2023年 中国云原生安全市场报告 重点关注:安全体系、容器安全、集群安全、云平台安全服务 2023年12月 头豹研究院 弗若斯特沙利文咨询(中国) 报告说明 ———— 沙利文联合头豹研究院谨此发布中国云计算系列报告之《2023年中国云 原生安全市场报告》年度报告。本报告旨在分析中国云原生安全服务应用市场的现状、应用前景、技术动向及发展趋势,并探析云原生安全市场竞争态势,呈现该细分市场领袖梯队厂商的差异化竞争优势。 沙利文联合头豹研究院对云主机安全进行了下游用户体验调查。受访者来自金融、政务、电信、医疗、教育等不同行业,所在公司规模不一,细分领域有别。 本市场报告提供的云原生安全应用趋势分析亦反映�云原生安全行业整体的动向。报告最终对市场排名、领袖梯队的判断仅适用于本年度中国云原生安全市场发展周期。 本报告所有图、表、文字中的数据均源自弗若斯特沙利文咨询(中国)及头豹研究院调查,数据均采用四舍五入,小数计一位。 报告提供的任何内容(包括但不限于数据、文字、图表、图像等)均系弗若斯特沙利文及头豹研究院独有的高度机密性文件(在报告中另行标明�处者除外)。未经弗若斯特沙利文及头豹研究院事先书面许可,任何人不得以任何方式擅自复制、再造、传播、�版、引用、改编、汇编本报告内容,若有违反上述约定的行为发生,弗若斯特沙利文及头豹研究院保留采取法律措施、追究相关人员责任的权利。弗若斯特沙利文及头豹研究院开展的所有商业活动均使用“弗若斯特沙利文”、“沙利文”、“头豹研究院”或“头豹”的商号、商标,弗若斯特沙利文及头豹研究院无任何前述名称之外的其他分支机构,也未授权或聘用其他任何第三方代表弗若斯特沙利文或头豹研究院开展商业活动。 沙利文市场研读 研究框架 中国云原生安全市场综述05 •云原生安全基础架构 •云原生安全用户核心诉求 中国云原生安全核心板块及技术覆盖 ---------- 08 •基础设施代码安全板块•容器和容器编排器安全板块•云主机安全板块•云原生微服务安全板块 中国云原生安全市场发展机遇 ---------- 13 •场景拓展机遇-多元产业加速上云 •应用升级机遇-融合AI/ML工具 中国云原生安全市场竞争态势 ---------- 16 •云原生安全竞争力评价维度•云原生安全综合竞争力表现 •领导者:青藤云安全•领导者:腾讯云•领导者:华为云 方法论 ---------- 25 法律声明 ---------- 26 www.leadleo.com3 400-072-5588 沙利文市场研读 图表目录 • 图1:云原生安全框架重点能力关联性拓扑 ---------- 06 • 图2:云原生安全应用诉求要点 ---------- 07 • 图3:IaC层安全防护策略应用特征 ---------- 09 • 图4:结合基线、动态扫描、白名单、签名等机制提升容器生 ---------- 10 命周期安全 •图5:微服务架构下DevOps全流程安全管控和卡点定位 ---------- 12 •图6:云原生结构推动企业多元系统实现运维降本和效率转化 ---------- 14 •图7:云原生安全工具链多维度融合AI和大模型 ---------- 15 www.leadleo.com4 400-072-5588 章节一 中国云原生安全市场综述 1.1云原生安全基础架构 1.2云原生安全用户核心诉求 云原生分层多级的架构助力企业用户实现更加灵活可扩展的业务形态,但随之而来的资产暴露面增加、配置环境复杂、通讯机制变化都造成更多潜在的安全风险。 云原生安全能力需要与云原生基础设施架构形成完善的对应关系,针对云上工作负载平台、云网络层、容器和集群、容器编排管理系统、基础设施代码、镜像、应用程序等不同的板块形成灵活并精准对应的安全检测、防护手段,缩小云原生架构下的资产暴露面。 