中國云安全資源池創(chuàng)新洞察

傳統(tǒng)的安全保護手段注重外圍防護，多數(shù)安全工具獨立工作，無法滿足當今企業(yè)的安全需要。隨著數(shù)字化程度的日益提高和云采用的不斷增多，企業(yè)機構正在尋求以更加靈活、敏捷的方式部署安全能力。

云安全資源池可以提供一整套集成的安全能力，但采購集成解決方案雖然便利，卻帶來了供應商鎖定的風險。因此，安全和風險管理（SRM）領導者在做出采購決策前，須對選擇單一解決方案供應商的收益和風險進行全面評估。

什么是云安全資源池

云安全資源池是一個基于軟件的集成的安全工具集，具備統(tǒng)一管理、統(tǒng)一監(jiān)控、編排和自動化，以及合規(guī)能力。資源池集成了廠商自身生態(tài)系統(tǒng)的各種安全工具，并開放第三方安全工具的集成，提供了與云服務資源類似、可按需獲取和彈性使用的安全資源。

這些安全工具包括防火墻（FW）、Web應用和API保護（WAAP）、漏洞管理（VM）、云工作負載保護平臺（CWPP）、云安全態(tài)勢管理（CSPM），以及容器和Kubernetes安全工具等。這些必要的核心能力為云安全資源池和以這些能力為支撐的安全工具奠定了基礎。

雖然云安全資源池大都部署在本地，但不少安全廠商也提供各類其他選擇。多數(shù)云安全資源池以虛擬/物理方式部署，或以軟件和服務一樣的方式來獲取。在選擇部署模式時，要始終銘記，由于安全資源池的關鍵性，需要時刻保持其可用和災難恢復能力（見圖1）。

圖1：云安全資源池部署模式

收益、用途及風險

使用安全資源池可以帶來許多收益，如：

·       通過統(tǒng)一的安全平臺簡化安全管理流程

·       減少產品集成風險

·       提高效率，縮小技能差距

·       節(jié)約成本

·       提供一站式運維支持

·       提高合規(guī)性

同時，云安全資源池也對許多行業(yè)具體應用場景提供了支持。對政府而言，云安全資源池為數(shù)量不斷增加的政務云提供合規(guī)的安全能力；對于金融行業(yè)，由于中國的金融機構有著嚴格的監(jiān)管，采用云安全資源池能夠在符合監(jiān)管要求的前提下，對金融機構的私有云提供保護；而對云服務提供商，使用云安全資源池，為云提供保護，并創(chuàng)建云安全服務。云安全資源池可滿足等保和其他法規(guī)提出的監(jiān)管要求，例如租戶隔離等。

而使用云資源池并非毫無風險，最值得關注的問題就是供應商鎖定。雖然云安全資源池可以與各類安全工具集成，但這些工具都是由廠商本身的工具生態(tài)系統(tǒng)或合作伙伴提供的，與其他廠商的安全產品集成需要進行測試，可能還需要與產品開發(fā)團隊合作。

同時，無論采用何種部署方式，云安全資源池都需要與云技術集成才能使用，而目前對于集成并沒有規(guī)定相關的標準。因此，如果所選擇的云安全資源池無法證明可以與企業(yè)正在使用的云技術成功集成，就可能帶來風險。

另外，在云外部署云安全資源池會產生延遲和吞吐量瓶頸。

由于云安全資源池與同一家供應商的多個安全工具集成，無法對所有工具進行測試，因而難以確保所有工具都符合要求。為減少風險，企業(yè)必須針對不同場景提前與供應商協(xié)商并明確折扣和責任：

·    需要第三方解決方案，且需要安全資源池廠商提供集成和測試支持。

·    當云戰(zhàn)略發(fā)生變化或當前的云戰(zhàn)略無法滿足需求時，不再需要使用云安全池產品。

·    未來不需要某一特定工具或組件，并希望將該工具或組件從現(xiàn)有的產品套裝中剔除。

·    需要云安全資源池廠商提供附加工具或組件。

如果云安全資源池無法滿足企業(yè)需求時，企業(yè)可以嘗試其他替代方案。長期看來，企業(yè)機構必須了解新型的網絡安全網格架構，并著手進行規(guī)劃。Gartner客戶可在The Future of Security Architecture: Cybersecurity Mesh Architecture [CSMA] 報告全文中獲得更詳細的分析。