□ 陸昆侖

?

安全云服務(wù)的發(fā)展趨勢和背后的關(guān)鍵能力分析

□ 陸昆侖

安全云服務(wù)（security as cloud service）是指用云計算的技術(shù)和方法為用戶提供安全服務(wù)。安全云服務(wù)不同于云安全（security for the cloud），云安全是指如何保護云計算環(huán)境本身的安全。本文探討的是前者，在文中主要分析了安全云服務(wù)的現(xiàn)狀和趨勢，以及提供安全云服務(wù)的必要關(guān)鍵能力。

1 安全云服務(wù)的發(fā)展趨勢

1.1 安全云服務(wù)的市場空間增長將顯著高于傳統(tǒng)安全設(shè)備和軟件

2015—2020年，安全云服務(wù)的市場空間預(yù)測年均增長率將高達15%，而同期安全軟件和設(shè)備的市場空間年均增長率僅為7%。

安全云服務(wù)中，增長較快的是安全Web網(wǎng)關(guān)云服務(wù)，用戶可通過DNS引流、代理等方式方便快捷地使用安全Web網(wǎng)關(guān)SaaS云服務(wù)。相對而言，安全Email網(wǎng)關(guān)的SaaS云服務(wù)雖然易于獲取，但由于政府、大型企業(yè)更加關(guān)注信息安全，在Email網(wǎng)關(guān)的遠程SaaS云服務(wù)使用中采取比較審慎的策略，傾向于采用本地化部署的安全Email網(wǎng)關(guān)或者私有云服務(wù)，因此安全Email網(wǎng)關(guān)的云服務(wù)增長率只有約4%。

云管理也是增長較快的安全云服務(wù)。當前政府、企業(yè)用戶部署了數(shù)量龐大且規(guī)格不一的安全設(shè)備，管理和維護日益成為用戶的運維負擔(dān)，云管理服務(wù)解決了用戶的這一顧慮，可提供對防火墻、DDoS清洗設(shè)備、SIEMS、UTM、IPS/IDS的統(tǒng)一云化管理，甚至能夠?qū)踩乒芾砗推髽I(yè)園區(qū)其他網(wǎng)絡(luò)設(shè)備的云管理統(tǒng)一，更有利于降低OPEX。

DDoS云清洗服務(wù)的發(fā)展速度同樣非常迅猛。由于DDoS的攻擊流量動輒達到百Gb/s的規(guī)模，傳統(tǒng)的在政府、企業(yè)網(wǎng)絡(luò)邊界進行流量清洗和負載均衡的防御方案往往無法抵御DDoS的攻擊，因此需要在更廣闊的廣域網(wǎng)絡(luò)上進行多層級的攻擊流量清洗，云清洗服務(wù)越來越多地成為用戶的首要選擇。

1.2 安全產(chǎn)業(yè)近年的投資和收購向安全云服務(wù)傾斜

安全產(chǎn)業(yè)碎片化，大量的創(chuàng)業(yè)公司憑借單點技術(shù)優(yōu)勢，在短短的兩三年之內(nèi)快速發(fā)展，成為資本市場的寵兒。近年來，安全產(chǎn)業(yè)的投資和收購中，云服務(wù)三分天下（另外兩個熱點是大數(shù)據(jù)和移動安全，將另文分析）。

全球范圍內(nèi)，安全產(chǎn)業(yè)的投資和收購，過去的十幾年可以簡要分為3個階段：第1階段，從20世紀90年代末期到2004年，投資和收購主要集中在傳統(tǒng)的防火墻、安全管理等領(lǐng)域；第2階段，從2005—2010年，投資和收購主要集中在云計算基礎(chǔ)設(shè)施服務(wù)相關(guān)的安全方面，此時安全云服務(wù)已經(jīng)嶄露頭角；第3階段是2010年以后，投資和收購在云服務(wù)領(lǐng)域迅速增長，2015年達到高峰，國外思科、微軟、Palo Alto等安全巨頭均在安全云服務(wù)領(lǐng)域大手筆收購和投資，國內(nèi)華為、阿里、百度、騰訊集中加強在安全云服務(wù)公司的資本運作與合作。

