中國云安全資源池創(chuàng)新洞察

傳統(tǒng)的安全保護(hù)手段注重外圍防護(hù)，多數(shù)安全工具獨(dú)立工作，無法滿足當(dāng)今企業(yè)的安全需要。隨著數(shù)字化程度的日益提高和云采用的不斷增多，企業(yè)機(jī)構(gòu)正在尋求以更加靈活、敏捷的方式部署安全能力。

云安全資源池可以提供一整套集成的安全能力，但采購集成解決方案雖然便利，卻帶來了供應(yīng)商鎖定的風(fēng)險(xiǎn)。因此，安全和風(fēng)險(xiǎn)管理（SRM）領(lǐng)導(dǎo)者在做出采購決策前，須對選擇單一解決方案供應(yīng)商的收益和風(fēng)險(xiǎn)進(jìn)行全面評估。

什么是云安全資源池

云安全資源池是一個(gè)基于軟件的集成的安全工具集，具備統(tǒng)一管理、統(tǒng)一監(jiān)控、編排和自動(dòng)化，以及合規(guī)能力。資源池集成了廠商自身生態(tài)系統(tǒng)的各種安全工具，并開放第三方安全工具的集成，提供了與云服務(wù)資源類似、可按需獲取和彈性使用的安全資源。

這些安全工具包括防火墻（FW）、Web應(yīng)用和API保護(hù)（WAAP）、漏洞管理（VM）、云工作負(fù)載保護(hù)平臺(tái)（CWPP）、云安全態(tài)勢管理（CSPM），以及容器和Kubernetes安全工具等。這些必要的核心能力為云安全資源池和以這些能力為支撐的安全工具奠定了基礎(chǔ)。

雖然云安全資源池大都部署在本地，但不少安全廠商也提供各類其他選擇。多數(shù)云安全資源池以虛擬/物理方式部署，或以軟件和服務(wù)一樣的方式來獲取。在選擇部署模式時(shí)，要始終銘記，由于安全資源池的關(guān)鍵性，需要時(shí)刻保持其可用和災(zāi)難恢復(fù)能力（見圖1）。

圖1：云安全資源池部署模式

收益、用途及風(fēng)險(xiǎn)

使用安全資源池可以帶來許多收益，如：

·       通過統(tǒng)一的安全平臺(tái)簡化安全管理流程

·       減少產(chǎn)品集成風(fēng)險(xiǎn)

·       提高效率，縮小技能差距

·       節(jié)約成本

·       提供一站式運(yùn)維支持

·       提高合規(guī)性

同時(shí)，云安全資源池也對許多行業(yè)具體應(yīng)用場景提供了支持。對政府而言，云安全資源池為數(shù)量不斷增加的政務(wù)云提供合規(guī)的安全能力；對于金融行業(yè)，由于中國的金融機(jī)構(gòu)有著嚴(yán)格的監(jiān)管，采用云安全資源池能夠在符合監(jiān)管要求的前提下，對金融機(jī)構(gòu)的私有云提供保護(hù)；而對云服務(wù)提供商，使用云安全資源池，為云提供保護(hù)，并創(chuàng)建云安全服務(wù)。云安全資源池可滿足等保和其他法規(guī)提出的監(jiān)管要求，例如租戶隔離等。

而使用云資源池并非毫無風(fēng)險(xiǎn)，最值得關(guān)注的問題就是供應(yīng)商鎖定。雖然云安全資源池可以與各類安全工具集成，但這些工具都是由廠商本身的工具生態(tài)系統(tǒng)或合作伙伴提供的，與其他廠商的安全產(chǎn)品集成需要進(jìn)行測試，可能還需要與產(chǎn)品開發(fā)團(tuán)隊(duì)合作。

同時(shí)，無論采用何種部署方式，云安全資源池都需要與云技術(shù)集成才能使用，而目前對于集成并沒有規(guī)定相關(guān)的標(biāo)準(zhǔn)。因此，如果所選擇的云安全資源池?zé)o法證明可以與企業(yè)正在使用的云技術(shù)成功集成，就可能帶來風(fēng)險(xiǎn)。

另外，在云外部署云安全資源池會(huì)產(chǎn)生延遲和吞吐量瓶頸。

由于云安全資源池與同一家供應(yīng)商的多個(gè)安全工具集成，無法對所有工具進(jìn)行測試，因而難以確保所有工具都符合要求。為減少風(fēng)險(xiǎn)，企業(yè)必須針對不同場景提前與供應(yīng)商協(xié)商并明確折扣和責(zé)任：

·    需要第三方解決方案，且需要安全資源池廠商提供集成和測試支持。

·    當(dāng)云戰(zhàn)略發(fā)生變化或當(dāng)前的云戰(zhàn)略無法滿足需求時(shí)，不再需要使用云安全池產(chǎn)品。

·    未來不需要某一特定工具或組件，并希望將該工具或組件從現(xiàn)有的產(chǎn)品套裝中剔除。

·    需要云安全資源池廠商提供附加工具或組件。

如果云安全資源池?zé)o法滿足企業(yè)需求時(shí)，企業(yè)可以嘗試其他替代方案。長期看來，企業(yè)機(jī)構(gòu)必須了解新型的網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)，并著手進(jìn)行規(guī)劃。Gartner客戶可在The Future of Security Architecture: Cybersecurity Mesh Architecture [CSMA] 報(bào)告全文中獲得更詳細(xì)的分析。