数字化转型基石——云上安全合规的四大趋势

前不久，谷歌母公司 Aplhbet以54亿美元收购网络安全公司Mandiant，并入谷歌云计算部门，旨在加强云平台综合能力。一石激起千层浪，全球云安全的争夺战已经“蠢蠢欲动”，不过想要在未来的云安全市场拔得头筹，对于云厂商来将，仍然需要建立一套从架构到产品应用落地的思维逻辑，来满足企业多变的业务需求。

从市场的发展趋势来看，越来越多的企业、个人、终端接入云端，云安全成为保障数据与业务安全的重要支点。此外，零信任、网格安全、隐私增强计算等，云安全领域创新层出不穷，其核心点也都在于提高全云生态的安全性与可靠性，让更多的组织愿意把业务放到云上。

根据计世资讯统计数据显示，云安全市场正处爆发式增长趋势。2020年，中国云安全市场规模达到80.4亿元，同比增长45.9%；2021年中国云安全市场规模达到117.7亿元，同比增长46.4%；预计到2022年，中国云安全市场规模将达到173.3亿元左右，同比增长47.2%。

具体来看，《网络安全法》、《数据安全法》和《关键信息基础设施保护条例》等法律法规的相继发布，彰显了国家对于网络安全、数据安全、信息基础设施安全的重视，有力提升了各行业的安全防护意识；而数字经济高速发展深受数字政府、智慧城市、工业互联网、企业数字化转型等应用影响，伴随着云服务模式的深化应用，细分领域和场景的安全实践带来云安全市场需求的水涨船高。显然，随着云安全技术本身的愈发成熟，企业在新兴云安全技术的应用上不断追赶，有力地支撑了云安全市场的增长。

需要注意的是，虽然云计算改变了企业的业务模式和数据流通模式，但是相对于传统的数据中心，云计算从硬件资源池到服务网格都开放了相应的云服务，用户和设备数量呈现指数增长，接口上不同级别的系统数据和用户数据不停交互，用户应用在持续快速更迭，系统组件频繁暴露出各类安全漏洞，加之外部攻击和威胁也在不断变化，这些都给云计算安全带来了巨大的挑战。

因此，越来越多的企业认识到构建云安全战略是一项持续性工作，需要有自上而下的顶层设计，以安全为出发点构建云上应用。

“企业上云后，安全体验能够比自建数据中心再上一个台阶。” 亚马逊云科技大中华区战略业务发展部总经理顾凡认为，企业自建数据中心不仅需要自己构建一切，而且还要考虑安全设备管理、合同签订、成本问题等。当应用上云之后，企业并不需要关心琐碎的底层基础设施安全。此时，企业在云端的安全治理有机会再上一个台阶——充分利用云端安全服务之间的超高集成度，更好地做到安全自动化；用一个集中的平台，实现安全的可视化管理；更灵活的成本控制，按使用付费；更高效地做合规。

事实上，亚马逊云科技曾率先提出 “云安全责任共担模型”，即云厂商负责云自身的安全，包括底层云基础设施和云服务的安全，如主机操作系统、虚拟化层、物理基础设施的安全等，客户负责其云中业务安全，包括选用区域、服务、访问控制的授权、安全防护的手段等，并根据业务的实际情况和数据的重要性来采取适当的安全合规措施。以此减轻客户在底层的安全、合规负担，以责权统一原则与客户共同应对云安全威胁。

随着企业对云安全的认识增强，越来越多用户认同安全性和合规性是云服务商和客户本身的共同责任，也是企业构建云安全战略的关键，“云安全责任共担模型”已经被行业公认。目前，包括微软云Azure、阿里云、腾讯云、华为云等在内的几乎所有主流云提供商都开始坚持这一安全责任模型。

当然，在为企业提供安全及合规服务的同时，亚马逊云科技自身也在不断的保证自身的安全合规：亚马逊云科技的数据中心和网络架构以最高安全标准构建，全球所有数据中心或服务都会使用相同的构建标准和控制措施；通过深度集成的服务，实现安全自动化，减少人工配置错误，降低风险。不接触客户数据，客户始终拥有自己的数据，并且可以选择任何方式加密自己的数据；亚马逊云科技获得的安全标准及合规认证，用户可以继承，并定期对数千个全球合规性要求进行第三方验证。