1.3 安全云服務(wù)的良好前景，使得更多廠商進入安全領(lǐng)域

近年來，隨著安全云服務(wù)的技術(shù)日益成熟，除了安全廠商，更多領(lǐng)域的廠商進入到安全云服務(wù)領(lǐng)域。傳統(tǒng)的安全設(shè)備和軟件廠商，利用安全技術(shù)和客戶的積累推出安全云服務(wù)；電信運營商、公有云服務(wù)商、DC服務(wù)商利用自身的管道優(yōu)勢進入到安全云服務(wù)商行列，不僅向原有的用戶提供安全云服務(wù)也逐漸向所有用戶開放；系統(tǒng)集成商順應(yīng)云服務(wù)的發(fā)展趨勢，不僅向用戶提供傳統(tǒng)的安全設(shè)備和軟件，也同時向用戶提供包含安全云服務(wù)的混合云模式安全解決方案。

1.4 不同用戶對安全云服務(wù)的選擇傾向有所區(qū)別

不同于本地化部署的安全產(chǎn)品和軟件，安全云服務(wù)的優(yōu)勢在于便捷獲取，靈活開通，但其部署以后主要的安全防護都在云端進行，不可避免涉及一些用戶隱私和信息安全的問題。這些優(yōu)缺點使得不同用戶對安全云服務(wù)的選擇傾向有所區(qū)別。

政府、大型企業(yè)的IT基礎(chǔ)設(shè)施架構(gòu)不斷在向云遷移，其安全服務(wù)必然有云化的安全考慮，但是，基于以下幾點原因的考慮，政府和大型企業(yè)在未來的很長時間之內(nèi)，還會選擇本地化部署、私有云部署或者混合云模式。

1）信息和數(shù)據(jù)安全。政府和大企業(yè)大多不愿將企業(yè)信息數(shù)據(jù)暴露給安全云服務(wù)商，更傾向采用本地化部署等方式構(gòu)建安全解決方案。

2）可靠性。政府和大企業(yè)本身具備覆蓋較廣的內(nèi)部網(wǎng)絡(luò)，要求在與外界網(wǎng)絡(luò)互連中斷的情況下，安全設(shè)施能夠正常運營，但云服務(wù)往往不能滿足此類需求。

3）服務(wù)質(zhì)量。安全云服務(wù)大多需要通過引流、代理的方式提供，大企業(yè)對服務(wù)質(zhì)量比較敏感，更樂意在駐地部署部分安全設(shè)備。

4）大企業(yè)的安全需求種類多，需要整體解決方案，完全云化的服務(wù)不能滿足所有需求，通常只能滿足部分需求。

中小企業(yè)、大企業(yè)分支傾向于選擇安全云服務(wù)，主要基于以下幾點原因考慮：

1）成本。云服務(wù)無需駐地化部署設(shè)備、便捷開通、彈性伸縮等特性滿足了中小企業(yè)的低OPEX需求。

2）運營簡化。安全云服務(wù)提供的Web管理、便捷配置等功能對中小企業(yè)有較大吸引力。

3）產(chǎn)品豐富，選擇余地大。針對中小企業(yè)的安全云服務(wù)解決方案面對的網(wǎng)絡(luò)結(jié)構(gòu)相對簡單、供應(yīng)商多、產(chǎn)品豐富，中小企業(yè)也便于找到適合自身的產(chǎn)品。

管道運營商客戶（例如運營商用戶、公有云租戶、CDN的租戶）等均傾向直接選擇管道運營商提供的安全云服務(wù)，主要出于以下幾點原因考慮：

1）便捷獲取。業(yè)務(wù)可與基礎(chǔ)IT設(shè)施業(yè)務(wù)同步開通。

2）成本。管道服務(wù)商的安全服務(wù)常采取免費模式，安全成為ICT基礎(chǔ)設(shè)施的商業(yè)競爭力的一個環(huán)節(jié)，用戶使用管道運營商的ICT基礎(chǔ)設(shè)施后無需再另外采購安全服務(wù)，或者僅僅需要采購部分高級服務(wù)。

