“云安全资源池”产品的技术和市场深度剖析
| 概述 |
“云安全资源池”是个啥产品?在讨论这个问题之前,首先要厘清概念。
云安全,是个很大的范畴。参考CSA给出的“云计算安全技术要求框架”,如下图:
化繁为简,总的来说,云安全大致包括了三个层面:
1、云自身安全
主要指承载硬件和云OS的安全问题,如云资源层的安全,如物理安全、虚拟资源空间安全、云资源管理平台安全。
2、云上业务安全
主要指的是云上租户业务的安全,包括租户虚拟资源私有空间的安全、Paas层安全,Saas层安全。
3、安全能力云化
指的主要是安全供应商将安全能力云化,以弹性、按需的方式提供给用户使用的方式,这也可以看做是安全能力Saas化。
云安全资源池,从字面上理解,指的是安全供应商将安全能力云化,以弹性、按需的“池”的方式提供给用户使用的产品。通俗的讲,云安全资源池,就是以前安全厂商提供一大堆硬件盒子的方式在云上安全行不通了,安全厂商于是与时俱进,通过在一堆通用服务器上装一大堆安全设备的虚拟机“按需”提供给云上用户。如果从三个层面角度来看,它的位置如下:
从上图可看出,云安全资源池主要解决的是云上的业务安全问题,如云租户的网站防护、网络防护、数据库审计,等。云安全资源池,通常以弱耦合的方式,和云平台对接,通过将需要防护的流量牵引到安全池内进行安全防护,为云上租户提供个性化的安全能力组合包。
主要解决的问题如下:
解决了安全能力弹性扩展的问题
解决了安全能力按需组合并提供给云上租户的问题
解决了传统安全硬件无法在云内部署的问题
云安全资源池这个产品分类,总体来说属于国情特色产品(这个后面会讲)。目前主流厂家大部分国内的传统网络安全厂家,萌芽时期大概是在16~18年期间,在2020年逐渐成型,这里参考2021年IDC的市场统计,如下:
看看整体市场规模
报告显示,2020年中国安全资源池市场的规模超过一亿美元,同比增长26.5%,尽管2020年新冠疫情对众多网络安全产品与服务市场产生了一定的负面影响,但安全资源池市场却仍以高速增长的发展趋势快速扩张。IDC认为,目前该市场已进入发展的快车道,这一增长态势将会在用户需求驱动下继续保持。
目前国内按照云的属性,主要分为公有云和私有云两大类型。公有云的安全,主要是大的云厂商自己做,不太需要安全池这种产品,目前云安全资源池主要用于私有云场景居多。
| 技术原理 |
在这里,首先要要讲一下私有云对传统安全的技术挑战,从而引出为什么需要云安全资源池这个产品。
云最重要的变化就是,对IT资源的使用方式发生了变革。比如,传统安全公司的保护对象,是放在某个物理机房的几个机架;而现在,都虚拟化了,看不见摸不着,机房也是分布式的了。所以,按照以前物理插线的模式,接入硬件安全设备,是不怎么行得通了。
其次,为了解决传统vlan的4k等问题,云的网络也虚拟化了,其中Vxlan最为主流,就是在vlan报文前面又加了个udp报头,你理解为隧道就好。所谓overlay网络就是基于这个来的,Overlay在网络技术领域,指的是一种网络架构上叠加的虚拟化技术模式,是一个虚拟网络。网络虚拟化是对安全厂商的最重要的艺术挑战,特别是网络安全厂商。
最后,云上因为有了租户的概念,从而也产生了安全的个性化需求,每个租户对安全的种类、带宽、防护规模的要求都是不一样的,这不能像以前一样给小区统一安装一个大防盗门的方式来解决。
云安全资源池这个产品,就是奔着解决上述问题而产生的。
安全资源池的技术通用架构一般如下:
安全资源池一般采用通用服务器部署,通过和云机房的汇聚交换机或路由器对接引流,通过和云管理平台对接租户信息进行安全业务开通,从而为云上租户提供个性化的安全防护。
那么,具体怎么给云上租户提供安全服务呢?这要看下面一个典型的实际的部署图。
安全资源池通常旁挂在云IDC的核心汇聚数通设备上,通过SDN对接或者传统PBR方式,牵引某需要防护的租户的虚拟机的网络流量到安全资源池进行防护,流量检测和清洗完成过后,再回注到原有网络路径。这些流量有可能是Overlay的,和传统流量不一样,有可能IP地址会出现重叠的情况。因此,这些流量往往通过隧道的方式引入安全资源池,同时安全资源池要能够识别不同租户的内部地址,从而才能提供正确的防护。
另外,安全资源池需要给用户提供一个门户入口,便于用户对安全防护能力进行购买、查看、配置、处置等操作。管理门户,需要和云操作系统对接,目的是获取用户和所属资产信息;另外也要和云机房的业务系统对接,便于完成从订购到引流的一系列业务完整开通。
最后,随着云的扩容,安全资源池也需要具备同步扩容的弹性能力,所以一般安全节点服务器都是分布式的集群。
