安全云服務的發展趨勢和背后的關鍵能力分析

□ 陸昆侖

?

安全云服務的發展趨勢和背后的關鍵能力分析

□ 陸昆侖

安全云服務（security as cloud service）是指用云計算的技術和方法為用戶提供安全服務。安全云服務不同于云安全（security for the cloud），云安全是指如何保護云計算環境本身的安全。本文探討的是前者，在文中主要分析了安全云服務的現狀和趨勢，以及提供安全云服務的必要關鍵能力。

1 安全云服務的發展趨勢

1.1 安全云服務的市場空間增長將顯著高于傳統安全設備和軟件

2015—2020年，安全云服務的市場空間預測年均增長率將高達15%，而同期安全軟件和設備的市場空間年均增長率僅為7%。

安全云服務中，增長較快的是安全Web網關云服務，用戶可通過DNS引流、代理等方式方便快捷地使用安全Web網關SaaS云服務。相對而言，安全Email網關的SaaS云服務雖然易于獲取，但由于政府、大型企業更加關注信息安全，在Email網關的遠程SaaS云服務使用中采取比較審慎的策略，傾向于采用本地化部署的安全Email網關或者私有云服務，因此安全Email網關的云服務增長率只有約4%。

云管理也是增長較快的安全云服務。當前政府、企業用戶部署了數量龐大且規格不一的安全設備，管理和維護日益成為用戶的運維負擔，云管理服務解決了用戶的這一顧慮，可提供對防火墻、DDoS清洗設備、SIEMS、UTM、IPS/IDS的統一云化管理，甚至能夠將安全云管理和企業園區其他網絡設備的云管理統一，更有利于降低OPEX。

DDoS云清洗服務的發展速度同樣非常迅猛。由于DDoS的攻擊流量動輒達到百Gb/s的規模，傳統的在政府、企業網絡邊界進行流量清洗和負載均衡的防御方案往往無法抵御DDoS的攻擊，因此需要在更廣闊的廣域網絡上進行多層級的攻擊流量清洗，云清洗服務越來越多地成為用戶的首要選擇。

1.2 安全產業近年的投資和收購向安全云服務傾斜

安全產業碎片化，大量的創業公司憑借單點技術優勢，在短短的兩三年之內快速發展，成為資本市場的寵兒。近年來，安全產業的投資和收購中，云服務三分天下（另外兩個熱點是大數據和移動安全，將另文分析）。

全球范圍內，安全產業的投資和收購，過去的十幾年可以簡要分為3個階段：第1階段，從20世紀90年代末期到2004年，投資和收購主要集中在傳統的防火墻、安全管理等領域；第2階段，從2005—2010年，投資和收購主要集中在云計算基礎設施服務相關的安全方面，此時安全云服務已經嶄露頭角；第3階段是2010年以后，投資和收購在云服務領域迅速增長，2015年達到高峰，國外思科、微軟、Palo Alto等安全巨頭均在安全云服務領域大手筆收購和投資，國內華為、阿里、百度、騰訊集中加強在安全云服務公司的資本運作與合作。

1.3 安全云服務的良好前景，使得更多廠商進入安全領域

近年來，隨著安全云服務的技術日益成熟，除了安全廠商，更多領域的廠商進入到安全云服務領域。傳統的安全設備和軟件廠商，利用安全技術和客戶的積累推出安全云服務；電信運營商、公有云服務商、DC服務商利用自身的管道優勢進入到安全云服務商行列，不僅向原有的用戶提供安全云服務也逐漸向所有用戶開放；系統集成商順應云服務的發展趨勢，不僅向用戶提供傳統的安全設備和軟件，也同時向用戶提供包含安全云服務的混合云模式安全解決方案。

1.4 不同用戶對安全云服務的選擇傾向有所區別

不同于本地化部署的安全產品和軟件，安全云服務的優勢在于便捷獲取，靈活開通，但其部署以后主要的安全防護都在云端進行，不可避免涉及一些用戶隱私和信息安全的問題。這些優缺點使得不同用戶對安全云服務的選擇傾向有所區別。

政府、大型企業的IT基礎設施架構不斷在向云遷移，其安全服務必然有云化的安全考慮，但是，基于以下幾點原因的考慮，政府和大型企業在未來的很長時間之內，還會選擇本地化部署、私有云部署或者混合云模式。

