你看,我們把未成年孩子的父母,叫做孩子的監護人。這個監護其實說的很有道理,監護人除了要輸送給孩子足夠的資源之外,首當其衝的應該是保證孩子的生命健康。
監護人做得好,孩子至少能避免80%的疾病或者其他生理健康問題。
雲計算也是一樣的。底層的基礎設施提供商負責為上層應用輸送資源,同時也應當對上層應用起到一定的“監護”作用。所以,有人說,雲計算服務提供商本身就應該是一個雲安全提供商,這句話是沒錯的。
你看這些年各大機構的研究報告(尤其是WAF,即Web應用防火牆),雲廠商總是能上榜,排名也都不錯。
下面來看看各個雲服務商,都有哪些安全家底。
"BAT雲服務御三家
P-1
御三家基本代表了國內雲服務廠商中的最高安全水平。
無論雲平臺自身的安全性,還是基於雲服務為客戶提供的上層安全能力,都是其它廠商難以複製的。
這其中有多個因素,最重要的因素還是:錢錢錢。拿錢砸技術,拿錢砸市場,拿錢砸團隊……
1.阿里雲:從一而終的保姆式雲安全
先看阿里雲。
從產品上來看,阿里雲幾乎可以提供雲上所需要的所有安全產品種類,所以阿里雲也是業內“保姆式”雲安全的代表,字面意思也就是可以為客戶提供近乎保姆式的安全服務,全面覆蓋“衣食住行”。
道哥曾在文章裡寫道,阿里雲從成立的第一天起,就認為安全是雲計算最重要的事情。
在國內,大量的中小企業客戶的安全需求得不到滿足。
在這樣的市場環境下,阿里雲在雲計算解決方案裡集成了自主研發的安全產品,希望能夠以此減少客戶在安全方面的擔憂。
儘管這段話是在2015年道哥在回應阿里雲的一次安全危機時寫道的,但是直到現在阿里雲的安全策略一直是這樣,從來都沒有變過。
從雲基礎網絡安全到應用安全,再到數據安全和業務安全,阿里雲應有盡有。
鑑於阿里雲佔據著國內雲計算市場的半壁江山,其雲安全服務也基本上是國內最常用到的。
在技術佈局方面,阿里雲有一個很重要關鍵詞:智能化。2019年阿里雲安全在安全自動化和智能化方面下了很大的功夫,引入了AI引擎用於DDoS和Web應用攻擊防護,做到大部分攻擊可以自動化相應。
同時,除了基於自身的威脅情報大數據以外,阿里雲還集成了微步在線的威脅情報服務(需單獨購買),用於提升檢測和響應能力。
重點說幾款常用產品:
(1)DDoS防禦:其國內清洗中心超過8個,單中心帶寬大於1T,總防禦帶寬超過10T,並且提供電信、聯通、移動、教育等20線獨家防禦。
在技術方面,阿里雲宣稱90%的攻擊可通過AI引擎自動防禦。
這一點很重要,從目前的DDoS攻擊趨勢來看,短時間、大流量的攻擊明顯增多,如果攻擊還需要人來識別,等攻擊過去了,流量清洗工作可能都還沒開始。
當然,價格方面也比較感人。以7x24小時服務為例,一月價格為63000元。之所以這麼貴,這一點還要從DDoS攻擊談起。
這種攻擊在本質上屬於一種降維打擊,屬於資源優勢方對於資源劣勢方的“恃強凌弱”。
攻擊者利用分佈式的殭屍網絡,同時對一個或者幾個目標發起非法訪問,耗盡目標儲備的帶寬、計算等基礎資源,造成拒絕服務的後果。
至於被攻擊後有什麼表現?回憶一下前幾年12306春運搶票時的感受就行了,各種卡死,所以後來搬到了阿里雲上。
所以,想要解決這個問題,防守方必須要具備和攻擊方同等的資源。
業界通常的做法是,通過流量牽引把攻擊流量牽引到自身儲備的清洗節點上,這就要求了服務提供商必須具備充足的帶寬資源,而且必須是長期儲備。因此在成本方面就比較高。