厂商开发这个产品的技术难度不算太高,难点主要集中在2点:1、集成的原子安全能力丰富程度;2、对云OS和云网络的理解。
第一点很好理解,唯有自研的安全虚拟化设备数量和种类极大丰富的,才利于集成到安全池里面去。这一点,传统底子好的安全厂商有优势;第二点,因为安全资源池需要和云管平台以及云网络对接,而这两者都是私有协议的国内各家不通用,因此要能够顺利对接进去,需要对宿主平台的管理和虚拟化网络有深刻的理解,才能完成无缝对接。
| 市场情况 |
从云属性角度看
国内云基础设施,按照性质分主要分为两类:公有云,私有云。和国外大部分都是公有云不同,国内大致规模是公有云占六成,私有云占4成。私有云大量的都是行业云、政务云等为主,从安全需求角度就是安全购买大户,需求集中在合规这一块;公有云以中小企业客户为主,需求主要是自身业务安全的防护。
从需求角度看
私有云因为客户的合规要求比较普遍,特别是云等保2.0颁布后,大量需求集中在上云后过等保这一块。国内巨头纷纷推出云上等保套餐,如华为,阿里,电信,大的安全头部公司,等等,这一个领域成为最竞争最为激烈的领域,典型的场景是行业云、政务云、大型私有云等;
另一方面,业务安全需求也比较普遍,特别是IT投资集约化并上收后,很多政府、企业对外服务的基础设施都集中在规模较大的云机房内集中运营,因此保障业务的安全开展是核心的需求,如门户网站安全防护、业务系统的抗D防护、数据安全的云防护,等等。
从项目运作角度
相对来说行业云比较容易一些。行业云一般都有很强的垂直管理属性,比如金融、运营商、能源、烟草,建设方、使用方、运维方往往是一个主体。因此,从招标的角度来看,沟通的成本低了很多,建设实施的难度也小了很多,另外需求比较接近也便于全国范围复制,像一个“好产品”;从甲方的角度来看,云安全资源池也是一个好产品,报价单里面服务器、有软件、有服务,实物可见,构成合理;另外云安全资源池一期部署好以后,后续可以随着云机房的扩容而扩容,从而一期一期的采购,符合传统项目的招标和收费模式,在现有甲方流程下更容易走得通。相比起公有云安全接近100%全软件,看不见摸不着的按需付费模式,这种明显更符合此类客户的固有认知。
从这个角度看,安全资源池这个产品非常符合传统客户思维模式,从“规划—立项—招标—实施—服务—扩容”整个流程都能做到很好的匹配,因此前几年这类项目铺天盖地的爆发就是这个原因,大家感兴趣可以去招标网搜索一下类似的项目信息。
比较特殊的是政务云这一块
规划方、拨款方、使用方、建设方、运营方,常常是五个主体,再加上大型项目很有可能是ppp模式,各种利益和基础架构交织在一起,错综复杂。安全项目从立项开始,到方案、招标、实施,都是需要安全厂商很大的精力来控盘的。
下面讲几个典型的项目场景:
某金融行业,省级单位,前期已建设完成覆盖全省的私有云,也上了基本的安全硬件设备。随着下面的地市二级单位逐渐业务迁移到云上来,需要安全资源池来保障云上租户的业务安全,需求主要是等保二级和三级。
分解下来,这个安全项目的需求核心有几点:1、建设安全能力覆盖等保二级和三级的安全池;2、安全池一次性建设,后续能够根据云上租户数量弹性扩容;3、需要和云平台以及汇聚网络设备对接,实现自动化的安全套餐开通;4、提供长期的安全运维服务。
某运营商行业,省级单位,前期已建设完成覆盖全省的私有云,客户主要是地市的政企客户。随着后续IDC的业务逐渐逐渐业务迁移到云上来,需要安全资源池来保障云上租户的业务安全,需求主要是等保二级和三级,以及抗D和云监测服务。合作模式上,希望采用合作分成的模式。
分解下来,这个安全项目的需求核心有几点:1、建设安全能力覆盖等保二级和三级的安全池;2、提供云清洗和云监测服务;3、安全池一次性建设,后续能够根据云上租户数量弹性扩容;4、需要和云平台以及SDN控制器对接,实现自动化的安全套餐开通;5、提供长期的安全运维服务;6、提供租户用量的计费数据,便于周期性分成。
其余行业的需求,基本也是大同小异,区别一般是在商业合作模式和具体的云底层对接上有所不同。这类项目的销售清单,一般由三部分组成:1、统一门户;2、云安全管理平台;3、安全能力池,报价也是按照这个类别进行报价。
这几年,安全资源池的市场需求一直在高速增长,每年以50%以上的速度一路飞奔。因为不会是一锤子买卖,涉及到长期的运营和持续收费,因此头几年,在“占坑”阶段,各个厂家在项目上拼抢的很凶,屡次遇到过超低价中标的情况。这几年随着占坑阶段基本结束,逐渐回归理性商业模式。
| 发展方向 |
安全资源池随着这些年的发展,逐渐走向初步成熟,也形成了为客户所接受的特定品类,初步接受了市场的检验。那么,他的未来将走向何方?