1）信息和數據安全。政府和大企業大多不愿將企業信息數據暴露給安全云服務商，更傾向采用本地化部署等方式構建安全解決方案。

2）可靠性。政府和大企業本身具備覆蓋較廣的內部網絡，要求在與外界網絡互連中斷的情況下，安全設施能夠正常運營，但云服務往往不能滿足此類需求。

3）服務質量。安全云服務大多需要通過引流、代理的方式提供，大企業對服務質量比較敏感，更樂意在駐地部署部分安全設備。

4）大企業的安全需求種類多，需要整體解決方案，完全云化的服務不能滿足所有需求，通常只能滿足部分需求。

中小企業、大企業分支傾向于選擇安全云服務，主要基于以下幾點原因考慮：

1）成本。云服務無需駐地化部署設備、便捷開通、彈性伸縮等特性滿足了中小企業的低OPEX需求。

2）運營簡化。安全云服務提供的Web管理、便捷配置等功能對中小企業有較大吸引力。

3）產品豐富，選擇余地大。針對中小企業的安全云服務解決方案面對的網絡結構相對簡單、供應商多、產品豐富，中小企業也便于找到適合自身的產品。

管道運營商客戶（例如運營商用戶、公有云租戶、CDN的租戶）等均傾向直接選擇管道運營商提供的安全云服務，主要出于以下幾點原因考慮：

1）便捷獲取。業務可與基礎IT設施業務同步開通。

2）成本。管道服務商的安全服務常采取免費模式，安全成為ICT基礎設施的商業競爭力的一個環節，用戶使用管道運營商的ICT基礎設施后無需再另外采購安全服務，或者僅僅需要采購部分高級服務。

3）管道服務商的安全能力。管道服務商通常具備較強的ICT基礎設施競爭力，例如擁有覆蓋面較廣的網絡、大容量帶寬等等，能夠應對高流量的攻擊（例如DDoS）。

2 提供安全云服務所需要的關鍵能力

安全云服務的產品形態、提供方式、運營方式與傳統安全產品和軟件都有巨大的差異，那么，怎樣才能提供安全云服務呢？

安全云服務是一個系統工程，筆者認為，有5種關鍵能力是不可或缺的，分別是：安全云平臺、一點或多點安全技術、安全解決方案集成能力、安全云服務基礎設施、安全云服務運營能力。

2.1安全云平臺

提供安全云服務首先需要有云平臺。由于安全云服務大多是以SaaS的形式提供（少量云服務商可提供PaaS供第三方運營），SaaS層的業務必須由安全廠商自己建設，包含動態計費、安全性、可配置性、可擴展性、可靠性等基本能力。云平臺中的IaaS可采取靈活的方式獲取，例如自建或者租賃大公有云廠商的IaaS。

動態計費：安全云服務的一大商業優勢是用戶TCO的整體降低，從而帶來的長尾市場的擴展。對于用戶來說，動態計費是最重要的功能之一，安全廠商必須提供動態計費功能，便于用戶根據自己的需要開通業務。

安全性：安全云服務通常以引流的方式提供服務，那么用戶數據和安全廠商服務之間的通道必須提供基礎的加密功能（SSL）。

可配置性：安全云服務需要提供靈活的多租戶能力，允許多個客戶靈活使用，因此云平臺必須擁有非常強的可配置性，在前臺和后臺都能夠提供詳細的配置選擇，為不同的用戶提供不同的需求功能區分，以及獨特的使用體驗。

可擴展性：與傳統安全軟件相比安全云服務的可擴展性要能夠適應大規模客戶的需要，可在無需進行額外架構設計的情況下根據需求靈活地增減后端基礎資源（計算、存儲、網絡）的數量，無論有多少用戶，都如針對單個用戶一樣方便地實施應用修改。

可靠性：安全云服務向大量的用戶提供安全服務（甚至多達百萬級），云平臺的可靠性就非常重要。可靠性主要體現在2個方面：一方面是云平臺服務的可靠性，包括應用必須7×24 h在線，數據必須多重備份等等；另一方面是針對大量用戶提供巨大的并發處理能力，避免由于處理能力不足造成用戶的損失。

2.2安全技術

安全產業碎片化，幾乎沒有廠商能夠做到壟斷。安全技術需要深厚的積累和分析，大多數廠商只具備一種或者幾種安全技術能力，這一特性也同樣適用于安全云服務。安全云服務本質上還是安全，安全技術能力始終是立身之本。

并非所有的安全都能以云服務的方式提供。例如傳統的防火墻部署在網絡邊界，提供訪問控制、入侵防護等基本功能，在某些網絡邊界需要大容量（T級別）和高可靠性。那么這樣的安全就難以用云服務的方式提供，最多只能在防火墻的管理上采用一部分云服務以簡化運維。