3）管道服務(wù)商的安全能力。管道服務(wù)商通常具備較強的ICT基礎(chǔ)設(shè)施競爭力，例如擁有覆蓋面較廣的網(wǎng)絡(luò)、大容量帶寬等等，能夠應(yīng)對高流量的攻擊（例如DDoS）。

2 提供安全云服務(wù)所需要的關(guān)鍵能力

安全云服務(wù)的產(chǎn)品形態(tài)、提供方式、運營方式與傳統(tǒng)安全產(chǎn)品和軟件都有巨大的差異，那么，怎樣才能提供安全云服務(wù)呢？

安全云服務(wù)是一個系統(tǒng)工程，筆者認為，有5種關(guān)鍵能力是不可或缺的，分別是：安全云平臺、一點或多點安全技術(shù)、安全解決方案集成能力、安全云服務(wù)基礎(chǔ)設(shè)施、安全云服務(wù)運營能力。

2.1安全云平臺

提供安全云服務(wù)首先需要有云平臺。由于安全云服務(wù)大多是以SaaS的形式提供（少量云服務(wù)商可提供PaaS供第三方運營），SaaS層的業(yè)務(wù)必須由安全廠商自己建設(shè)，包含動態(tài)計費、安全性、可配置性、可擴展性、可靠性等基本能力。云平臺中的IaaS可采取靈活的方式獲取，例如自建或者租賃大公有云廠商的IaaS。

動態(tài)計費：安全云服務(wù)的一大商業(yè)優(yōu)勢是用戶TCO的整體降低，從而帶來的長尾市場的擴展。對于用戶來說，動態(tài)計費是最重要的功能之一，安全廠商必須提供動態(tài)計費功能，便于用戶根據(jù)自己的需要開通業(yè)務(wù)。

安全性：安全云服務(wù)通常以引流的方式提供服務(wù)，那么用戶數(shù)據(jù)和安全廠商服務(wù)之間的通道必須提供基礎(chǔ)的加密功能（SSL）。

可配置性：安全云服務(wù)需要提供靈活的多租戶能力，允許多個客戶靈活使用，因此云平臺必須擁有非常強的可配置性，在前臺和后臺都能夠提供詳細的配置選擇，為不同的用戶提供不同的需求功能區(qū)分，以及獨特的使用體驗。

可擴展性：與傳統(tǒng)安全軟件相比安全云服務(wù)的可擴展性要能夠適應(yīng)大規(guī)模客戶的需要，可在無需進行額外架構(gòu)設(shè)計的情況下根據(jù)需求靈活地增減后端基礎(chǔ)資源（計算、存儲、網(wǎng)絡(luò)）的數(shù)量，無論有多少用戶，都如針對單個用戶一樣方便地實施應(yīng)用修改。

可靠性：安全云服務(wù)向大量的用戶提供安全服務(wù)（甚至多達百萬級），云平臺的可靠性就非常重要。可靠性主要體現(xiàn)在2個方面：一方面是云平臺服務(wù)的可靠性，包括應(yīng)用必須7×24 h在線，數(shù)據(jù)必須多重備份等等；另一方面是針對大量用戶提供巨大的并發(fā)處理能力，避免由于處理能力不足造成用戶的損失。

2.2安全技術(shù)

安全產(chǎn)業(yè)碎片化，幾乎沒有廠商能夠做到壟斷。安全技術(shù)需要深厚的積累和分析，大多數(shù)廠商只具備一種或者幾種安全技術(shù)能力，這一特性也同樣適用于安全云服務(wù)。安全云服務(wù)本質(zhì)上還是安全，安全技術(shù)能力始終是立身之本。

并非所有的安全都能以云服務(wù)的方式提供。例如傳統(tǒng)的防火墻部署在網(wǎng)絡(luò)邊界，提供訪問控制、入侵防護等基本功能，在某些網(wǎng)絡(luò)邊界需要大容量（T級別）和高可靠性。那么這樣的安全就難以用云服務(wù)的方式提供，最多只能在防火墻的管理上采用一部分云服務(wù)以簡化運維。