為了幫助客戶降低成本,阿里雲提供了兩個方法幫助客戶降低成本,其一是提供免費的DDoS攻擊應急服務,其二是提供DDoS高防服務按天按需付費。
在實戰方面,2019年,阿里雲安全團隊監測到雲上DDoS攻擊發生近百萬次,日均攻擊2000餘次,最大防禦流量達到了900Gbps。
(2)WAF:最近這段時間,阿里雲WAF可謂是“賺足了面子”;
拿下Gartner、Forrester、Frost&Sullivan、IDC等四家國際知名諮詢機構的報告。
作為雲上攻防對抗的核心,雲WAF一直是阿里雲的拳頭產品。
在2019年,阿里雲還做了一件大事:收購以Web攻防見長的長亭科技,進一步完善自身在攻防方面的優勢和行業的垂直解決方案。
(3)數據安全:除了最常用數據庫安全和數據加密產品外,阿里雲還有兩塊產品值得關注。
第一是機密計算,其核心能力是對正在計算中的數據加密,保證動態數據的安全性;
第二是發佈敏感數據保護服務,可對敏感數據進行脫敏,這對於大數據的流動和廣泛交易將會有非常大的幫助。
還有一塊值得說一說。
雲計算與雲安全發展到如今這樣一個狀態,純粹的保姆式雲安全絕對已經不能滿足所有云商客戶的需求。
在阿里雲引入雲市場後,吸引到了大批安全廠商入駐,目前共計268款產品。
當然阿里在安全方面的佈局也非一帆風順,比如阿里聚安全這樣一款專注於移動應用的安全產品,僅僅運營了兩年時間就宣佈停止服務,箇中原因不得而知。
2.騰訊雲:雲+未來,七大實驗室組成的安全矩陣
去年,騰訊宣稱正式發佈了中國首個互聯網安全實驗室矩陣——騰訊安全聯合實驗室;
涵蓋雲鼎實驗室、反病毒實驗室、反詐騙實驗室、移動安全實驗室、科恩實驗室、玄武實驗室、湛瀘實驗室,致力於安全技術研究及安全攻防體系的搭建,覆蓋雲安全、反病毒、反詐騙、移動安全等領域。
這七大實驗室加上超過3500人的騰訊安全團隊,構成了騰訊產業互聯網時代的安全力量。
單純比拼安全能力,阿里和騰訊很難分出高低。
這倆公司無論從產品成熟度、服務成熟度還是在團隊規模方面,在國內而言都可謂首屈一指、不分伯仲。
不同的是,騰訊安全可以說是2C、2B齊頭並進,在消費者業務方面,藉助遊戲和社交的力量,一個安全管家包打天下;
而在企業級業務方面,騰訊把安全業務放在了更加重要的地位,可以認為是騰訊產業互聯網轉型的一柄利劍,也就是藉助安全業務來尋求企業級市場的突破。
但受制於雲服務發展的腳步,在雲安全市場上,騰訊似乎總是被阿里壓一頭。
在雲安全產品矩陣上,騰訊雲和阿里雲非常相似,這也很正常,很多產品都是雲上的標配。
所不同的是,騰訊的基因屬性非常明顯。
有人可能忘記了,最早的騰訊安全產品叫做QQ醫生,其主要功能就是防止QQ賬號被盜。
那個時候,網頁掛馬的現象非常嚴重,很容易就中了木馬,導致QQ賬號被盜。
為了解決這個問題,騰訊就在QQ程序中加入了這樣一個功能,可以檢測盜號風險。
後來,伴隨著免費殺毒軟件的風潮,也就逐漸有了後來的QQ保鏢、騰訊安全管家等,在終端上做反病毒工作。
有了這樣一個出身,騰訊在終端安全(特指物理終端)這塊還真有兩把刷子,相比之下,阿里等大部分雲服務提供商則沒有這方面的業務。
與騰訊雲C端產品不同的是,企業級產品重點加入了端點檢測與響應能力,防範以脆弱終端為跳板的APT攻擊。在移動端,騰訊也有類似的產品佈局。
隨著騰訊在社交和遊戲業務方面的全面發展,騰訊雲也積累了大量的此類客戶,其安全產品也在這兩個領域有所傾斜,並且經歷了大量的實戰考驗。
比如針對棋牌類遊戲客戶,騰訊雲專門推出了棋牌盾,主要是抵禦DDoS攻擊。
