2022年中国云主机安全市场报告

2022年中国 云主机安全市场报告 重点关注：自适应安全、云原生安全、纵深防御等 2022年12月 头豹研究院 弗若斯特沙利文咨询（中国） 报告说明 ———— 沙利文联合头豹研究院谨此发布中国网络安全系列报告之《2022年中国 云主机安全市场报告》年度报告。本报告旨在分析在中国云工作负载安全市场的现状、应用前景、技术动向及发展趋势，并判断云主机安全市场竞争态势，反映该细分市场领袖梯队厂商的差异化竞争优势。 沙利文联合头豹研究院对云主机安全进行了下游用户体验调查。受访者来自金融、国央企、政务、电信、医疗、教育等不同行业，所在公司规模不一，细分领域有别。 本市场报告提供的云主机安全发展趋势分析亦反映�云主机安全行业整体的动向。报告最终对市场排名、领袖梯队的判断仅适用于本年度中国云主机安全市场发展周期。 本报告所有图、表、文字中的数据均源自弗若斯特沙利文咨询（中国）及头豹研究院调查，数据均采用四舍五入，小数计一位。 报告提供的任何内容（包括但不限于数据、文字、图表、图像等）均系弗若斯特沙利文及头豹研究院独有的高度机密性文件（在报告中另行标明�处者除外）。未经弗若斯特沙利文及头豹研究院事先书面许可，任何人不得以任何方式擅自复制、再造、传播、�版、引用、改编、汇编本报告内容，若有违反上述约定的行为发生，弗若斯特沙利文及头豹研究院保留采取法律措施、追究相关人员责任的权利。弗若斯特沙利文及头豹研究院开展的所有商业活动均使用“弗若斯特沙利文”、“沙利文”、“头豹研究院”或“头豹”的商号、商标，弗若斯特沙利文及头豹研究院无任何前述名称之外的其他分支机构，也未授权或聘用其他任何第三方代表弗若斯特沙利文或头豹研究院开展商业活动。 沙利文市场研读 研究框架 中国云主机安全市场发展背景 ---------- 5 •宏观建设：云原生安全发展•微观协同：CWPP+CSPM+CASB•环境延伸：从传统主机安全到容器安全 中国云主机安全技术发展动向 ---------- 9 •中国主流服务商年度发展计划落实现状•中国云主机安全功能模块要点及发展动向 资产清点入侵检测风险探知合规基线 • 境外主流服务商产品重点能力和竞争优势 中国云主机安全用户特征观测 •云主机安全用户需求特征观测 ----------16 中国云主机安全市场竞争态势 ---------- 18 •云主机安全竞争力评价维度•云主机安全综合竞争力总览•云主机安全市场领导者•领导者：青藤云安全•领导者：亚信安全•领导者：奇安信（椒图科技） 名词解释 ---------- 27 方法论 ---------- 28 法律声明 ---------- 29 www.leadleo.com3 400-072-5588 沙利文市场研读 图表目录 •图1：不同部署环境下主机安全责任机制和能力组成分布 ---------- 6 •图2：CWPP+CSPM+CASB防护策略协同 ---------- 7 •图3：主机系安全防护产品特征差异矩阵 ---------- 8 •图4：云主机安全能力发展计划及落实情况 ---------- 10 •图5：云主机安全功能应用现状及诉求要点 ---------- 11 • 图6：境外主流服务商云主机安全产品重点能力及在中国市场竞争态势 ---------- 14 • 图7：不同领域用户对云主机安全产品及服务重点诉求显著性 ---------- 17 www.leadleo.com4 400-072-5588 章节一市场发展背景 1.1宏观建设：云原生安全发展 1.2微观协同：CWPP+CSPM+CASB 1.3环境延伸：从传统主机安全到容器安全 •鉴于中国市场在安全合规、市场习惯等方面存在的相对于境外市场的差异化特征，安全服务商在引进更为前瞻的技术策略时，宜在可用性和适用性之间进行权衡。 •从应用距离的角度而言，CASB更加靠近生产端，CWPP则更加靠近IT基础设施管理端。CASB的使用助力企业对云服务在业务中的渗透范围有了全域认知，CSPM在云负载全生命周期的应用过程中适应性不断增强，CWPP针对混合云架构下工作负载提供可视化的管控。 1.1 宏观建设： 云原生安全发展 Agent全方位采集云端资产，应对多变的虚拟环境威胁。 截至当前，中国云计算产业依旧保持较高速增长，预计在未来 5年内，90%以上的企业将实现部分业务或关键性业务整体上云。在中国市场环境下，公有云环境可信度相对境外云环境仍存在差距。多数用户偏好“混合云”解决方案，包括传统设备主机、核心私有云、非核心资产公有云以及容器等承载环境。混合云部署方案下，安全防护相关的资产归属和控制机制对安全服务商和用户而言，存在更多合作的机遇和责任共担的挑战。 鉴于中国市场在安全合规、市场习惯等方面存在地域性特征，安全服务商在引进更为前瞻的技术策略时，宜在可用性和适用性之间进行权衡。云原生安全机制的引入，给予中国云安全市场更多的选择，云原生环境的安全事件存在于系统和组件之间，云工作负载安全类产品在对风险进行发掘和重构后，持续设计新的安全功能，最终实现安全机制与云原生系统的全面融合，确保用户安全访问使用云系统和云应用。 云原生安全环境下的市场机会： •持续交付场景下的实时安全：企业云上业务更新频率或达每日上百次、上千次，持续开发部署工具链各个环节相关安全检测、监控、防护手段更趋精细化和个性化。 •广域云工作负载安全防护：云工作负载环境形态更趋丰富，边界模糊性强，资产暴露面从静态文件至动态中间件皆面临广域的威胁形态，威胁探知能力和应急策略更待精进。 图1：不同部署环境下主机安全责任机制及云上相关服务和组件 责任共担机制：安全服务商和产业用户共同分担 IaaS、PaaS、SaaS不同层面的风险 应用场景技术链：从检测、防护、运营、响应多个维度落实新技术应用 用户责任 用户访问及身份安全、 数据安全管控、 SEVEREDR 检测：防护： 针对文件、进程、账号、版本等内容的细粒度探知，检测风险敞口、僵尸、木马、蠕虫等病毒 针对业务系统层、基础网络层、业务应用层、业务数据层等不同板块特征提供安全防护策略 提供多元化自动安全运营手段，如漏洞自动化补丁、自 技术应用 主机安全 运营： 动化资产配置、安全数据可视化以及基线自动核查等 主动防御技术 IaaS层应用、应用API、工作负载安全等 大数据分析 响应： 对包括勒索、窃密、逃逸等攻击行为进行全链路溯源，针对威胁事件执行应急响应策略 轻量化Agent 终端基础安全能力于云端复用 云端 •防火墙 •威胁监测 •工作负载安全 新型云端管控工具 •CWPP 微隔离技术 漏洞主动发现 Agent管理 管道 随工作负载形态不断演进，端点、网络、边界的层次趋于模糊，而承载计算的工作负载则需要不同层次的安全防护工具和策略。 •IPS •终端防护 •服务器监控 •EDR •SIEM •用户行为监控 •安全合规 云工作负责安全能力 •CSPM •CASB •云边协同工具 •微隔离 •无服务 PaaS平台、 安全服务商 责任 IaaS平台、PaaS应用、 SaaS应用等 资源采集和控制、基础硬 件安全管控、虚拟网络、虚拟云基础设施等 www.leadleo.com6 400-072-5588 沙利文市场研读中国：网络安全系列 1.2 微观协同：CWPP+CSPM+CASB CASB(CloudAccessSecurityBroker)云访问安全代理，是置于云服务消费者和和提供商之间的安全策略，其覆盖面包括了SaaS、PaaS和IaaS，主要提供针对于SaaS的安全控制。CASB主要具备以下功能：深度可视化、数据安全性、合规性、威胁防护。 CSPM(CloudSecurityPostureManagement)云安全态势管理，可同时适用于PaaS和IaaS，主要对基础设施安全配置进行分析管理，也可以强化和检查控制面的安全和正确配置。