安全廠商如果需要提供云服務(wù)，就必須掌握適合以云服務(wù)方式提供的安全的核心技術(shù)。比較常見的便于用云服務(wù)提供的安全有DDoS云清洗、Email安全、Web安全、云管理等等。DDoS防護云服務(wù)，全球最有競爭力的廠商例如華為、Arbor等等，有多年網(wǎng)絡(luò)流量分析能力以及領(lǐng)先的DDoS防護產(chǎn)品，在DDoS領(lǐng)域有深厚的技術(shù)積累。安全Email網(wǎng)關(guān)云服務(wù)的優(yōu)勢廠商例如微軟，也在Email領(lǐng)域耕耘多年，不僅提供傳統(tǒng)的Email病毒、惡意軟件檢測，更是利用自己數(shù)十年Email服務(wù)的運營經(jīng)驗，用大數(shù)據(jù)的方法分析用戶的使用規(guī)律，從而作出更加詳細的深度訪問控制。

不同類別的安全云服務(wù)，所需要的安全技術(shù)能力也有所不同，具體如表1所示：

表1 安全云服務(wù)所需要的關(guān)鍵技術(shù)能力

2.3安全解決方案集成能力

木桶理論在安全防護領(lǐng)域同樣適用，最短的短板決定了整個系統(tǒng)的安全性。攻擊者可以從最薄弱的環(huán)節(jié)入手，從而攻破整個系統(tǒng)。所以，安全防護必須是全方位、系統(tǒng)化的。在2.2節(jié)已經(jīng)分析過，并非所有的安全都適合用云服務(wù)的方式提供，但是對于用戶來說需要的是對整個系統(tǒng)的防范，那么在提供安全服務(wù)的廠商中，如果能夠提供多種安全方案集成后的整網(wǎng)解決方案，則對用戶有巨大的吸引力。

烏克蘭電網(wǎng)被攻擊事件，在2015年年末引起了全球安全產(chǎn)業(yè)界的重視，這次攻擊的過程分為3個主要階段：第1階段是攻擊者通過Email發(fā)送帶有惡意文件的仿冒Office文檔，殺毒軟件并沒有檢測出，用戶執(zhí)行以后惡意文件被植入到內(nèi)網(wǎng)；第2階段是惡意文件在內(nèi)網(wǎng)悄無聲息地執(zhí)行，與攻擊者的C&C服務(wù)器聯(lián)系下載更多的攻擊工具和插件；第3階段是惡意文件滲透進入SCADA工業(yè)控制系統(tǒng)并破壞，最終導(dǎo)致大范圍停電。烏克蘭電網(wǎng)被攻擊事件，集中說明了安全的整體解決方案重要性，單純的云服務(wù)是無法給予整個烏克蘭電網(wǎng)防護的。

針對烏克蘭電網(wǎng)這樣的攻擊，如果需要進行有效防護，必須在多個方面著手部署安全設(shè)備、軟件和云服務(wù)。例如，在攻擊的第1階段，安全Email網(wǎng)關(guān)可采用駐地化設(shè)備或者云服務(wù)的方式提供，但針對這種0-day惡意文件，還必須有APT的解決方案，包括信譽匹配、沙箱分析、文檔還原、惡意文件送檢等多個措施，才能有效識別并清除Email中攜帶的惡意文件（事件中的防病毒軟件未能見效）；在攻擊的第2、第3階段，普通的防火墻未能有效阻斷各種滲透，需要采用C&C監(jiān)控阻斷、異常流量分析、異常行為監(jiān)控、全網(wǎng)安全態(tài)勢呈現(xiàn)等大數(shù)據(jù)安全手段來發(fā)現(xiàn)問題；在事件結(jié)束后，通過從防火墻等安全設(shè)備提取的日志等信息，進行運維監(jiān)管審計、攻擊路徑展示、攻擊溯源取證、聯(lián)動清除惡意軟件等方法來杜絕后患。