大家或許不是很清楚,棋牌類遊戲廠商著實是DDoS攻擊的重災區,而且很多時候來源於競爭對手的打擊報復。
針對近些年火爆的手遊領域,騰訊雲可以提供防外掛、防作弊、防篡改等服務。
不過,在雲安全生態佈局方面,騰訊顯然沒有阿里佈局更加全面。
單就雲市場中的安全產品數量而言,騰訊雲市場上架了132款產品,約為阿里的一半。
不過,騰訊卻有一個超級“鐵哥們”——知道創宇。
熟悉他們的人都知道,騰訊曾兩次投資知道創宇這樣一家雲安全明星企業,這二者在DDoS防護、Web攻防、CDN加速以及反欺詐方面都有非常深度的合作。
3.百度安全:釋放AI的力量
2015年,當阿里拼命為雲計算搖旗吶喊的時候,百度卻在O2O的道路上越走越遠。
如果用結果論,百度這一招的確不怎麼高明,也因此在雲計算甚至是整個產業互聯網的佈局都慢上半拍。
不過,百度安全卻早已聲名鵲起。
也是2015年,百度全資收購了號稱國內首家雲安全企業安全寶,安全寶創始人馬傑自此就帶著麾下干將加入了百度,成為百度安全的掌門人。
憑藉這筆收購,百度安全一躍成為當時國內最大的雲安全提供商,市場佔有率超過30%。
儘管有人對這筆交易提出了質疑,與其說百度收購了安全寶,倒不如反過來說安全寶收購了百度安全。
但不管怎麼樣,百度安全都應該到了大展宏圖的時刻。而且當年百度安全還在一場發佈會上做了一個demo,成功抵禦了流量峰值達1Tbps的DDoS攻擊。
或許受制於百度自身雲計算業務的發展,很快百度安全很快便失去了往日的銳利,即便心有不甘,百度也只能蟄伏待機,潛心鑽研安全技術。
伴隨著百度雲的幾次架構調整,百度安全的產品矩陣也長成了如今這個樣子。
首先應該強調的就是AI。
在百度的雲計算業務幾經整合之後,和AI綁定在了一起,其他的雲都叫xx雲,唯獨百度叫百度智能雲。
也可以這麼說,百度的AI是一個底座,也是其戰略核心,不論是2C的業務,還是2B的業務,都可以插在這個上面。
所以在百度安全的產品矩陣裡面,AI安全佔據了一大塊,也是百度安全所有攻防技術的核心。
在2018年,百度安全便推出了BASS下一代人工智能安全技術棧;
包括OASESKARMA系統自適應熱修復技術、OpenRASP下一代雲端安全防護系統、MesaLockLinux內存安全操作系統、MesaLinkTLS下一代安全通信庫、MesaTEE下一代可信安全計算服務框架、AdvBoxAI模型攻防工具包、HugeGraph大規模圖數據庫等七大開源技術,基本涵蓋了雲計算安全的各個方面。
其二是是DDoS防禦。
與其他廠商不同的是,百度的DDoS防禦網絡是一個由百度、CloudFlare和電信雲堤三方共同建立的全球抗攻擊網絡。
來自海外的攻擊將會分散到CloudFlare在全球的眾多超級節點上進行清洗;境內流量百度則與雲堤合作,基於強大的近源壓制能力來進行流量封堵。
這一點類似於電商物流中的前置倉,就近配送。
第三個特色應該是雲手機。
不過話說回來,雲手機並不是什麼新鮮的概念,華為、亞信也有類似的產品。雲手機有點類似於雲桌面,強調數據不落地。
不過在隨著疫情的發展,遠程辦公或者移動辦公大有常態化發展的趨勢,數據落地就相當於擴大了數據的暴露面積,從這個角度來看,或許雲手機能大有作為。
Other互聯網/設備/運營商雲
P-2
除開御三家之外,還有很多大公司內部“孵化”出來的雲,華為、網易、京東、美團(美團雲即將停服,不再討論)天翼雲等,皆屬此列。
4.華為雲:公有云我是中國前三。雲安全?
