云原生带来的云安全机遇(3)

软件定义业务（Software Defined X）已经在多个领域流行，如软件定义网络SDN、软件定义广域网SD-WAN、软件定义边界SDP等。控制面和数据面分离，是SDX中的一个重要概念。比如SDN的模型中，网络策略在控制面计算并下发到数据（转发）面，数据面不用具备复杂计算能力，直接执行策略做转发即可。

控制面和数据面的分合逻辑关系，在处理器设计中有，在网络设计中有，在云安全中同样有。CWPP和CSPM就是一对分别聚焦数据面和控制面的安全机制。CWPP是对云工作负载进行保护，是对数据面的安全防护。CSPM则聚焦控制面的安全属性，包括配置策略和管理工作负载、合规评估、运营监控、DevOps集成、保障调用云运营商API完整性等等。当前几乎所有的云安全事件都涉及配置错误和管控失当，而涉及到IaaS和PaaS服务的配置复杂性和用户自助之普及，更凸显正确配置和合规的重要性，这就让控制面的安全机制变得越加重要。

CSPM和CWPP是同一块硬币的两面，对于保障云应用的实际运行，密不可分。CSPM负责在云运营商提供的基础工具之外，强化控制面的安全，检查和强化正确的配置；CWPP负责数据面的安全问题，保护好各种云工作负载，两者配合的目的，都是为了云计算业务的正常开展和租户敏感数据得到妥善保护。实际上这种“策略配置检查-策略下发执行-业务过程防护”的逻辑，其内在哲学与通信网络中的做法完全一致。

数据面和控制面的云安全产品会融合组成解决方案来服务多种云和多租户。很有意思的是，从CWPP和CSPM的融合趋势来看，从CWPP往控制面发展的厂商很多，而反之则较少。笔者的解读是，CWPP在操作系统、平台和网络层面有较多特性，属于“通才”基础能力，而CSPM往往是和某个云运营商在配置和API能力上深度绑定的。从通识教育向某个方向垂直发展，符合我们求知和教育的一贯做法，大学里大家都是先上公共基础课，再学专业基础课，最后本科高年级才到专业课。

云安全在中国：IaaS和混合云的安全仍是重点

云计算市场的发展，在全球呈现出“美国”和“美国之外”两个板块的两极趋势。美国公有云和SaaS的发展，明显领先全球其他地区几个身位。中国的云计算和云安全市场，跟美国比存在较大差异，这其中有发展阶段的原因，建设习惯的原因，也有IT生态环境和竞争等原因。即使如此，我国在云计算整体大趋势上的发展，基本是与我国经济体量和发展水平对称的。

到2019年，我国云计算的市场营收，仍以IaaS为主，至今SaaS还没有广泛流行。在云计算的下半场，公有云+私有云结合的混合云仍然会是中国云市场主要形态。互联网公司布局公有云，传统行业客户出于政策监管考虑，会选安全性和可控性更强的私有云/专有云，并需要深度定制的方案和服务支持。

另一方面，无论中国还是美国，安全市场都看起来高度分散。美国2019年有5000余家安全企业，中国的对应数字是3000余家。随着云计算给信息基础设施带来的变革，加上5G、物联网和传统产业数字化（产业互联网）的发展，“云原生”带来的是极为广阔的安全市场空间。因此高度分散和海量的安全企业，背后反映的是蓬勃发展的安全细分领域，以及资本市场对于安全企业的青睐。上市等活动在安全市场非常活跃，这种活跃还将会会随着云计算的普及持续多年。

IaaS和混合云的安全作为我国云计算市场一段时间内的重点，对安全生态有很强的促进作用。细分领域的厂商可以做深做精，而在全环节解决方案上，融合、合作、联盟就成为必然选项。比如，企业主要使用IaaS服务的算力来处理敏感数据，则选择上CWPP来保护云工作负载，并使用CSPM来保证配置无误，这两者的亲和力会进一步促进融合。又如，机器学习、可视化、用户实体行为分析（UEBA）等技术，会逐渐成为各项安全产品背后的技术，特别是提升日志分析、SIEM、特权账号管理的能力。再如，软件定义边界SDP和其演进出来的零信任安全框架，融合身份权限、访问控制、安全管理等，将成为新的云业务访问方式，逐渐取代传统VPN等。

志翔科技的产品技术发展方向与以上行业发展方向正是一致的。志翔的至明智能主机安全响应系统（ZS-ISA）连续两年入选Gartner CWPP市场指南，也证明了我们在前瞻趋势方向判断上的准确和产品技术上的领先能力。后续，我们会在CWPP的微隔离、权限管控和可视化支持的基础上，继续增加主机监测响应、安全分析和机器学习能力，整合云原生API来提供适配头部云运营商的CSPM能力，并与合作伙伴一起构筑全环节安全防护能力。目前志翔云安全产品已服务于金融、能源电力、政法等多个领域，并将持续创新，助力政企“上云”和“云上”业务的可信安全体系构建。

（编辑：ASP站长网）