因此，安全云服務(wù)廠商如果只提供單純的安全云服務(wù)，是難以滿足客戶需求的。通常，需要有一攬子的安全解決方案集成能力，這個能力可以是整網(wǎng)維度的云管端安全解決方案（例如思科、CheckPoint、華為等安全廠商能提供），也可以是一個業(yè)務(wù)單元的安全解決方案，例如中小企業(yè)的內(nèi)容安全包括安全Email網(wǎng)關(guān)、安全Web網(wǎng)關(guān)、APT防護、數(shù)據(jù)防泄漏等等。

2.4安全云服務(wù)基礎(chǔ)設(shè)施

大多數(shù)云服務(wù)都是遠程服務(wù)，遠程服務(wù)相對于駐地化安全設(shè)備和軟件，服務(wù)質(zhì)量受到網(wǎng)絡(luò)的影響較大，云服務(wù)的全球化基礎(chǔ)設(shè)施建設(shè)就顯得尤為必要，云服務(wù)廠商需要根據(jù)提供業(yè)務(wù)的種類建設(shè)覆蓋服務(wù)區(qū)域的基礎(chǔ)設(shè)施。

例如，DDoS云清洗服務(wù)，通常需要提供3個層次的攻擊流量清洗服務(wù)：1）如果攻擊流量在本地清洗處理能力內(nèi)，用戶本地部署的DDoS清洗設(shè)備負責(zé)清洗攻擊流量；2）如果攻擊流量大于本地清洗能力或已造成客戶網(wǎng)絡(luò)上行鏈路擁塞，本地防護系統(tǒng)發(fā)送云信令給云清洗中心，通知云清洗中心本地的負載情況以及申請其他位置部署的DDoS清洗設(shè)備進行清洗；3）云清洗中心發(fā)布引流路由，將攻擊流量引流到清洗中心進行清洗，清洗中心清洗后，通過GRE隧道把清洗后的流量回注到客戶網(wǎng)絡(luò)。

為了實現(xiàn)這樣一整套DDoS清洗方案，對于DDoS云清洗的服務(wù)商來說，需要在服務(wù)網(wǎng)絡(luò)中部署大量的清洗設(shè)備以構(gòu)建云端清洗能力，實現(xiàn)近源清洗。DDoS云清洗競爭力最強的廠商，例如華為，在中國、歐洲、亞太、北美都部署有DDoS清洗中心，配置了大量的DDoS防護設(shè)備，能夠提供高達2Tb/s帶寬的清洗能力。如果沒有這些遍布全球的清洗中心，也就無法提供高質(zhì)量的DDoS清洗云服務(wù)。

再例如，安全Web網(wǎng)關(guān)云服務(wù)提供的是對用戶訪問Web進行安全保護，通常需要通過DNS引流或者代理的方式將流量引導(dǎo)到Web網(wǎng)關(guān)云服務(wù)中心進行分析、檢測、安全策略實施。如果Web網(wǎng)關(guān)云服務(wù)中心距離用戶過于遙遠，網(wǎng)絡(luò)的傳送有非常大的時延，對于絕大多數(shù)用戶來說都是不可接受的，因此Web網(wǎng)關(guān)云服務(wù)商必須部署大量的云服務(wù)中心，通過合理的流量調(diào)度，就近提供云服務(wù)。安全Web網(wǎng)關(guān)廠商中較有競爭力的Zscaler，在全球自建或者租用云數(shù)據(jù)中心部署了超過100個節(jié)點，從而可以為各個區(qū)域的用戶提供低時延的高質(zhì)量安全Web網(wǎng)關(guān)云服務(wù)。

不同的安全云服務(wù)提供方式，對云服務(wù)基礎(chǔ)設(shè)施的要求也稍有不同，具體如表2所示：

表2 安全云服務(wù)所需要的關(guān)鍵基礎(chǔ)設(shè)施能力

2.5安全云服務(wù)運營

安全云服務(wù)更多的是一種服務(wù)，與設(shè)備和軟件的交付有很大的不同。用戶對于云服務(wù)，在開通、使用、問題處理、應(yīng)急響應(yīng)上均有廣泛的需求，具備覆蓋服務(wù)區(qū)域的運營能力成為必要條件。