安全廠商如果需要提供云服務，就必須掌握適合以云服務方式提供的安全的核心技術。比較常見的便于用云服務提供的安全有DDoS云清洗、Email安全、Web安全、云管理等等。DDoS防護云服務，全球最有競爭力的廠商例如華為、Arbor等等，有多年網絡流量分析能力以及領先的DDoS防護產品，在DDoS領域有深厚的技術積累。安全Email網關云服務的優勢廠商例如微軟，也在Email領域耕耘多年，不僅提供傳統的Email病毒、惡意軟件檢測，更是利用自己數十年Email服務的運營經驗，用大數據的方法分析用戶的使用規律，從而作出更加詳細的深度訪問控制。

不同類別的安全云服務，所需要的安全技術能力也有所不同，具體如表1所示：

表1 安全云服務所需要的關鍵技術能力

2.3安全解決方案集成能力

木桶理論在安全防護領域同樣適用，最短的短板決定了整個系統的安全性。攻擊者可以從最薄弱的環節入手，從而攻破整個系統。所以，安全防護必須是全方位、系統化的。在2.2節已經分析過，并非所有的安全都適合用云服務的方式提供，但是對于用戶來說需要的是對整個系統的防范，那么在提供安全服務的廠商中，如果能夠提供多種安全方案集成后的整網解決方案，則對用戶有巨大的吸引力。

烏克蘭電網被攻擊事件，在2015年年末引起了全球安全產業界的重視，這次攻擊的過程分為3個主要階段：第1階段是攻擊者通過Email發送帶有惡意文件的仿冒Office文檔，殺毒軟件并沒有檢測出，用戶執行以后惡意文件被植入到內網；第2階段是惡意文件在內網悄無聲息地執行，與攻擊者的C&C服務器聯系下載更多的攻擊工具和插件；第3階段是惡意文件滲透進入SCADA工業控制系統并破壞，最終導致大范圍停電。烏克蘭電網被攻擊事件，集中說明了安全的整體解決方案重要性，單純的云服務是無法給予整個烏克蘭電網防護的。

針對烏克蘭電網這樣的攻擊，如果需要進行有效防護，必須在多個方面著手部署安全設備、軟件和云服務。例如，在攻擊的第1階段，安全Email網關可采用駐地化設備或者云服務的方式提供，但針對這種0-day惡意文件，還必須有APT的解決方案，包括信譽匹配、沙箱分析、文檔還原、惡意文件送檢等多個措施，才能有效識別并清除Email中攜帶的惡意文件（事件中的防病毒軟件未能見效）；在攻擊的第2、第3階段，普通的防火墻未能有效阻斷各種滲透，需要采用C&C監控阻斷、異常流量分析、異常行為監控、全網安全態勢呈現等大數據安全手段來發現問題；在事件結束后，通過從防火墻等安全設備提取的日志等信息，進行運維監管審計、攻擊路徑展示、攻擊溯源取證、聯動清除惡意軟件等方法來杜絕后患。

因此，安全云服務廠商如果只提供單純的安全云服務，是難以滿足客戶需求的。通常，需要有一攬子的安全解決方案集成能力，這個能力可以是整網維度的云管端安全解決方案（例如思科、CheckPoint、華為等安全廠商能提供），也可以是一個業務單元的安全解決方案，例如中小企業的內容安全包括安全Email網關、安全Web網關、APT防護、數據防泄漏等等。

2.4安全云服務基礎設施

大多數云服務都是遠程服務，遠程服務相對于駐地化安全設備和軟件，服務質量受到網絡的影響較大，云服務的全球化基礎設施建設就顯得尤為必要，云服務廠商需要根據提供業務的種類建設覆蓋服務區域的基礎設施。

例如，DDoS云清洗服務，通常需要提供3個層次的攻擊流量清洗服務：1）如果攻擊流量在本地清洗處理能力內，用戶本地部署的DDoS清洗設備負責清洗攻擊流量；2）如果攻擊流量大于本地清洗能力或已造成客戶網絡上行鏈路擁塞，本地防護系統發送云信令給云清洗中心，通知云清洗中心本地的負載情況以及申請其他位置部署的DDoS清洗設備進行清洗；3）云清洗中心發布引流路由，將攻擊流量引流到清洗中心進行清洗，清洗中心清洗后，通過GRE隧道把清洗后的流量回注到客戶網絡。

