“安全能力服务化(SaaS)”的技术和商业逻辑
| 1、定义 |
有一种云安全产品目前已逐渐形成稳定品类,叫做安全能力服务化(SaaS)产品,这也是目前云安全公司的大颗粒收入产品之一。SaaS安全产品,全称“Security as a service”,安全即服务,也可以叫“无接触”的安全产品。举例来说,云清洗、云监测、云WAF,都属于这个分类。
如果按照安全能力三个层面划分,SaaS安全大致属于下面的绿框位置:
SaaS安全,形态上主要特点是:安全能力云化,集中造一朵“安全云”解决弹性问题,并进一步通过网络为客户提供“无接触”、“按需”的安全服务。从形态看,SaaS安全需要弱化和云OS的耦合关系,而要重点利用网络的能力,通过和网耦合,才能为为客户提供“无接触”、“零部署”的安全服务。为什么SaaS安全需要弱化和云OS的耦合关系?这是因为云OS掌握在云巨头的手里,这些巨头都有自己的云安全产品,在别人的地盘想分一杯羹,谈何容易。而网络相对来说就通用的多了,部署实施对接也容易得多,且客户受众更广:除了云上客户,也包含传统IDC机房的客户。
这个领域的安全巨头,国外有cloudflare、zscaler、aws等,国内有阿里、华为、腾讯、绿盟、安恒等。
主要SaaS安全产品定义如下:
云清洗,指的是利用大量的带宽储备,结合流量牵引和云端的清洗设备集群,对DDos攻击进行防护;
云监测,指的是利用云端计算资源和带宽,对被防护系统,如web服务器等,进行对如挂马、宕机、敏感关键字的实时监测;
云WAF,指的是利用云端WAF集群和丰富的带宽资源,通过将被防护站点流量牵引到云WAF进行WEB防护。
当然,还有很多其他的SaaS安全产品类型,但是主流的主要是这三个为主。这类产品的特点是适合放在云端进行,这么看串行类(云WAF,云清洗)的或者监测类(云监测)的安全产品是比较适合的,而审计类或者终端类安全产品部署相对要麻烦一些。
相对来说,这类产品不会很在意被防护目标的物理位置,只要网络可达,通过网络流量牵引技术进行防护即可。被防护目标可以是云端的,也可以是传统物理机房的,防护手段和网络的耦合关系更大一些,和被防护目标的物理位置关系更弱一些,这也是适合进行推广的一个有利条件。
| 2、主要的产品形态和适用场景 |
首先来看看云清洗产品。
云清洗主要是利用抗D设备,并利用丰富的带宽储备,帮助客户抵御对从网络层到应用层的大流量DDoS攻击。如下图:
安全厂商在云端部署若干个清洗节点,并租用若干大带宽。平时用户正常访问目标服务器时,通过绿色线路正常访问。当防护节点监测到被防护目标遭受了DDos攻击时,通过域名牵引或者路由牵引,将原本绿色访问路径牵引到红色路径上来,利用大带宽的优势,将包含了攻击报文的流量牵引到防护节点,使用专用清洗设备进行流量清洗,然后将“干净”的流量汇注到被防护目标,从而使得被防护目标能够正常被访问。
网络资源丰富的,通常会部署很多清洗节点,我们常见有厂家宣传号称“全球部署xx个防护节点”,就是这个路数;IDC资源强的,通常会在靠近IDC的位置部署大量清洗节点,比如厂家宣传的有多个“xx机房节点”就属于这种类型。要做这个生意,必备的条件是网络资源或者IDC资源丰富,另外要有较高的清洗引擎研发的技术实力。
市场收费模式一般是按需收费,就是有攻击来了,开通清洗业务,按流量和时长付费;攻击没了,就不需要继续开通清洗服务了,这是典型的适用Saas的客户场景。清洗服务一般都是很贵的,一般一天的费用会上万甚至更高。
再来看看云WAF产品情况。
云WAF,采用在云端部署若干个WAF集群的方式,对web服务器进行防护,如下图:
原理其实和上一节的云清洗差不多,只是清洗设备换成了WAF设备。也有在抗DDos设备后面串接云WAF防护节点的,这样云清洗+云WAF,二合一,对WEB站点进行更全面的防护。一般来说,防护节点会部署若干个,用户根据物理位置选择距离被防护站点最近最快的线路机房。在防护节点会提供高防IP,通过将被防护站点的域名指向高防IP进行引流并防护。为了保证业务的连续性并应对大流量站点,一般防护节点还会部署负载均衡设备。如果攻击流量实在太大,可以调动多个节点进行分流防护。