在云服务安全方面，亚马逊云科技也一直坚持三个理念：利用云上的事件驱动型架构去构建自动化防护栏，而非设立关卡；云中安全是主动设计，而不仅是被动响应；云中安全必须是洋葱型的多层防护，包括威胁检测与事件响应、身份认证与访问控制、网络与基础设施安全、数据保护与隐私以及风险管控及合规，而不是一个“鸡蛋”。

凭借着出色的可见性和控制力、深度集成实现自动化、最高的安全与隐私保护标准构建、可继承的安全性与合规性控制以及丰富的安全、合规合作伙伴，亚马逊云科技不仅可以帮助客户更简单地解决安全问题，而且不设置安全方面的营收指标，让安全服务像水和空气一样，提供给用户。

写在最后

作为云计算平台发展的主要方向，云安全能力也必将成为企业衡量的重要标准。因此，快速增长的云计算需求也会带来云安全发展的新趋势。基于对市场的整体调研，计世咨讯表示2022-2023年中国云安全市场将保持以下四大趋势：

首先，云原生安全能力重构企业安全架构。云原生的安全能力和架构全面赋予云上资源和账户的资源自动伸缩、细粒度防护和全面数据加密等安全防护功能。

随着企业更多采用容器化部署、微服务应用模式等云原生方式，DevSecOps将得到越来越多企业的重视。借助 DevSecOps，客户就可以快速交付安全且合规的应用程序更改，同时以自动化方式一致地运行操作。

预计2022-2023年，手动工作流将逐渐被企业淘汰，为实现大规模的自动监测和响应，企业会更加依赖云原生安全能力。

其次，人工智能持续提升云安全能力。云环境下庞大和灵活的系统无法完全交由安全工程师来维护，大多数企业会逐渐开始依赖人工智能来增强其安全团队的建设和实践，人工智能技术也将被更深度地集成到云安全服务中。采用人工智能技术不仅可以提高效率和准确性，而且能够减少网络安全领域工作人员持续短缺的影响。

在云平台上使用人工智能技术，通过分析将任务委派给机器程序，可以更加准确地降低误报和告警，这样企业可以提前确定其最突出的风险领域并据此对资源进行优先级排序和自动化处理，安全团队也可以将精力集中在更关键或更复杂的威胁上。

再次，云服务商加快扩大安全合作伙伴社区。在云计算的所有环节，云服务商同网络安全、主机与端点安全、应用安全、身份认证与访问控制、漏洞分析、数据保护与加密、威胁检测与事件分析、安全咨询、数据治理与风险合规评估、安全自动化运维等方面的合作伙伴广泛合作，以确保客户在云旅程的各个阶段均能获得高效、安全的服务。

在国内，随着越来越多IT运维厂商的入局，未来在国内云安全市场，将形成公有云服务提供商、IT运维厂商、安全厂商共掌局面的情况。随着SIEM产品，尤其是Cloud SIEM的成熟，企业用户也会在安全管理平台内集成多家厂商的威胁检测及响应引擎来提升安全效果，Splunk、Elastic等厂商已经成为这一领域的先行者。

最后，全球化的安全和合规能力成为关注重点。随着各安全条例的逐步落地，各行业主管部门也将组织细化相关条例、指南、标准等，2022年，部分重点行业与云安全相关的保障措施有望进一步出台，金融、电子政务、制造、医疗等领域将成为云安全的重点行业。

而且，随着越来越多的跨国企业客户进入中国市场以及中国企业出海，云服务商的全球化安全和合规能力成为企业关注的重点。诸如亚马逊云科技这样具有全球基础设施和合作伙伴网络成员的云服务商，其本身已有的安全性和合规性，有助于客户满足全球几乎所有监管机构的合规性要求，从而建立了全球和国内的医疗健康、教育、支付、金融服务、能源、物联网、软件、电子商务等众多行业客户的信任。