程度、界面设计、是否容易上手等方面,从企业或组织的具体操作人员的角度设计产品,获得客户粘性和口碑。

  • G2部分用户反映,Microsoft Defender for Cloud ①员工需接受一定的培训才能顺利使用产品;②初始配置过程较复杂;③UI不够用户友好,时常难以找到需要的功能;④不提供企业安全部或IT部所需CSPM报告。

  • G2许多用户评价WIZ:①任何团队成员均可轻松上手;②UI简洁易用;③整合警报的上下文信息到图表中,可视化程度高;④客户支持积极,根据用户意见改善产品;⑤但部分也提到了报告可选形式较少、Security Graph功能学习成本较高等问题。

(二)云安全厂商:海外并购以快速布局,国内以自研为主

  1. 从资产管理出发

Gartner在《新兴技术:外部攻击面管理关键洞察》中描述的EASM功能可概括为下表。网络资产攻击面管理(CAASM)能够通过API等方式对合并后的数据进行查询、识别漏洞和差距(gap),以查看内部、外部所有资产的风险。因此,由资产攻击面管理切入CSPM的路径具有其可行性。

  • 华云安:资产攻击面管理

    • 成立于2019年,华云安深耕于资产攻击面管理,拥有灵洞自适应威胁与漏洞管理系统、灵刃智能化渗透攻防系统、灵源威胁捕猎与溯源分析、灵御云主机安全防御平台等网络安全产品及服务。

    • 其中灵洞·云安全版(CSPM)具备数字资产画像、漏洞情报支持、自动化漏洞验证、安全可视化、供应链安全监控、云资产聚合、云安全合规评估、云安全持续监控多种能力。

  1. 从CWPP出发
  • 海外:AQUA,容器安全(包括CWPP功能)→跨容器、VM、serverless应用安全平台→收购CSPM团队并增加其他功能

    • 2019年11月12日,Aqua通过收购CloudSploit,将其云安全业务扩展到CSPM。

    • 除CSPM外,Aqua兼有CWPP、漏洞扫描、SAST等技术,提供较全面的云原生安全。

    • 客户包括财富500强的20%,世界十大银行中的五家,以及在航空航天、媒体、金融服务、酒店、制药、能源、软件、零售、旅游、食品和政府部门的众多机构。

  • 国内:小佑科技

    • 由容器安全研究团队Dosec成立于2018年,从容器安全切入,相继推出了制品安全,集群安全产品,形成了完善的云原生安全整体解决方案。其中,“镜域-集群安全平台“遵循KSPM(Kubernetes Security Posture Management)的理念,使用无Agent方式对集群进行统一安全管理。

    • 能力:镜像安全扫描与加固,容器运行时检测与防护,容器集群安全审计与管理,微服务与API安全检测与防护,容器网络东西向流量可视化与微隔离,IAC安全管理,权限管理,策略管理,集群日志审计。

    • 适用云环境:Kubernetes、阿里云ACK、腾讯云EKS、华为云、亚马逊EKS、OpenShift、Rancher以及国产化的容器云平台。

  1. 从DevSecOps出发
  • 海外:SNYK,SCA(Snyk Open Source)SAST(Snyk Code)发展Snyk Container, IaC和云开发安全→收购CSPM团队:2022年2月18日,Snyk宣布收购云安全与合规公司Fugue,将其CSPM技术整合到其Snyk Developer Security Platform中。SNYK历次并购事件梳理如下:

  • 国内:默安科技

    • 默安科技于2016年成立,以建设面向网络安全实战化的积极防御体系为目标,2018年起将开发安全作为重点业务方向,目前产品与服务已涵盖左移开发安全、智慧运营安全、云与云原生安全三大领域。

    • 其中,宵明云安全态势管理平台是云原生安全业务线的最新产品,具备云上数据安全、云上合规检测和风险监控、云控制平面安全、云账号特权管理(CIEM)等能力,通过只读API接入不同云平台,无需Agent即可统一管理多云安全。

    • 适用云环境:适用云环境:阿里云、腾讯云、华为云、天翼云、移动云、AWS(中国区与海外区)、Azure(中国区与海外区)、华为私有云、阿里专有云、移动私有云(预计7-8月完成)。

编辑:范云辰、施震

作者:冀新玮

参考资料:

航行网安研究院研究报告

  • 官网

  • Wiz | Secure Everything You Build and Run in the Cloud

  • Security for DevOps, Containers, and Cloud Environments - Lacework

  • Industry-Leading Cloud Security Platform | Orca Security

  • Leader in Cyber Security Solutions | Check Point Software

  • PingSafe | Attacker Intelligence approach to cloud security

  • Home - Scrut Automation

  • MINGSHI - 明实科技

  • 容器安全_容器安全防护平台|北京小佑科技有限公司

  • 默安科技 - 领先的云时代新安全体系构筑者 - Security By Default

  • 云安全中心的架构、版本、功能和使用介绍_云安全中心(态势感知)-阿里云帮助中心

新闻资讯/研究文章

  • Cloud Security Series #4: Pre-IPO, Wiz

  • Wiz unveils new security tool to protect code in development pipeline

  • Wiz tech firm raises $300m to become the biggest cyber-unicorn of them all | Cybernews

  • Best Cloud Security Posture Management (CSPM) Software

  • Gartner Top 10 Security Projects for 2018

  • Gartner发布《中国云安全市场概览》:细看云安全发展如何进入黄金时代

  • 三大云安全工具(CASB、CSPM、CWPP)的使用场景-安全客

  • 信通院《云原生应用保护平台 (CNAPP) 能力要求》解读

  • 默安科技谈云原生安全之变 (二) : 工作负载安全

  • 2022年SaaS市场洞察:中国VS美国 - 环信

  • 「云原生安全」杀疯!网安十角兽诞生!|喵站快讯

  • 重押云安全|老牌巨头大手笔收购云原生安全新星,挽救下跌市场份额|喵站快讯

  • 从Aqua看云原生安全

  • 华云安沈传宝:始终坚持需求导向 以ASM达成持续风险管理-安全419

  • 近七成用户担忧云原生安全 多技术融合的CNAPP或是良方-安全419

  • 最新报告:2022中国云安全市场规模将达约173.3亿元-澎湃新闻

  • 前沿 | 攻击面管理(ASM)技术详解和实现 - FreeBuf网络安全行业门户

  • 美国三大云厂商,正在拉大与中国同行的差距

  • 北大信研院孵化器企业明实科技亮相首届西湖网安云展

  • 默安巡哨3.0发布 引入云安全状态管理(CSPM)能力

  • 陶路,张文星,李繁.政务一朵云关键问题分析及工程建议[J].网络安全与数据治理,2023,42(02):38-42.

    免责声明

    *本公众号仅作为学习和研究使用,不构成对任何人的投资和建议,您直接或间接基于本公众号内容做出的投资应自行承担风险,航行资本及作者不对此承担任何责任。

    *以上信息均为航行资本基于网络公开信息渠道整理,航行资本不为以上信息的真实性、准确性做任何保证。

    *本公众号上所转载或引用内容均标注来源及出处,仅代表原作者本人,不代表航行资本立场。转载或引用内容的版权归原作者所有。如涉嫌侵权,请及时联系我们,我们将及时更正或删除有关内容。

    *如需转载本深度调研,或对以往调研内容感兴趣,请联系:zhihouchen@voyagers-partners.com。

    声明:本文来自航行资本,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。