默安CTO雲舒:CSPM更具落地性 將填補CWPP之外的雲安全空白
數字化轉型推動企業對雲的需求和依賴性不斷上升,據信通院《雲計算白皮書(2023年)》報告顯示,我國雲計算市場規模在2022年達到4550億元,較2021年增長40.91%,報告預計處於快速發展期的我國雲計算市場規模到2025年將超萬億元。
雲從根本上兌現了其承諾的業務成果,以至於調研機構眼中的雲已經從技術顛覆者轉變爲業務顛覆者。然而安全問題仍然是企業上雲用雲的關鍵阻礙。相較而言,網絡安全公司在雲安全產品市場化方面正在不斷創新,以求在傳統的雲安全市場上找到用戶真正的需求點。
默安科技於2022年推出了自家的CSPM(雲安全態勢管理)產品,據瞭解,這也是國內爲數不多的真正意義上的CSPM產品。近日,安全419就與默安科技CTO雲舒圍繞該產品的市場化打造相關背景進行了深入交流。
“雲安全不等於安全資源池。”持此觀點的並非默安科技一家,雲是一個大的生態,早已不是虛擬機時代,這已是創新雲安全廠商的標準理解。據云舒介紹,考慮到國內雲環境的獨特性,傳統的雲安全做法在廣泛的數字化時代已經不能完全滿足客戶的現實需求。
從安全廠商的產品市場化角度來看,雲安全資源池和CWPP(雲工作負載保護平臺)只是解決一些從傳統IDC就存在,一直延續到了雲上繼續存在的老問題。雲其實引入許多新問題,雲也不僅僅只是雲主機。安全廠商需要將眼光放的更遠一些,從而面向客戶真正的且迫切需要解決的安全問題層面上來,並且從中穩固自身戰略定位。
“像是雲上各種資源的配置,雲主機之外,還有各種對象存儲服務、塊狀存儲服務、關係數據庫之類的服務、VPC(虛擬私有云)、安全組、雲上的負載均衡、IAM(身份識別與訪問管理)等等。”
這也是爲什麼默安選擇在恰當的時間推出CSPM產品,默安科技CSPM推出的時間點在2022年,命名爲“宵明-雲安全態勢管理平臺(CSPM)”,根據官方介紹,該產品可在一個統一的界面中將最佳安全實踐應用於混合雲、多雲,識別並自動修復複雜雲環境中的安全問題,保護雲基礎架構以及雲上數據安全。
CSPM源於Gartner對於雲安全的未來趨勢定義,CSPM關注對雲安全風險的持續管理,主要用來解決IaaS和PaaS的錯誤配置導致的安全風險。CSPM可以發現配置錯誤、評估數據風險、持續監控雲環境、合規性監測等,發現問題後報告用戶或直接自動修復。
Gartner早在2016年就提出了類似概念,之後正式定義爲CSPM(雲安全態勢管理),隨後該技術被Gartner力薦爲十大安全方向。其強調,幾乎所有針對雲服務的成功攻擊都是客戶配置錯誤、管理不善和錯誤的結果。企業應投資於雲安全態勢管理流程和工具,以主動和被動地識別和修正這些風險。
雲舒表示,默安科技早年就儲備了CSPM產品對應的模塊化能力,並已經在其漏掃產品(巡哨)、雲原生保護平臺(尚付CNAPP)產品當中全面植入了相應的CSPM各項模塊化能力。概念先於產品,默安科技之所以還是推出單獨的CSPM,其一是因爲自身的產品線要有更精準的戰略市場定位,數字化推動雲的跨越式增長就是這樣一個恰當的時機。
“國內雲的用量將越來越多,默安接觸每個客戶都在用雲,都是混合雲、多雲的模式,CSPM這樣一款產品將非常適合應對多雲的安全管理,去解決CWPP覆蓋不到的那一部分。”雲舒解釋稱。
更具落地可行性預期CSPM將填補CWPP之外的雲安全空白
宵明CSPM是默安科技雲原生安全產品線的第二款產品,默安科技此前已經打造了尚付雲原生保護平臺CNAPP,那麼爲什麼CNAPP同樣能解決的事情(CNAPP包含CSPM能力),默安科技還要再打造出一款CSPM單品呢?根據雲舒的說法,問題就出在可落地性上面。
國內安全廠商並不缺乏創新,缺的是創新產品是否能夠落地的市場環境。默安科技的CNAPP方案在戰略上選擇不包含CWPP模塊,就是希望方案落地時規避掉不再適合去競爭的CWPP市場。用雲舒的原話就是:“客戶已經購買了友商的CWPP產品,還能讓他們換成我們的嗎?”