沙利文市场研读中国:云安全系列 1.1 云原生安全基础架构 基础设施计算和运行颗粒度细化,云原生安全模块需灵活随航 云原生架构在为公有云、私有云和混合云环境带来弹性可扩展的动态工作环境的同时,也为资产安全、数据安全带来新的挑战,针对云原生架构下的容器、服务网格、微服务、基础设施、声明式API等核心组成,安全服务商需要以不同于传统网络安全的思路进行云安全防护能力的构建和调优,助力最终用户在获得分布式、弹性扩展、敏捷部署、多元耦合等云原生优越性表现的同时,实现新架构下的开发安全、测试安全、交付安全、应用安全,并融合机器学习、深度学习技术,推动进一步的自动化安全防护。 从安全架构的角度而言,云原生安全能力与云原生架构具备清晰的映射关系,核心功能板块包括基础设施代码安全、容器安全、镜像安全、应用程序安全、集群安全、云原生数据安全等。随着基础设施计算和运行颗粒度的持续细化,云原生安全在不同层面(网络、计算、存储、应用、大数据等)所需具备的检测和防护能力也在持续细化的过程中,并将配合最终用户在建设混合云架构时的灵活选择,支持安全模块的灵活随航。 图1:云原生安全框架重点能力关联性拓扑 云主机 云平台(VPC、RDS、OSS、IAM等) 基础设施代码IaC *注:①全链拓扑图中的弧线代表不同板块和安全能力点的联结紧密程度,弧线越粗代表联结程度越紧密,反之则较稀疏。 ②从同一色系弧线的分配情况,可 以显示�云原生安全能力的重点联结方向。 容器 容器镜像 资产管理、配置管理、身份管理 云原生操作系统 容器集群 准入机制、加密 机制、验证机制 运行时进程追踪和扫描 容器编排器 实时动态运维 · 云原生 密钥管理系统 微服务架构 应用程序 无服务器(Serverless)环境 www.leadleo.com6 400-072-5588 沙利文市场研读中国:云安全系列 1.2 云原生安全用户核心诉求 基础设施快速升级造成的业务安全风险或为云原生普及造成阻力 企业用户对于云基础设施的应用,已经从初期的初步上云发展到当前深度应用云原生架构,架构的变化带来更多的安全挑战,迁徙过程中可能面临更多潜在和实际发生的安全事件,云安全服务商需要快速针对云平台、容器、云主机、无服务器环境、容器编排器、基础设施即代码等不同的架构层部署有效的检测、监测、预测、防护、修复、溯源等能力,助力企业用户在业务效率升级的同时,避免因安全破防而造成的经济损失。 配置管理 权限、网络、运行时等层面配置 避免硬编码加密, 加密机制 采用有效加密算法 准入机制文件、进程、应用 程序白名单构建 图2:云原生安全应用诉求要点 云原生组件、进程统一安全管理诉求 云原生算力侧安全 企业用户应用侧安全 VPC配置 访问控制 DDoS防护 制品环境 供应链安全 权限配置 漏洞响应 漏洞补丁 安全审计 数据安全 运行时安全 安全运维 •综合覆盖云原生安全中心、容器镜像管理、密钥服务、网络安全、物理安全、云产品安全、硬件安全等板块 虚拟基础设施安全 供应链和运行时安全 •企业用户侧一方面需进行持续的安全扫描、安全审核,另一方面要对开发、部署、运维各环节执行严格的准入校验机制 应用构建应用部署应用运行 用户重视精细化的配置管理、授权机制、访问控制、加密机制 在多数业务场景中,企业用户采取循序渐进的方式部署云原生架构,从初期评估规划到完成容器化、引入云原生技术、重建应用程序架构,整体过程面临的不同层面风险需相应的安全防护手段和工具。①云上工作负载平台是搭建云上应用程序的基础,而随工作负载激增,平台漏洞和应用程序漏洞也无可避免大幅增长,用户亟需在管理大量工作负载平台的同时实现合规配置; ②在容器、镜像、集群的层面,最终用户需要安全服务商能够提供更加灵活可扩展的验证和授权控制机制,提供对容器间、集群间通讯流量漏洞和威胁的有效识别防护手段,并建立可快速规模化应用的隔离策略;③在容器编排器的层面,端口、主机等核心通讯节点的访问控制和验证的要求更为严格,用户需要确保核心操作系统、核心节点的合规访问;④在代码的层面,用户在享用一键部署便利的同时,更需精确的配置以降低资产暴露面,并执行完善的加密措施。 