在公有云市場,華為雲來勢洶洶。
自2017年華為開啟公有云戰略之後,上升勢頭太猛了,已經足以和御三家掰掰手腕。
據Gartner2019年IT服務市場報告,華為雲首次進入國內前三,增速最快,已達220%之多。
在全球市場,華為雲排名也大幅提升,位居第六名,距離2017年提出的“全球五朵雲”目標僅一步之遙。
但云安全呢?
或許大家對華為安全的印象仍然停留在過去,作為一家網絡設備供應商,做了防火牆、WAF或者是統一威脅管理,那自然是手拿把攥,並且在安全收入方面,也長期佔據著國內“一哥”的位置(當然,近期可能已被奇安信等公司超越)。
不過在雲安全方面,華為倒是十分低調,幾乎看不到什麼公關動作。
單純從華為雲官網公佈的安全產品來看,沒有什麼特別的,也沒有御三家們花裡胡哨的產品名稱。
從這一點上來看,華為雲在公有云的安全方面沒有特別大的“野心”,其核心是基於華為雲,為客戶提供安全服務。
在產品佈局上,華為2019年公佈了他們的三大安全體系:
第一是防攻擊體系,主要包括二十多款基於AI的安全產品和服務;
第二是數據安全體系,涵蓋從訪問認證、敏感數據識別、防攻擊、防洩漏到審計;
第三是可信雲平臺和雲服務體系,主要是針對雲平臺自身的安全,讓客戶用的安心。
需要關注的是,華為雲在私有云安全方面有著自己非常明確的打法:拉著生態夥伴一起打天下。
要知道,不同於公有云的遲緩,華為在私有云方面可謂是一路領先,在政務雲、桌面雲和虛擬化方面都數一數二。
憑藉在傳統網絡安全領域積累的技術,華為很容易把自身的物理安全設備池化,結合存儲硬件的高性能和高可靠性構築租戶級的本地、異地、跨雲的多維度災備服務和網絡安全體系。
並且華為雲會拉著其他安全廠商一起做。
包括瑞星、天融信、北信源以及奇安信等網絡安全公司,都和華為的鯤鵬系列和TaiShan系列有不同程度的合作。
5.網易雲:內容安全是易盾的尖刀
在雲計算市場,網易雲不算很有名,排名也不靠前。在各大機構的報告裡,也總是處於“其它”這一列。
就這一點,網易雲的安全能力也無法和“御三家”同日而語。
但網易雲不是沒有自己的路子。
其打法是集中優勢力量中央突破,迅速在雲安全市場佔據一席之地,然後再在其他方面進行取長補短,大有我國先富帶後富的意思。
這個優勢就是內容安全。
網易是做門戶起家的,而且在網友留言方面獨樹一幟,所以業內也一直都有“自古網易出人才”的名號。
不知道是不是這個方面的原因,鍛造了內容安全在網易中的核心地位。
從其官網展示的產品排序來看,內容安全毫無疑問佔據了第一的位置。
它的內容安全貫穿了用戶全生命週期的縱深防禦體系——從賬號註冊、登錄、用戶行為、內容發佈以及登出。
其背後,運用了多個技術對用戶進行畫像,包括人機識別、風險名單、IP畫像、設備模型、行為模型、業務模型、關聯分析和規則系統等。
第二,就國內而言,網易是除了騰訊以外的第二大遊戲公司。
或許在端遊方面無法和騰訊代理的英雄聯盟、穿越火線和地下城與勇士PK,但在手遊方面絕對可以和騰訊掰掰手腕。
日積月累的行業經驗,讓網易在手遊反外掛方面也很強。
6.天翼雲:一招雲堤吃遍天
(圖理解一下,天翼雲官網就是這麼排的)