就算是默安科技的CNAPP不包含CWPP功能,CNAPP從開發安全到容器運行時保護的維度本身就很大,這導致CNAPP是一個很重的方案,如此其方案本身就先天性的存在落地困難問題。比如就有部分頭部安全廠商向安全419透露過已有CNAPP立項規劃,但就是產品遲遲拿不出來,這並不是研發出了問題,歸根到底還是商業戰略方面的落地問題。
雲舒指出,相對而言CSPM是一個非常輕量級的產品,比如方案本身可以純SaaS交付或私有化軟件交付,從客戶購買到交付部署只需要幾分鐘就能解決。當然,產品輕量級不代表其功能也是如此,從國際上CSPM產品趨勢定義上來看,其功能性也在不斷向外延展。就是說,CSPM既輕量又實用。
雲舒告訴安全419,CSPM產品最開始關注的點會相對較窄,到現在逐漸成爲一個大的平臺,CSPM已經不僅僅是雲的安全配置管理,而是包括了雲上的數據安全(DSPM)、雲上身份特權管理(CIEM)、雲安全檢測與響應(CDR)等等功能模塊,CSPM產品除了不太會涉及CWPP之外,CSPM將會填補CWPP之外的雲安全問題空白。
“即使在CWPP領域,CSPM後面也會涉及一部分,它會對運行中的雲主機打快照,去掃描快照。這樣可以發現雲主機裡面的一些錯誤配置、有漏洞的組件等等一些風險信息。但相對而言,CSPM並不具備CWPP領域內的阻斷、修復能力。”雲舒補充表示。
CSPM產品實踐難點 默安科技要做先行者奪取核心優勢
安全419在2022年底報道的美在線教學平臺數據泄露事件,就是一起雲存儲配置出錯引起的重大安全事件,該起事件的研究團隊vpnMentor在隨後也聯繫了我們,從其透露出的信息來看,共計22TB以上雲上數據受事件影響疑似泄露,數據包含10萬名學生敏感信息以及教學文件、密鑰、源代碼等敏感信息。
根據各大調研機構的說法,因爲人的問題導致的錯誤配置佔安全事件整體的接近60%比例,這顯示了CSPM產品的基礎功能存在極爲廣泛的市場應用空間。雲舒告訴安全419,因爲人的技術儲備問題,以及企業用雲量不斷上升,理解每一朵雲和不同雲服務的正確配置將是一個重大挑戰。
“一家企業可能同時擁有幾朵雲,如果涉及出海業務,可能還會用到AWS、Azure,運維人員、安全人員根本沒有能力或是精力去把全國、全世界這麼多雲的成百上千的雲服務、雲產品安全配置規範都理解清楚,所以就需要一款產品來幫他們解決這一問題。”
談及此處,CSPM產品的實踐難點也是顯見的。雲舒直言,下層環境決定上層應用,默安CSPM產品除了提供適應國內主流雲環境的平臺基礎功能外(多雲資產可見性、雲上數據保護、持續性雲上合規、雲上身份特權管理、雲入侵檢測與響應),其產品打造時很大一部分精力都放在了不同雲廠商的適配上。
根據雲舒的說法,CSPM產品具有落地性,而從產品打造實踐上,主要就是適配方面具有一定挑戰性,這與國內的雲不夠標準化有比較大的關係,在這方面,默安科技前期用了四個月時間去適配不同的雲。
“像我們現在對接的國內阿里雲、騰訊雲、華爲雲、天翼雲、浪潮雲、京東雲等等,尤其是專有云的對接上,甚至還有版本區分,這樣API就會有很大變化,甚至有些API沒有標準文檔,或者是包括一些公有云的標準文檔都不是很全,根據不同雲廠商完善的生態建設上的不同,實現全面的CSPM產品對接在國內是比較困難的,要花大量的時間和精力去做。”
據悉,默安科技成立於2016年,早期研發的蜜罐產品在行業內較爲知名,通過不斷的技術迭代,已成爲欺騙防禦市場上的創新引領者。根據雲舒的說法,在默安科技做蜜罐時市場上只有他們一家,現在已經多得數不過來,至少有好幾十家。
雲舒想表達的有兩層含義,其一是默安科技不想走跟風路線,其二是網安市場上各個安全廠商之間並不存在絕對的不可逾越的技術優勢,你能做的我也能做,我能做的你當然也能做。
“比如我們CSPM產品的核心技術,包括各項功能模塊,如將等保二級、三級,包括雲上的擴展要求,以及GDPR、PCIDSS、CIS、HIPAA等等一些法律法規的相應條款全面映射到雲廠商的各種安全配置當中,當然我們還做了一些重點行業的合規映射。但這件事默安科技能做,別人其實也都能做。”
而一款產品和解決方案能夠獲得成功,重點還是要有戰略層面的市場優勢,必須要做先行者。競爭優勢需要務實一些,是慢慢做出來的。“你需要比別人更早看到它,並且在做的過程中不斷打磨優化你的產品,向更多的客戶學習,向更多的行業學習,從而不斷夯實產品的先發優勢。”雲舒強調稱。
尾聲:
IBM發佈的《2022年數據泄露成本報告》就指出,近一半的數據泄露發生在雲上,在企業的雲安全實踐方面,17%的企業雲安全實踐方面幾乎爲零,26%的企業處於雲安全實踐早期階段,只有23%的企業處於成熟階段。
Fortinet最近發佈的《2023雲安全報告》稱,雲安全仍然是一個重要問題,95%的受訪組織擔心其在公有云環境中的安全狀況,爲應對安全方面的擔憂,已有60%的組織表示將增加預算,以全面提升雲的安全可見性。這一預期將促使企業在雲安全領域整體消費能力增長33%。
用雲量不斷上升,雲安全本身也有了更好的生存土壤,並伴隨着技術的進步與變化,雲安全也在不斷進步的道路上持續深層發展。默安科技創始團隊均出身阿里雲,對國內的雲基礎設施架構以及雲安全產品具有豐富的參與建設經驗,更懂雲更懂雲安全是他們的最大優勢,這款CSPM未來是否能夠得到企業客戶的青睞,我們也將拭目以待。