云计算快速落地,云安全发展可期
云栖号:https://yqh.aliyun.com
第一手的上云资讯,不同行业精选的上云企业案例库,基于众多成功案例萃取而成的最佳实践,助力您上云决策!
中国企业上云步骤加快,但与发达国家差距明显。随着科技的发展和信息技术的不断普及,经济数字化的浪潮愈演愈烈,人们在生产生活中要面对和处理的数据规模与数据种类越来越庞大,对于运算效率和资源环境的需求也越来越高,传统的硬件计算机和服务器模式已经难以满足人们的需求,越来越多的企业选择将各种信息、业务上云,企业的应用和管理也逐渐云端化。
根据《中国云计算产业发展白皮书》,2016年,欧洲国家的上云率已经超过60%,美国企业上云率更是高达80%,但我国企业的上云率才不到40%,这意味着云计算产业在我国至少还有3-5的成长期。
与全球相比,中国的云计算市场成长空间大。从全球视野来看,我国的云计算技术的发展和应用目前仍处于起步阶段。根据艾媒咨询的研究,尽管云计算已经发展10年,但中国云计算市场整体规模较小,落后全球云计算市场3至5年。在全球云计算市场趋于稳定增长的背景下,中国云计算市场正处于高速增长阶段。
国内政策利好推动企业上云,云计算市场未来可期。从2015年开始,政府就陆续出台多种政策促进企业运用云计算加快数字化发展。2017年,工信部出台《云计算发展三年行动计划(2017-2019年)》,在计划的指导下,各地政府陆续推出鼓励企业上云的行动计划和实施方案,从应用端扩大云计算市场的需求量。
2018年,工信部印发了《推动企业上云实施指南(2018-2020)》,提出了企业上云的工作目标,到2020年,云计算在企业生产、经营、管理中的应用广泛普及,全国上升新增上云企业100万家。云计算作为国家正在加快培育和发展的七大战略性新兴产业之一,正在享受政策红利进入快速发展赛道。
云计算应用范围广,政商数据安全需求高
目前,由于云计算显著的弹性计算,应用灵活的优势,在各个领域都有所运用。
当前我国的云计算技术主要运用于政务、金融、交通、能源和和电信方面,在政务云、金融云、交通云、能源云和电信云等领域发挥着重要的作用。
根据《中国云计算产业发展白皮书》,互联网、物流、金融、电信、能源、制造、政府、医疗占比分别为60.3%、7.8%、6.2%、5.7%、5.5%、4.2%、3.6%和3.1%。
云计算覆盖范围广,政商数据安全需求高。随着云计算逐渐在各个领域发挥重要作用,政商企业对其安全要求也越来越高。目前,云计算主要覆盖政务、金融、交通、电信等影响范围广、数据保密性要求高的行业,这些行业的数据具有私密性和广泛性的特点,一旦泄露,将会对国家经济金融安全和民生安全造成巨大的影响。
因此,安全可控成为政企用户上云的一个重要考量。因此,鉴于云计算承载的业务应用日益增强的重要性,政府和大型企业用户对云计算技术的自主、安全、可控等安全合规的要求会明显提升。
云攻击形态多样化,云安全需求提升
在云成为趋势的情况下,攻击形态更加严峻。随着云计算市场规模的不断扩大,其所面临安全问题也日益增多,除了传统安全问题外,它还面临着云计算场景所带来的新的安全挑战。
在传统的家用网络或企业网络中,攻击者会根据攻击目标暴露的资产和服务情况,自外向内逐层进入,使用相对固定的攻击路径。但是在云平台上,不仅传统网络架构中的DDoS、入侵、病毒等安全问题是常态问题;针对云平台架构的虚拟机逃逸、资源滥用、横向穿透等新的安全问题也层出不穷;而且,由于云服务成本低、便捷性高、扩展性好的特点,利用云提供的服务或资源去攻击其他目标的也成为一种新的安全问题。
云生态环境下的攻击路径增加,云资源作为攻击源的比例高。根据腾讯云安全团队的研究,在云生态环境下,攻击者可以拥有比传统攻击方式更多的选择。
不仅可以选择从Internet环境下攻击云租户和平台的纵向攻击路径,而且还可以在成功获取到租户或平台系统的一定权限后,利用网络或共享资源进行横向迁移的横向攻击路径,从而进一步扩大攻击范围,获取其他租户和系统的资源、数据或访问权限,从而扩大攻击效果。
云资源作为攻击源的比例在所有国内攻击源中已接近一半。在云计算生态环境下,由于云生态环境下虚拟化技术、共享资源、相对复杂的架构、以及逻辑层次的增加,从而使得攻击者可使用的攻击路径和复杂度也大大增加,进一步加大了防护的难度。
根据国家互联网应急中心最新发布的《2018年互联网网络安全报告》中显示,云平台已经成为发生网络攻击的重灾区,在各类型的网络安全事件数量中,云平台上的DdoS攻击次数、被植入后门的网络数量、被篡改的网站数量占比均超过50%。
据中商产业研究院的数据显示,2018年中国云安全市场规模达约38亿元,增长45%。随着信息安全越来越受到重视,云安全市场将进一步扩大。预计2019年,中国云安全市场规模将达56亿元,增长近50%。到2021年,预计我国云安全市场规模将超100亿元。