www.leadleo.com7 400-072-5588 章节二 中国云原生安全核心板块及技术覆盖 2.1基础设施代码安全板块 2.2容器和容器编排器安全板块 2.3云主机安全板块 2.4云原生微服务安全板块 云原生环境相对虚拟化的上云进程,存在架构和应用模式本质的区别,IaC、容器、容器编排系统、微服务、无服务器等模式更能发挥云计算灵活弹性的优势。 云原生环境下,资产激增和通讯流量复杂的特征推动安全策略的更新,云原生安全解决方案需要提供更细力度的资产、流量、配置、身份和行为管理工具,提升漏洞检测和修复的敏捷性。 沙利文市场研读中国:云安全系列 2.1 基础设施代码安全板块 针对基础设施层进行合规配置实时扫描,促进安全左移的落地 基础设施代码层面安全防护策略的建立是安全左移的代表性实践,尽管在云原生环境下,容器、镜像和集群的合规配置和安全检测、防护策略更易受到关注,但基础设施代码是云原生工作流的基础,宜建议用户重视该层面安全卡点的建设,更加严格准入策略,强化资产安全,将准入机制从容器和镜像层面左移至基础设施代码环节。 基于基础设施层配置安全性的增强、准入管理机制的建设,云原生用户可更加便捷地启用IaC命令式和声明式的脚本模板,并获得模板的可复制性、可维护性和安全性;安全服务商通过对IaC模板配置情况的持续扫描,及时发现漏洞,将风险控制在业务生产流程之前,确保CI/CD的顺利实现。 依托统一策略引擎支持基础设施代码层配置管理、密钥管理、可信管理 当前常见的IaC风险集中在不当或者错误配置、硬编码密码导致的漏洞、敏感信息漏洞、基础镜像漏洞、对接第三方工具和库的风险、脚本代码逻辑错误或语法错误等方面。其中,镜像漏洞经过镜像再生后将以指数速度扩大,未认证镜像的漏洞难以察觉,硬编码则导致密钥被轻易探知,参照核心风险类别,云原生安全服务商能够提供针对性的IaC安全策略,包括以上提到的IaC配置持续扫描和漏洞检测引擎的开发和算法优化、可信脚本认证、IaC密钥合规管理,并依托统一的策略引擎实现整体业务环境的代码安全。 图3:IaC层安全防护策略应用特征 成本较高 IaC安全 IaC+代码质量和安全审计:采用版本控制系统,对所有代码模板进行审查、测试, IaC+持续集成部署安全:依托自动化工具和流程,管理代码构建、测试、部署全链路,建立灰度部署、回滚机 制 策略 进行静态代码分析IaC+访问控制:基于强密码 和多因素身份验工具建立或 部署使用访问控制列表,并定期 成本审查更新访问权限 成本较低 IaC+安全审计监控:采用日 志记录、审计、分析和入侵 检测等工具,实时并动态监控基础设施的状态和配置 IaC+敏感信息保护:对敏感 信息进行密文存储,设置有 效的密钥防控机制,避免采用硬编码,配置多元变量 难度较低 IaC安全策略难度 难度较高 www.leadleo.com9 400-072-5588 沙利文市场研读中国:云安全系列 2.2 容器和容器编排器安全板块 容器和容器编排器构成云原生的标准化基础设施,容器和容器镜像的应用呈指数级增长,日趋复杂的底层生态对安全管控带来更多挑战,容器层面的特权账号风险、攻击逃逸风险、容器镜像漏洞皆有可能造成攻击行为在组织内部的快速渗透,容器编排器层面的不当配置或组件漏洞也将放大风险暴露面,譬如端口漏洞、关键控制节点劫持、密钥泄露或未校验凭证等,皆有可能导致底层计算资源遭到入侵。 实时扫描管控,强化准入机制,确保基础设施安全 容器层面的安全管控主要涉及容器镜像管控、建立严格准入控制机制、构建容器基线、进行签名校验等方面,服务商需对镜像仓库进行持续的风险扫描,并在入口做好合规拉取管控措施,并实时汇总镜像扫描结果,更新准入控制项目和容器基线,此外,针对容器进程