安全云服務(wù)的運營能力主要包含：業(yè)務(wù)運營中心（Service Operation Center ，SOC）、云服務(wù)門戶、服務(wù)流程組織和團隊。

SOC是一個運營支撐體系，面向用戶界面的四大功能分別是：客戶服務(wù)支撐、市場發(fā)展支撐、用戶感知支撐、業(yè)務(wù)質(zhì)量管理?？蛻舴?wù)支撐是SOC最常見提供的服務(wù)，包含用戶故障受理、問題定位和應(yīng)急響應(yīng)等等；市場發(fā)展支撐是SOC的一個非常重要模塊，通常SOC會針對客戶關(guān)于安全云服務(wù)的使用者、使用場景、使用情況等信息進行分析，從而為用戶提供更好的服務(wù)選擇建議，這一塊也是很多SOC忽視的一點；用戶感知支撐主要包含涉及到用戶服務(wù)體驗的一些內(nèi)容的監(jiān)控與改進，包括新用戶、VIP用戶、不同區(qū)域用戶針對安全云服務(wù)的服務(wù)質(zhì)量的業(yè)務(wù)感受、投訴等等；業(yè)務(wù)質(zhì)量管理是指在SOC對安全云服務(wù)的各種服務(wù)指標進行收集和分析并不斷改善，例如分析不同區(qū)域用戶的服務(wù)時延、威脅發(fā)現(xiàn)率、誤報率等等，最終推動后端的研發(fā)團隊進行改進。

云服務(wù)門戶通常以Web界面提供給客戶，客戶在門戶上可以根據(jù)自身的需求選擇需要的安全云服務(wù)，進行必要的技術(shù)和商業(yè)相關(guān)配置，同時了解提供的服務(wù)的內(nèi)容和具體方式。云服務(wù)的用戶眾多，不可能一一人工處理，那么對門戶的要求就很高，通常要求客戶界面友好簡單、內(nèi)容詳細、計費方式簡單易懂等等。

服務(wù)流程是安全云服務(wù)運營的重要環(huán)節(jié)，服務(wù)流程定義的安全云服務(wù)的服務(wù)對象、服務(wù)等級、差異化服務(wù)的處理機制等等，標準的流程有利于安全廠商各組織能夠合理應(yīng)對用戶的訴求，提供穩(wěn)定的服務(wù)質(zhì)量。

組織和團隊是安全廠商的關(guān)鍵競爭力之一，正如前文所言，安全是技術(shù)要求非常高的產(chǎn)業(yè)，在當今世界威脅日益增加的背景之下，沒有優(yōu)秀的技術(shù)人員和管理人員，就無法為用戶提供高質(zhì)量以及端到端閉環(huán)的安全防護。

3 總 結(jié)

ICT的蓬勃發(fā)展，ICT基礎(chǔ)設(shè)施（軟硬件）和用戶價值資產(chǎn)（數(shù)據(jù)）在社會生產(chǎn)中的重要性越發(fā)凸顯，在政治、商業(yè)利益的催動下，攻擊者的攻擊技術(shù)也在不斷發(fā)展，安全已經(jīng)成為所有系統(tǒng)最重要的一部分。安全云服務(wù)的快速發(fā)展使得安全更加便于獲取，極大地提升了安全防護的覆蓋面。安全云服務(wù)不僅是一個傳統(tǒng)的服務(wù)，也不僅是傳統(tǒng)的安全，實際上是安全能力和商業(yè)模式的最新載體，其背后是一個完整的安全體系建設(shè)。筆者在這里也希望安全廠商能夠不斷創(chuàng)新，加大合作，加大商業(yè)模式的拓展，建立全面的網(wǎng)絡(luò)安全體系，使得更多的用戶能夠安全、便捷、平等地享用信息服務(wù)。

陸昆侖
華為安全領(lǐng)域高級分析師，12年以上ICT行業(yè)從業(yè)經(jīng)歷。主要研究方向為網(wǎng)絡(luò)安全、云基礎(chǔ)設(shè)施安全。
lukunlun@huawei.com

The Development Trend and Critical Capacities of “Security as Cloud Service”

Lu Kunlun