多重政策利好,云安全迎来发展良机
随着互联网的广泛应用和信息技术的日益更新,随之而来的网络安全问题也日益严重。在一系列网络安全事件之后,我国对网络安全的重视迅速提升。
2016年,我国颁布《网络安全法》,将其作为网络安全领域基础性、全局性的法律。它的实施正式将网络安全上升到国家安全的战略高度,使网络安全成为国家安全观的重要组成部分。而伴随着2017年《网络安全法》的实施,我国新一代的等级保护制度的发布,网络安全迎来快速发展时期。
等保2.0加入云计算安全扩展要求,云计算安全规划化和标准化。等保2.0中加入了对于云计算的安全扩展要求,企业对安全对象进行定级后,需要满足相应的安全规范。其中,云计算安全扩展要求控制项目一级11项、二级29项、三级46项、四级49项。
同时,每一级安全扩展要求都分为五个部分,即安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全建设管理。等保2.0将云平台和云上信息系统都纳入了等级保护的范围,这意味着企业需要在此基础之上更好地进行网络安全合规建设,网络安全行业需求将在未来迎来重要的边际改善。
云计算平台风险评估加快,云安全问题越来越受关注。云安全作为信息安全的子行业,根据安全牛的分类,包括云抗D、云WAF、云身份管理、云基础架构安全和云主机安全。
随着云计算在政府、金融、电信等领域的广泛应用,云安全也逐渐成为政府着重关注的领域。在2019年1月开始实施的《云计算服务安全评估办法》就是为了提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平。
其重点评估内容包括:云服务商的征信、经营状况等基本情况;云服务商人员背景及稳定性,特别是能够访问客户数据、能够收集相关元数据的人员;云平台技术、产品和服务供应链安全情况;云服务商安全管理能力及云平台安全防护情况;客户迁移数据的可行性和便捷性;云服务商的业务连续性等。
行业标准确立,云安全迎来发展良机。我国从2013年起就发布了可信云评估参考办法,为企业各种信息和业务上云奠定基础。在2015年发布的《云计算综合标准化体系建设指南》更是将云计算平台的安全体系建设推入了规范化发展阶段。
公有云安全集中度持续提升
从2006年谷歌首次提出“云计算”概念,2008年趋势科技提出“云安全”概念,到今日云计算市场达到千亿级规模,云生态圈已经发展了10年有余,在这个过程中,企业的需求端和政府的政策端都为云计算市场的发展提供了良好的环境。与此同时,基于云计算技术架构(Cloud-Client)构建的下一代内容安全防护解决方案,以及Web信誉服务、电子邮件信誉服务、文件信誉服务、行为关联分析技术、自动反馈机制、威胁信息汇总等技术的先进性、高效率、有效性都得到用户的充分验证与认可。各大安全厂商对于云安全技术的研发投入也逐渐加大,市场呈现出了更加细分化、多元化的产业格局。
公有云安全市场从分散到融合,产业集中度进一步提升。云安全市场的蓬勃发展也使得云安全领域的收购与结盟正变得愈加频繁,众多大型公司都在努力地发展其云安全业务,借助资本市场的相互渗透,完善自身的技术、市场和产品。
Gartner数据显示,AWS、微软Azure、阿里云、谷歌作为2017年全球公有云IaaS市场份额前四名,已占据69.4%的市场份额,且各厂商份额均有增长,市场集中化趋势更加显著。国内也是同样的市场格局,阿里云、腾讯云、中国电信等云服务商占据头部市场并不断扩大份额。在公有云IaaS厂商的市场集中度提升的基础上,凭借强大的研发实力,这些公司自身提供了大部分公有云安全相关产品,同时合作伙伴提供了剩下的部分产品。
私有云安全,发展前景广阔
出于数据安全性和定制化服务的考虑,政府金融等云计算用户将会选择私有云。对政府金融等云计算用户,数据和应用的安全性考量将优先于云计算平台经济性的考量,因此将重要数据放在私有云上是这类客户优先的选择。实际上,由于这类客户的体量较大,需要建立的私有云平台通常也会有较大的规模,因此这类的云平台通常也会有足够的经济性。
同时,对于大型政府和企业客户来说,由于业务繁杂,通常需要云服务提供者提供较多的定制化服务来适应客户自身的业务流程,公有云提供者由于经济和规模化的考虑,通常很少提供定制化的服务,因此,私有云将成为更好的选择。
聚焦到国内,我国传统IT产业大客户主要集中在政府、电信、金融等中大型国企央企,信息安全需求很高,对定制化也有较大需求,基于以上考虑,这些客户通常会选择私有云作为IT上云的路径,国内私有云安全市场仍将持续快速发展。
云栖号在线课堂,每天都有产品技术专家分享
立即加入圈子:https://c.tb.cn/F3.Z8gvnK
与专家面对面,及时了解课程最新动态!
原文发布时间:2020-03-10
本文作者:5G产业园
本文来自:“5G产业园公众号”,了解相关信息可以关注“5G产业园”