云原生和网原生
安全资源池的安全能力部分是重中之重,这部分未来会有两个融合趋势:和云融合,或者叫做“安全云原生”趋势;和网融合,我给起个名字,叫“安全网原生”。
目前,云网融合是未来云的大势所趋。云基础设施,因为历史原因,在诞生的初期是缺乏安全考虑的。而随着云上业务越来越多,安全的问题正在日益突出。因此,不论是亡羊补牢,还是合规要求,越来越需要云自身就具备安全的能力(或者框架)。在云厂商这个阵营,“安全云原生”的声音比较大,特别是一些大的云厂商。技术方面确实有一定的合理性,但是云安全是分层次的,有些需要在网络端处理的问题,还是需要在网络处理,如DDOS的攻击。
从另一个角度,我想是因为这些厂商希望将安全能力往自己擅长的可控制的领域来引导,有利于掌握生态链的控制权;同样的,还有一个声音,“安全网原生”也很响亮,这个阵营主要是掌握了网络基础设施的为主,如运营商、网络主管单位、网络厂商,等,因为掌握了整个大网的调度和管理权,把安全和网络相绑定更容易落地也更容易商业变现。比如,原有的网络专线业务,只需要变成“安全专线”,增加安全收费即可,原有的专线业务合同等都无需重大变更。
从技术的角度来看,云安全问题是一个安全纵深的问题,需要在云原生和网原生两个层面都结合最佳。从安全厂商的角度看,不会希望丢失任何一个市场,当然会往两方面都支持的技术路线去发力。
安全资源池泛在化
对网络安全传统厂商而言,除了云上客户,还有大量的传统客户。安全资源池是否只能用在云上客户,而丢弃传统客户呢?答案是否定的。软件定义安全,这是一个理论思想,而最终落地的技术路线,不论是虚拟化的安全能力,还是传统硬件安全能力,只要能够按需调度、按需弹性、支持多租户,技术上都是符合云安全资源池的技术路线的。
另外,对网络安全传统厂商而言,因为在云安全生态链不具备底层云产品,为了避免被云基础设施厂商或者网络基础设施厂商的绑定,唯一出路就是需要扩大化云安全资源池的适用场景,并结合自身安全处置能力的优势,将他最大化,才有生存空间。
具体来讲,安全资源池泛在化,指的是安全资源池能够用于传统客户、云上客户,甚至未来的工业互联网、容器环境的所有客户,在技术上做到极大的适配度,并且用统一的安全运营思想,把安全资源池的安全闭环能力发挥到极致和基础设施厂商的内置安全能力,拉开差距,这才有生存空间。因此,安全资源池厂商一直在扩大安全原子能力的泛在化能力,使得云端安全能力、容器内安全能力、网原生安全能力、传统硬件安全能力、终端安全能力、云端SASE的安全能力,无差别的融入到泛在化的安全资源池内,从而为最大化的客户群提供无差别的统一安全能力投放,避免生态链劣势。
从实践角度看,也是这样发展的。安全资源池厂商,往往同时和阿里、华为等云基础厂商合作提供内置安全资源池,也会和运营商、CDN厂商等合作,提供网络内置安全能力资源池,这两块成功的项目案例比比皆是,也都取得了较好的收益。
可运营化
上面讲到了,安全处置能力的优势,是传统安全厂商和云巨头在安全能力这块的最大区别。安全运营需要专业的攻防研究积累,需要专业的人员,这些的建立并非一日之功。而且,随着这几年hw,攻防演练等活动,客户对安全投资产生的实际效果也越来越重视,不再像以前那样仅仅是为了合规而建设,把安全“真的用起来”是现实需求的趋势。
因此,未来安全资源池产品的可运营能力,会是市场选择的最重要的考量因素。什么叫可运营能力?拆开来看,那就是可持续运维、可持续安全处置闭环、可持续给客户进行安全赋能,整体提升安全资源池的实用效果和客户的安全水准的能力。
以往的传统运营,大部分是通过人员驻场来实现的。在云安全资源池的场景,不太行得通。一方面因为云上客户比较散,分布在不同的物理地点;一方面,云上客户的客单价较传统项目低,而人力成本近年来是居高不下。所以,未来的安全运营,明确的发展方向就是最大可能地采用智能化、自动化的运营技术,并结合情报、大数据等技术手段,提供更精确、成本更便宜的安全运营服务。安全资源池解决了云上安全能力的投放问题,而运营将紧随其后成为核心竞争力。
| 总结 |
安全资源池是个“好产品”,市场客户相对聚焦,可复制,并且目前已经明确的形成了10亿左右的国内市场和客户认可的产品品类。相信未来安全资源池会继续发展,其发展趋势预测会是云网结合、泛在化、可运营这三个方面。