默安CTO云舒:CSPM更具落地性 将填补CWPP之外的云安全空白
数字化转型推动企业对云的需求和依赖性不断上升,据信通院《云计算白皮书(2023年)》报告显示,我国云计算市场规模在2022年达到4550亿元,较2021年增长40.91%,报告预计处于快速发展期的我国云计算市场规模到2025年将超万亿元。
云从根本上兑现了其承诺的业务成果,以至于调研机构眼中的云已经从技术颠覆者转变为业务颠覆者。然而安全问题仍然是企业上云用云的关键阻碍。相较而言,网络安全公司在云安全产品市场化方面正在不断创新,以求在传统的云安全市场上找到用户真正的需求点。
默安科技于2022年推出了自家的CSPM(云安全态势管理)产品,据了解,这也是国内为数不多的真正意义上的CSPM产品。近日,安全419就与默安科技CTO云舒围绕该产品的市场化打造相关背景进行了深入交流。
“云安全不等于安全资源池。”持此观点的并非默安科技一家,云是一个大的生态,早已不是虚拟机时代,这已是创新云安全厂商的标准理解。据云舒介绍,考虑到国内云环境的独特性,传统的云安全做法在广泛的数字化时代已经不能完全满足客户的现实需求。
从安全厂商的产品市场化角度来看,云安全资源池和CWPP(云工作负载保护平台)只是解决一些从传统IDC就存在,一直延续到了云上继续存在的老问题。云其实引入许多新问题,云也不仅仅只是云主机。安全厂商需要将眼光放的更远一些,从而面向客户真正的且迫切需要解决的安全问题层面上来,并且从中稳固自身战略定位。
“像是云上各种资源的配置,云主机之外,还有各种对象存储服务、块状存储服务、关系数据库之类的服务、VPC(虚拟私有云)、安全组、云上的负载均衡、IAM(身份识别与访问管理)等等。”
这也是为什么默安选择在恰当的时间推出CSPM产品,默安科技CSPM推出的时间点在2022年,命名为“宵明-云安全态势管理平台(CSPM)”,根据官方介绍,该产品可在一个统一的界面中将最佳安全实践应用于混合云、多云,识别并自动修复复杂云环境中的安全问题,保护云基础架构以及云上数据安全。
CSPM源于Gartner对于云安全的未来趋势定义,CSPM关注对云安全风险的持续管理,主要用来解决IaaS和PaaS的错误配置导致的安全风险。CSPM可以发现配置错误、评估数据风险、持续监控云环境、合规性监测等,发现问题后报告用户或直接自动修复。
Gartner早在2016年就提出了类似概念,之后正式定义为CSPM(云安全态势管理),随后该技术被Gartner力荐为十大安全方向。其强调,几乎所有针对云服务的成功攻击都是客户配置错误、管理不善和错误的结果。企业应投资于云安全态势管理流程和工具,以主动和被动地识别和修正这些风险。
云舒表示,默安科技早年就储备了CSPM产品对应的模块化能力,并已经在其漏扫产品(巡哨)、云原生保护平台(尚付CNAPP)产品当中全面植入了相应的CSPM各项模块化能力。概念先于产品,默安科技之所以还是推出单独的CSPM,其一是因为自身的产品线要有更精准的战略市场定位,数字化推动云的跨越式增长就是这样一个恰当的时机。
“国内云的用量将越来越多,默安接触每个客户都在用云,都是混合云、多云的模式,CSPM这样一款产品将非常适合应对多云的安全管理,去解决CWPP覆盖不到的那一部分。”云舒解释称。
更具落地可行性预期CSPM将填补CWPP之外的云安全空白
宵明CSPM是默安科技云原生安全产品线的第二款产品,默安科技此前已经打造了尚付云原生保护平台CNAPP,那么为什么CNAPP同样能解决的事情(CNAPP包含CSPM能力),默安科技还要再打造出一款CSPM单品呢?根据云舒的说法,问题就出在可落地性上面。
国内安全厂商并不缺乏创新,缺的是创新产品是否能够落地的市场环境。默安科技的CNAPP方案在战略上选择不包含CWPP模块,就是希望方案落地时规避掉不再适合去竞争的CWPP市场。用云舒的原话就是:“客户已经购买了友商的CWPP产品,还能让他们换成我们的吗?”
