文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Gartner发布《中国云安全市场概览》:细看云安全发展如何进入黄金时代

2024-12-02 04:05

关注

近期,国际权威咨询机构Gartner基于对中国安全市场的调查研究和中国安全产品供应商的评估发布了分析报告《中国云安全市场概览》(Top Practices for Cloud Security in China)。

不同于以往针对全球化市场给出建议,Gartner针对中国细分市场给出独立报告,足以说明中国安全市场已经为世界瞩目。

报告显示,中国是一个非常独特的市场,在云安全领域既面临一些全球共通性的挑战:例如是否或如何信任公有云,也面临一些本土特有的难点:例如技术可行性以及如何正确选择CSP。

构成公有云信任问题的主要原因是大众对于物理位置的关注超过了对于安全控制本身,而另一方面,成熟的云安全防御体系需要依靠云安全责任共担模型作基础支撑,并有效评估安全工具与CSP可能产生的风险。报告中将中国市场目前面临的问题归纳为以下三点:

正因为中国市场同全球市场的差别明显,特别是在SaaS产品的部署以及对于本地法规需求的额外考量方面。因此企业在做安全建设时不能简单地照搬国外做法,而必须确保在通用实践和本地个性化需求场景之间取得平衡。对此,报告给予了中国云安全和风险管理负责人相应的建议:

这三个建议的具体操作又引申出三个具体的问题,如何与云提供商确定安全责任的范围并建立所需的能力;如何建立云安全架构;如何有效评估CSP风险。报告围中绕这三个问题进行了详细的分析。

如何与云提供商确定安全责任的范围并建立所需的能力?

报告首先提出的是建立云安全责任共担模型。组织和企业需根据云部署的类型来理解其安全责任,通过与CSP分担一些其他安全责任,从而专注于保护其最核心的资产,并降低对数据位置的关注。

其次是建立云安全能力。传统保护数据中心的安全专业知识不适用于保护所有云资源,组织企业需建立云安全能力。

配备云安全架构师也是必不可少的。为解决云安全复杂性,组织和企业需配备云安全架构师以负责引领云安全文化变革、制定云安全策略、开发和协调云安全的安全技术和工具采用、聘用或培训云安全工程师。

最后是云安全工程师。组织/企业可通过聘用掌握网络安全、服务器安全、漏洞管理、应用程序安全和数据安全等广泛安全领域知识的云安全工程师来实现深度技术支持。

如何建立云安全架构?

云产品部署模式的多样性及责任分摊的复杂性使用户需要配备一套完善的工具组来安全地使用云。云安全厂商通常采用模块化的方法来提供服务,并将功能整合到一个组合中。报告中将其大致分为三类并做了详细的分析和研究:

本地云安全工具易于购买和实现,但需对它们根据用例、功能以及与现有内部安全工具和流程的集成来进行评估。一些全球CSP设有全球云和中国云,中国特有的法规导致了产品、技术可行性和服务模式的差异。

开源工具是云安全的选择之一。开源工具为云安全提供灵活性与创新性,也会带来新的风险,需正确管理开放源代码带来的风险与回报。通常而言,非本土供应商并不向中国境内提供所有产品与服务,他们要么商要么与本地基础设施运营商合作,要么让用户通过跨境连接获得全球服务。而中国供应商为避免与提供公有云工具的供应商竞争,多专注于内部云和私有云部署的安全工具,而非公有云,尤其是SaaS,使公有云在中国的采用率还没有发挥出全部潜力。随着全球供应商逐步提高在中国的服务可行性,以及本土供应商投资覆盖更多场景的产品,中国与世界的技术差距最终将变小。

CNAPP整合了大量过去封闭的能力,包括容器扫描、云安全态势管理、基础设施如扫码、云基础设施授权管理,一些本地厂商的产品旨在解决云原生应用程序的安全需求,但目前并没有覆盖所有领域的能力。

如何有效评估CSP风险?

报告采用的评估方法为国际通用的CSP评估模型。

经过评估,CSP共被划分为三个等级。

I 一级CSP

所有一级CSP都经过了中国MLPS三级认证和多个其他第三方安全评估。这些大型CSP保护他们的品牌形象,并不断寻求方法来鼓励更高水平的客户信任。它们主要由在市场上占据主导地位的老牌云服务提供商组成。突出案例包括:阿里云、腾讯云、华为云、ecloud、亚马逊和微软

II 二级CSP

二级CSP主要由中型提供商和一些在云计算能力上不突出的大型软件服务商构成。这些CSP在安全和操作方面相对不成熟,通常缺乏第三方评估,可能存在财务基础薄弱,偿付能力不足的问题。市场商大部分供应商都集中在这个级别。

III 三级CSP

主要指非常小的供应商,它们缺乏接受第三方评估的资源,且具备的能力非常有限,它们薄弱的财务基础很难在短时间内得到改变。你必须假设它们是不安全的,任何接受这种服务的组织/企业都必须充分意识并接受可能存在的任何风险。

此外,报告也详细介绍了几种形式的第三方评估。第三方评估或认证通常用于评估CSP的安全性。除了全球认证外,中国本土的认证在这个环节必不可少。常见的第三方认证包括几种:MLPS、可信云认证、ITSS云计算服务能力评估、中国网络空间管理局(CAC)网络安全评估、ISO 27001/27017/27018认证等。报告指出,MLPS是最重要的,中国合格的CSP必须通过MLPS三级评估。

中国云安全市场未来可期

尽管目前中国在云计算和云原生技术的发展上与西方发达国家仍存在一定差距,但云安全早已受到行业企业以及市场客户的日益关注与重视。当前已有很多国内厂商能够提供CWPP相关服务,相信随着对PaaS、容器、和云集成等能力的进一步完善,中国市场存在广阔的增长空间。

云安全服务作为网络安全服务的最新服务形式,将云计算技术和业务模式应用于网络安全领域,以云的方式交付安全能力,实现了安全即服务的理念。在网络攻击更加复杂化的环境下,云安全服务成为网络安全重要发展方向是不可逆转的趋势。

Gartner预计,到2024年,中国终端用户在系统基础设施和基础设施软件上的支出将有近40%转移到云服务支出。这一结构性的转移使得云安全成为中国安全和风险管理人优先需要关注的重点。

来源:FreeBuf.COM内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