其安全策略包括管理工作负载、合规评估、保障API完整和运营监控等。若发现不合规配置，CSPM将对其进行修正，并持续改进和适应云安全态势。 CWPP（CloudWorkloadProtectionPlatform)云工作负载安全防护平台，主要聚焦于IaaS相关的工作负载安全，对云上工作负载提供全方位和多个维度的保护能力。其主要保护范围是IaaS层，可以横跨物理机、公有云、私有云等多种数据中心环境，部署方式因而更加灵活，防护面更广。 CWPP 以保护云端工作负载为核心，聚焦IaaS层安全机制和安全策略。 对IaaS领域安全管控进行补充，适用于多云环境，并于PaaS层面提供安全配置和完整性检测支持。 基于CASB产品特性，相关服务以SaaS层面应用场景为主，较少涉及IaaS和PaaS层应用。 与中国市场契合度 相对而言，CASB在美国的应用更为成熟，而在中国，鉴于市场IT环境存在差异性， SaaS化办公场景仍待拓展，安全防护意识相对欠缺。 中国市场通过促进本地化部署软硬件和SaaS化应用进程，加深对CASB的理解和应用。 契合度有待加强 CWPP已在中国市场展开广泛应用，能够有效助力用户进行IaaS、PaaS层数据安全控制，具体能力涉及容器、微隔离、内存、进程保护、EDR、微服务等。 CSPM更多涉及安全态势管理，于访问控制、网络、存储等层面强化安全配置管理。 契合度较强 以数据为中心设置安全策略，通过审计、隔离、告警等策略控制提权等威胁行为。 结合网络分段、系统完整性保护、应用程序控制、行为监控等反恶意软件防护手段抵御威胁。 对账号特权管理、网络存储配置、安全配置等进行实时分析和修正管理，优化云安全态势。 CASB CSPM 针对使用SaaS服务或依托SaaS工具存储业务数据的云端租户企业提供针对性服务。 用户企业多采用IaaS层服务存储或处理业务敏感数据。 针对在IaaS或PaaS不同层面处理企业敏感业务数据的用户提供安全配置检测工具。 图2：CWPP+CSPM+CASB防护策略协同 www.leadleo.com7 400-072-5588 1.3 环境延伸：从传统主机安全到容器安全 主机安全系产品核心模块及应用环境变化： •基础类主机安全产品聚焦于检测、探知、盘点、合规四个方面。技术叠加效用下，产品模块拓宽至蜜罐、内存码检测、病毒查杀等方面，而随用户侧业务上云、统一安全管理方案建设和产品聚合效用提升，主机安全能力更加收敛于四个核心模块，并在运行环境层面渗透云原生、供应链，头部服务商融合威胁情报系统优化主机产品的检测效率。 主机安全系产品技术理念迭代： •病毒查杀机制应用：风险查询和处置多以静态样本为依据，通过在计算机文件和病毒特征码之间进行比对确认风险，存在更新不及时、样本质量参差不齐的缺陷。 •白名单机制应用：相对病毒查杀在进程消耗、内存占用等方面可能对业务造成的影响，白名单机制的创建有利于防守加固和前置，降低木马程序对系统的危害。 •纵深防御机制应用：利用虚拟化、微隔离、无服务等云原生技术，应对多云和跨云环境下的复杂攻击态势，纵深防御系统与完整性验证、EDR、HIPS等多层次防御策略融合。 图3：主机系安全防护产品特征差异矩阵 •传统主机安全：以病毒查杀为主，多为静态查验能力，攻防性质不足，不具备实时检测能力。 •云负载环境主机安全：解决方案持续优化，完整覆盖攻击链，支持实时检测和自动分析溯源。 强隔离 网络边界：衡量不同部署形态下对流量控制的强度 设备型主机安全 云化部署：逻辑统一物理分散 云主机安全 容器安全 气泡大小代表安全防护手段丰富性强弱 弱隔离 风险弱覆盖 风险探知：衡量对全球风险的覆盖面 风险强覆盖 单位：月 单位：周 单位：日 单位：小时 •随主机安全产品升级，从入侵至分析处置的周期持续缩短 www.le