就算是默安科技的CNAPP不包含CWPP功能,CNAPP从开发安全到容器运行时保护的维度本身就很大,这导致CNAPP是一个很重的方案,如此其方案本身就先天性的存在落地困难问题。比如就有部分头部安全厂商向安全419透露过已有CNAPP立项规划,但就是产品迟迟拿不出来,这并不是研发出了问题,归根到底还是商业战略方面的落地问题。
云舒指出,相对而言CSPM是一个非常轻量级的产品,比如方案本身可以纯SaaS交付或私有化软件交付,从客户购买到交付部署只需要几分钟就能解决。当然,产品轻量级不代表其功能也是如此,从国际上CSPM产品趋势定义上来看,其功能性也在不断向外延展。就是说,CSPM既轻量又实用。
云舒告诉安全419,CSPM产品最开始关注的点会相对较窄,到现在逐渐成为一个大的平台,CSPM已经不仅仅是云的安全配置管理,而是包括了云上的数据安全(DSPM)、云上身份特权管理(CIEM)、云安全检测与响应(CDR)等等功能模块,CSPM产品除了不太会涉及CWPP之外,CSPM将会填补CWPP之外的云安全问题空白。
“即使在CWPP领域,CSPM后面也会涉及一部分,它会对运行中的云主机打快照,去扫描快照。这样可以发现云主机里面的一些错误配置、有漏洞的组件等等一些风险信息。但相对而言,CSPM并不具备CWPP领域内的阻断、修复能力。”云舒补充表示。
CSPM产品实践难点 默安科技要做先行者夺取核心优势
安全419在2022年底报道的美在线教学平台数据泄露事件,就是一起云存储配置出错引起的重大安全事件,该起事件的研究团队vpnMentor在随后也联系了我们,从其透露出的信息来看,共计22TB以上云上数据受事件影响疑似泄露,数据包含10万名学生敏感信息以及教学文件、密钥、源代码等敏感信息。
根据各大调研机构的说法,因为人的问题导致的错误配置占安全事件整体的接近60%比例,这显示了CSPM产品的基础功能存在极为广泛的市场应用空间。云舒告诉安全419,因为人的技术储备问题,以及企业用云量不断上升,理解每一朵云和不同云服务的正确配置将是一个重大挑战。
“一家企业可能同时拥有几朵云,如果涉及出海业务,可能还会用到AWS、Azure,运维人员、安全人员根本没有能力或是精力去把全国、全世界这么多云的成百上千的云服务、云产品安全配置规范都理解清楚,所以就需要一款产品来帮他们解决这一问题。”
谈及此处,CSPM产品的实践难点也是显见的。云舒直言,下层环境决定上层应用,默安CSPM产品除了提供适应国内主流云环境的平台基础功能外(多云资产可见性、云上数据保护、持续性云上合规、云上身份特权管理、云入侵检测与响应),其产品打造时很大一部分精力都放在了不同云厂商的适配上。
根据云舒的说法,CSPM产品具有落地性,而从产品打造实践上,主要就是适配方面具有一定挑战性,这与国内的云不够标准化有比较大的关系,在这方面,默安科技前期用了四个月时间去适配不同的云。
“像我们现在对接的国内阿里云、腾讯云、华为云、天翼云、浪潮云、京东云等等,尤其是专有云的对接上,甚至还有版本区分,这样API就会有很大变化,甚至有些API没有标准文档,或者是包括一些公有云的标准文档都不是很全,根据不同云厂商完善的生态建设上的不同,实现全面的CSPM产品对接在国内是比较困难的,要花大量的时间和精力去做。”
据悉,默安科技成立于2016年,早期研发的蜜罐产品在行业内较为知名,通过不断的技术迭代,已成为欺骗防御市场上的创新引领者。根据云舒的说法,在默安科技做蜜罐时市场上只有他们一家,现在已经多得数不过来,至少有好几十家。
云舒想表达的有两层含义,其一是默安科技不想走跟风路线,其二是网安市场上各个安全厂商之间并不存在绝对的不可逾越的技术优势,你能做的我也能做,我能做的你当然也能做。
“比如我们CSPM产品的核心技术,包括各项功能模块,如将等保二级、三级,包括云上的扩展要求,以及GDPR、PCIDSS、CIS、HIPAA等等一些法律法规的相应条款全面映射到云厂商的各种安全配置当中,当然我们还做了一些重点行业的合规映射。但这件事默安科技能做,别人其实也都能做。”
而一款产品和解决方案能够获得成功,重点还是要有战略层面的市场优势,必须要做先行者。竞争优势需要务实一些,是慢慢做出来的。“你需要比别人更早看到它,并且在做的过程中不断打磨优化你的产品,向更多的客户学习,向更多的行业学习,从而不断夯实产品的先发优势。”云舒强调称。
尾声:
IBM发布的《2022年数据泄露成本报告》就指出,近一半的数据泄露发生在云上,在企业的云安全实践方面,17%的企业云安全实践方面几乎为零,26%的企业处于云安全实践早期阶段,只有23%的企业处于成熟阶段。
Fortinet最近发布的《2023云安全报告》称,云安全仍然是一个重要问题,95%的受访组织担心其在公有云环境中的安全状况,为应对安全方面的担忧,已有60%的组织表示将增加预算,以全面提升云的安全可见性。这一预期将促使企业在云安全领域整体消费能力增长33%。
用云量不断上升,云安全本身也有了更好的生存土壤,并伴随着技术的进步与变化,云安全也在不断进步的道路上持续深层发展。默安科技创始团队均出身阿里云,对国内的云基础设施架构以及云安全产品具有丰富的参与建设经验,更懂云更懂云安全是他们的最大优势,这款CSPM未来是否能够得到企业客户的青睐,我们也将拭目以待。