收费模式,一般也是按需收费:按照被防护域名数量和流量、时长收费。
最后看看云监测的产品情况。
部署简单示意图如下图:
这种模式不需要引流,只需要在监测节点配置好监测对象,使用爬虫定期去爬取被防护站点的页面内容,检测关键字、病毒、木马、广告外链、站点可用性、网站的漏洞,等,并实时或周期性给客户发送报告。如果客户有需要,可以把被监测的站点托管给云端专家,由专家帮助进行事件的处置。这个产品的技术含量还是比较高的,技术难度在于两个:
1、爬虫的效率
2、检测算法的准确性
这3类产品有一些技术共性,如下:
1、都需要建立大量的云端节点(贵)
2、都需要购买大量的带宽资源(贵)
3、对产品安全引擎算法的准确度要求比较高(技术门槛高)
4、对事件处置的实时性要求比较高(对服务要求高)
和传统安全产品比,这3类产品具备一些特殊的优点:
1、零接触部署,不挑客户环境(不论是传统IDC还是云机房都可部署)
2、按需收费,不像传统硬件产品一锤子买卖
3、只要客户规模上去了,客户留存率是利润的关键
4、可实时开通,客单价小,成交周期短
这3个产品,让安全厂商是又爱又恨。爱的是他有比传统产品更小的部署成本、更快的成交周期以及细水长流的收费模式;恨的是对技术和服务的要求都比较高,初期投资成本大,批量获客难。不过从长远看,所有安全产品终究会回归到安全即服务的本质,回归到按实际效果收费的模式。从这个角度看,早布局,迎接变化趋势,也未尝不是一件好事。
| 3、市场情况(规模、玩家、客户) |
国内市场规模大致10亿+这个区间。
巨头有两类:
1、云巨头
2、网络巨头
3、安全底子比较厚的传统网络安全厂商。
现在分别说一下原因。
云巨头和网络巨头,分别掌握了大量的基础设施资源,以及丰富的客户。比如阿里云上的客户,数量大,且基础设施托管在阿里云,本身就需要云清洗、云WAF、云扫描的服务,阿里叫做“云盾”系列就是主要指的这几个产品。从资源的成本角度,以及获客成本角度,云巨头做SaaS安全产品具备天然的优势。而安全人才,因为云巨头薪资体系比传统安全厂商高一个level,所以组建团队的模式简单粗暴:挖人。这也是这几年云巨头的安全产品迅速崛起的一个模式。
网络巨头也类似,运营商国内就那么几家,本身带宽的基础设施就遍布全国,且传统政企客户上云后也往往上运营商的云机房,顺带在卖计算和带宽资源的同时,提供安全SaaS服务,获客成本低,能起量。和云巨头不同的是,运营商的薪资和传统安全厂商比没有太大优势,所以这类服务的建设模式往往通过采购安全厂商的设备和服务来实现安全云的建设。因为运营商采购量巨大,入围的厂商多,价格低,因此也能够迅速以低成本的方式建设“安全云”。比如国内电信“云堤”、联通“云盾”、以及移动公有云系列,都是这个模式。
传统CDN厂商近年来也在尝试SaaS安全转型,比如国内的网宿,因为具备丰富的CDN资源,也在积极转型,看起来效果还不错。
传统底子厚的网络安全厂商,做SaaS化安全的也不少,头部厂商基本都涉足了,但是属于没有挣到大钱的那种情况,一般在几千万到一个亿区间徘徊。原因是既没有现成的网络和计算基础设施资源,也没有现成的成批量的客户,获客成本非常高。另外,toB的销售模式,不适合toC的中小客户。例如转型决心最大的厂商某服,这块做的收入也不是很理想。比较能成规模的,主要是做监管单位,比如网监、通管局、政府,等等。这些监管单位本身下面的字单位就非常多,信息系统也很多,搞定监管部门,一次性就可以大量获客。
Saas安全产品的客户,大致分为2类:
1、小客户
2、大B客户