為了實現這樣一整套DDoS清洗方案，對于DDoS云清洗的服務商來說，需要在服務網絡中部署大量的清洗設備以構建云端清洗能力，實現近源清洗。DDoS云清洗競爭力最強的廠商，例如華為，在中國、歐洲、亞太、北美都部署有DDoS清洗中心，配置了大量的DDoS防護設備，能夠提供高達2Tb/s帶寬的清洗能力。如果沒有這些遍布全球的清洗中心，也就無法提供高質量的DDoS清洗云服務。

再例如，安全Web網關云服務提供的是對用戶訪問Web進行安全保護，通常需要通過DNS引流或者代理的方式將流量引導到Web網關云服務中心進行分析、檢測、安全策略實施。如果Web網關云服務中心距離用戶過于遙遠，網絡的傳送有非常大的時延，對于絕大多數用戶來說都是不可接受的，因此Web網關云服務商必須部署大量的云服務中心，通過合理的流量調度，就近提供云服務。安全Web網關廠商中較有競爭力的Zscaler，在全球自建或者租用云數據中心部署了超過100個節點，從而可以為各個區域的用戶提供低時延的高質量安全Web網關云服務。

不同的安全云服務提供方式，對云服務基礎設施的要求也稍有不同，具體如表2所示：

表2 安全云服務所需要的關鍵基礎設施能力

2.5安全云服務運營

安全云服務更多的是一種服務，與設備和軟件的交付有很大的不同。用戶對于云服務，在開通、使用、問題處理、應急響應上均有廣泛的需求，具備覆蓋服務區域的運營能力成為必要條件。

安全云服務的運營能力主要包含：業務運營中心（Service Operation Center ，SOC）、云服務門戶、服務流程組織和團隊。

SOC是一個運營支撐體系，面向用戶界面的四大功能分別是：客戶服務支撐、市場發展支撐、用戶感知支撐、業務質量管理。客戶服務支撐是SOC最常見提供的服務，包含用戶故障受理、問題定位和應急響應等等；市場發展支撐是SOC的一個非常重要模塊，通常SOC會針對客戶關于安全云服務的使用者、使用場景、使用情況等信息進行分析，從而為用戶提供更好的服務選擇建議，這一塊也是很多SOC忽視的一點；用戶感知支撐主要包含涉及到用戶服務體驗的一些內容的監控與改進，包括新用戶、VIP用戶、不同區域用戶針對安全云服務的服務質量的業務感受、投訴等等；業務質量管理是指在SOC對安全云服務的各種服務指標進行收集和分析并不斷改善，例如分析不同區域用戶的服務時延、威脅發現率、誤報率等等，最終推動后端的研發團隊進行改進。

云服務門戶通常以Web界面提供給客戶，客戶在門戶上可以根據自身的需求選擇需要的安全云服務，進行必要的技術和商業相關配置，同時了解提供的服務的內容和具體方式。云服務的用戶眾多，不可能一一人工處理，那么對門戶的要求就很高，通常要求客戶界面友好簡單、內容詳細、計費方式簡單易懂等等。

服務流程是安全云服務運營的重要環節，服務流程定義的安全云服務的服務對象、服務等級、差異化服務的處理機制等等，標準的流程有利于安全廠商各組織能夠合理應對用戶的訴求，提供穩定的服務質量。

組織和團隊是安全廠商的關鍵競爭力之一，正如前文所言，安全是技術要求非常高的產業，在當今世界威脅日益增加的背景之下，沒有優秀的技術人員和管理人員，就無法為用戶提供高質量以及端到端閉環的安全防護。

3 總 結

ICT的蓬勃發展，ICT基礎設施（軟硬件）和用戶價值資產（數據）在社會生產中的重要性越發凸顯，在政治、商業利益的催動下，攻擊者的攻擊技術也在不斷發展，安全已經成為所有系統最重要的一部分。安全云服務的快速發展使得安全更加便于獲取，極大地提升了安全防護的覆蓋面。安全云服務不僅是一個傳統的服務，也不僅是傳統的安全，實際上是安全能力和商業模式的最新載體，其背后是一個完整的安全體系建設。筆者在這里也希望安全廠商能夠不斷創新，加大合作，加大商業模式的拓展，建立全面的網絡安全體系，使得更多的用戶能夠安全、便捷、平等地享用信息服務。

陸昆侖
華為安全領域高級分析師，12年以上ICT行業從業經歷。主要研究方向為網絡安全、云基礎設施安全。
lukunlun@huawei.com

The Development Trend and Critical Capacities of “Security as Cloud Service”

Lu Kunlun