2019云安全厂商方案大阅兵

自从Google在年公开提出云计算的概念以来，已经过了13年的时间。随着业务上云的热潮席卷全球，越来越多的企业对云安全的认知，从最初的顾忌和恐慌，转变为盲目的信任和依赖。

然而，云计算并非企业安全的革命，云实例与我们的台式机或独立服务器其实运行着相同的操作系统。因此，数据上云依旧面临着来自硬件漏洞的威胁，服务商偷窥、工作人员不可控、安全布控成本增加等新问题也逐步体现。

随着云计算技术广泛普及，云安全问题日益受到重视，云安全市场持续快速增长。在这里，雷锋网根据中国信息通信研究院印发的《中国网络安全产业白皮书》进行了详细整理：

云安全“大阅兵”

根据Gartner数据：年全球云安全软件市场规模达到58.09亿美元，相比年增长18.4%80；Forrester81预测，年云安全支出将增长至亿美元。国内外安全厂商持续加大力度布局，年RSAC多家参展企业中，近42%提供云安全产品和解决方案。

公有云方面：云安全技术创新活跃，风险监测防御、应对多云环境、敏感数据保护等仍然是云安全热点领域。

云工作负载保护平台（CWPP82）方面：

1、Symantec的CWPP产品基于内置云原生适配器适应AWS83、Azure84和Google85云等不同云计算环境，自动探测可用域、标签、网络等云计算环境信息作为策略和告警模块的上下文信息补充，并通过安装代理实现漏洞管理、实时恶意软件保护等功能。

2、Radware86结合沙箱技术和加密挖矿控制套件，采用自动检测和自动响应来识别、警告和阻止公有云中的加密劫持挖矿活动。

3、青藤云基于自适应安全架构构建云上防护平台，为用户提供持续监控、分析及响应；椒图科技采用RASP87、ASVE88、沙盒等基于异常行为的检测技术，检测并防御未知威胁。

云访问安全代理（CASB）方向：国外主流厂商均已推出CASB产品或解决方案，如微软、Netskope89、Bitglass90、Skyhigh91等。

——国内CASB市场仍处于萌芽阶段——

1、奇安信产品云守基于对特定云应用的数据安全防护策略保障云端数据及网络安全，对云端和传输中的数据通过认证、标记化和加密等方式进行保护，产品内置AES92算法、中国标准国密SM算法等数十种算法，保证结构化及非结构化数据安全。

2、臻至科技通过使用深度学习技术按需监控相关应用及软件实现CASB能力，提供AES-GCM位加密算法、针对ARM93平台的CHACHA20算法以及流式加密等，并支持将所有密钥部署在全球区块链节点上。

容器安全方向：

1、Aqua94的CloudNativeSecurityPlatform产品提供了针对容器和无服务环境的综合型安全管理平台，包括基于CI/CD95环境扫描的漏洞管理功能、针对PCIDSS96等标准和法案的合规审计服务以及其他相关安全能力；目前国内在容器安全方向仍处于实验研究阶段。

数据防泄漏（DLP97）方向：

1、McAfee98的MVSIONCloud产品对云中数据实施防泄漏策略，自动对敏感信息进行分类，以便在云中进行删除或隔离；思睿嘉得使用机器学习、自然语言处理、文本聚类分类等技术实现数据分类分级，使用ORC99和图片相似度实现图像内容识别，支持终端策略阻断、互联网外发阻断、邮件审批等数据保护功能。

私有云方面：

除云工作负载保护平台、数据防泄漏等公私有云均适用的产品外，国内厂商聚焦于以云安全资源池为核心的云安全综合解决方案。云安全资源池提供虚拟化的安全能力，如防火墙、WAF、IDS、IPS、堡垒机、数据库审计等，并通过统一安全管理平台对各类安全能力进行组织和编排，形成整体安全方案。

1、安恒信息通过为用户提供包含云监测、云防御、云审计等覆盖全生命周期的云安全产品服务提供一站式云安全解决方案；启明星辰则运用虚拟化、软件定义安全等技术提升安全资源的利用效率并形成各项安全能力的动态编排以及实现云上引流。

国内部分云安全厂商能力介绍如表所示：

厂商们的十八般武艺

（一）三六零：云安全大脑实践

1.SaaS云安全能力

三六零云探系统是一款基于SaaS的安全服务产品。依靠安全大脑强大的云端资源，以及在搜索、终端安全、Web安全、云安全等方面积累的数亿用户群和海量数据，为用户提供网站漏洞扫描、网页篡改监测、网页挂马监测、黑词/暗链监测、可用性监测、仿冒/钓鱼网站监测、未知资产监测、DDoS攻击监测等安全监测服务。三六零云探系统旨在通过云端大数据能力，发现企业网站的安全问题。三六零云探架构如下图所示。

三六零云探架构

产品设计目标：

（1）解决网站未知资产监控问题；（2）解决网站问题发现不全问题；（3）解决网站0Day漏洞发现问题；（4）解决网站漏洞修复闭环问题；（5）解决全国可用性监控问题。

产品组成与架构：

爬虫引擎是监测平台重要的基础组件，完成对监测域名的内容爬取，以供各类分析引擎使用。大数据平台存储爬取的页面数据，检测的数据等，可用于后续做大数据分析和数据挖掘。内容监测API和运维平台主要针对已有数据进行分析,为平台提供监测结果。监测平台API和运维平台主要是将群监测的功能界面化,方便用户的日常监控及运维管理。

三六零云探可以为用户提供快速定位问题资产，提供实时托管式的安全监控服务，支持本地化和云端的SaaS化部署模式，满足各种用户部署要求。

除了三六零云探系统，还提供三六零磐云Web应用安全防护系统，为用户提供一套基于云+端的，完整的“事前预警+事中防护+事后服务”Web安全云解决方案。

2.云安全集中管理平台能力

通过NFV（网络功能虚拟化）技术把传统网络安全设备进行虚拟化以适应虚拟化云计算环境，打造可以为云上用户动态获取到云安全资源，从而使云上用户可以按需获取相应的安全能力，满足自身业务安全防护、等保合规和安全运营的需求。

云安全集中管理平台集成有丰富的安全服务组件能力，包含网络安全、主机安全、应用安全、数据安全以及安全运维审计等安全能力，可以对异构多云平台统一安全管理，安全服务编排、自助安全运营等。

（二）山石网科：基于NFV框架的云计算租户级硬件防火墙防护方案

为满足业务迁移上云的安全性，山石网科与某国内知名电信厂商配合，基于OpenStack标准框架，实现分行测试云的建设。为实现租户级的安全防护，和租户的自服务。租户之间的安全防护，首先利用SDN实现二层网络隔离。

雷锋网(

转载请注明：http://www.abuoumao.com/hykz/3826.html