小客户很容易理解,只要是有需要,或者被攻击了,就需要购买SaaS类服务。比如网站被人DDos了,web服务器被黑了,被挂马了,就需要用到SaaS类服务。如前几年的互金,游戏,做网店的,都是购买的常客。不过这类用户的续约率不是很高,只要攻击过去了不再需要,往往会退订服务。
另外,对小客户能够批量获客的,唯有公有云巨头和网络巨头,因为他们的基础资源上本来就承载有大量的中小客户,出了安全问题,购买产品的时候第一时间客户也会想到找宿主厂商采购,因为部署和使用、计费会比较方便。
大B客户,特别是规模比较大的客户,本身信息系统门类就比较多,他们会以服务的眼光来看待SaaS安全产品。比如,对若干个网站,购买云监测服务,周期性地对网站进行可用性、病毒木马、关键字等监测,甚至把处置的任务托管给安全厂商,省时省力且防护效果还比较好;
另外一种大B客户是具有监管职能属性的单位,像前面说的网监、通管局、国资委职能部门、金融,等等。这类客户的特点就是他下面有很多二级单位,安全由集团总部统一监管和问责。比如银行的总行,需要监测和管理分行们的网站业务安全;通管局在重点保障时期,需要保证托管在IDC的各级政府的网站安全;金融客户需要实时监测网站的可用性,以及监测网站有没有被仿冒,等等。
这类客户是传统安全厂商转型SaaS安全后,重点营销的对象。因为这些大B客户,本身就是传统安全厂商的主要客户,且能一次性获取比较大的一个项目合同额度,获客成本低;另外这些客户合规需求强,对安全服务的依赖和认可度也比较高,续费率高,这都是含金量非常高的宝贵客户资源。
综上,在SaaS这个云安全产品分类中,主要玩家是云巨头、网络巨头以及传统安全厂商。这三类玩家,利用自己的技术优势和客户资源优势,分别建立起了自己的产品壁垒,并持续地向前推进。
| 4、发展趋势(技术趋势、商业趋势) |
技术角度:
从技术角度来看,随着云迁移的进一步深入,相信未来大比例的业务应用会迁移到云上。因此,未来的安全产品,本着“一切皆服务”的理念,我认为大部分独立的安全产品今后都会成为SaaS安全产品的一个分支。也就是说,越来越多的安全产品,会以SaaS化的形态提供给客户。
从技术角度来看,安全“云原生”、“网原生”,会成为另一个趋势。所以我认为未来SaaS安全会和云、网融合地更加紧密,甚至成为云、网的一个天然组成部分。比如,很可能阿里云以后提供的云资源,本身就自带安全属性;电信、移动提供的宽带产品,会成为“安全宽带”。
从技术角度来看,SaaS安全产品的服务会越来越重要。因为能购买SaaS安全产品的,都是非常看重防护效果的客户。而安全的复杂性、实时性,都需要配套的安全服务。从某种意义来讲,只有安全服务做好了,SaaS才有销路(续存率)。
商业角度:
从商业角度看,玩家中的云巨头和网络巨头,一定会加速安全和云网的融合,把自己的资源优势发挥到极
致,从安全产品中获取更大的利润。而玩家中的传统安全厂商,情况就紧迫得多了。预测他们一方面会自建越来越多的安全节点(摆脱资源劣势),一方面会发挥出攻防研究的优势把服务做好,甚至把云巨头和网络巨头变成管道,把品牌做到最终用户的心智里面去,从而和巨头抗衡。
在这里值得一提的是,传统安全厂商这几年在积极布局大B客户的“安全运营中心”业务,就是和传统优质客户比如政府、金融、能源、教育等,合作成立安全运营中心,通过云化的安全节点+安全运营服务,圈地占地,未来收割项目。比如启明星辰在2016年启动了安全运营中心计划,目前在全国已经建立了上百个安全运营中心;奇安信、绿盟、天融信也紧跟其后,纷纷在全国建立安全运营中心,目前基本全国二级地市以上城市都已经瓜分完毕,准备进入下一步的收入高速增长的阶段。
| 总结 |
目前来看,市场还处于成型过程中,巨头和传统安全厂商之间有竞争也有合作。而随着盘子越做越大,洗牌的那一天终究会到来。从市场地位看,传统安全厂商的形势更加紧迫,所以这个阶段是积极布局和积蓄力量的关键时期。到了最后,一定是非常激烈的竞争情况。那个时候,做好了准备的厂商,才能在洗牌中存活下来。