天翼雲背靠的是中國電信這樣一家巨無霸運營商,運營商最強的是資源。
依靠遍佈全國的骨幹網絡和大容量帶寬資源,天翼雲可以說有國內最強的DDoS防禦能力——雲堤,它的口號之一是重新定義DDoS防禦。
根據雲堤19年的描述,該產品能提供攻擊實時監控、近源清洗獨享T級帶寬、近源壓制秒級生效,分析溯源等多項保障服務,得益於國內領先的互聯網接入骨幹網絡,“雲堤”擁有強大的防護能力,此外依靠全球部署的36個分佈式清洗中心,既能採用業內獨有的近源清洗,同時針對大規模的流量可提供高防服務,將攻擊流量引流,保證客戶業務不間斷的運行。
國內很多雲廠商的抗DDoS服務,都和雲堤有合作,上文提到的百度就是其中之一。
或許大家都沒想到,天翼雲在國內公有云市場排名可以排到第五的位置。
筆者大膽猜測,雲堤為天翼雲的收入,貢獻了相當大的力量。
7.京東雲:有點慢
這個沒啥好說的,京東雲自推出以來,其市場發展較為緩慢。東哥要想打一場漂亮仗,還得咬咬牙!
順便說一句,京東SRC不錯。
8.金山雲:沒什麼特別的
關於金山雲安全,和其他廠商提供的雲安全產品差不多。如果非要有一個特色,當年的金山毒霸可能更有特色。
創業的雲-QingCloud/UCloud
P-3
在大廠的夾縫中頑強的活下來,真的挺不容易的,並且走在或即將走在科創板的道路上,看著明天。
9.UCloud:中立安全是最大的品牌資本
或許有些朋友們不太清楚,UCloud掌門人季昕華季總是黑客出身,每年都在國內頂級的安全會議上(2018年及以前是ISC,以後是BCS),有精彩發言。
話不多說,UCloud的中立屬性一直業內的一面旗幟。
筆者認為這個屬性在安全方面包含著一層意思:我是中立的,我在業務方面也和客戶沒有競爭關係,客戶把業務、把數據放在我這,我也不會看,也不會給別人,儘管放心使用。
在安全產品方面,UCloud比較突出的是安全屋。
根據筆者的理解,安全屋可以簡單理解成為一個虛擬化數據空間,所有的數據計算場景都可以放在這個虛擬空間裡運行,同時輔以安全手段,確保其安全性。
安全屋包括四大核心技術:使用堡壘機隔絕外部訪問,區塊鏈保證數據操作透明可追蹤,分級密鑰管理和訪問權限控制確保數據安全。
其他產品在其官網上展示不多,圖就不截了。
10.QingCloud:
大概是雲安全責任共擔模式走到底了
一直以來,青雲都是雲計算行業的“小清新”,並且有自己的技術優勢,尤其是在SDN和SDS以及數據庫方面。
一直都有人說青雲是掛著公有云品牌的私有云公司,筆者私以為,和大廠拼資源、拼投入是不可取的,找一塊地活下來才最重要。
沒有那麼多資源,自然也不可能像其他廠商那樣大手筆投入搞安全產品。
當然,筆者並不是說青雲不安全,青雲的安全思路是,你來我這走路,我得把路鋪平了,全力做好雲平臺本身的安全,上面的安全,我還得靠生態夥伴。
這也是AWS一直以來的安全思路,在業內也被稱為雲安全的責任共擔模式。
筆者數了一下,在青雲AppCenter裡,共有25款安全產品。
部分產品截圖
其他雲
P-4
"最後筆者想說的是,寫了6000多字,純屬個人觀點,總有不對的地方,歡迎大家指出。
但有一點可以肯定,新基建已經如同一支離弦的箭,這裡面有太多的市場機會。
大量的業務將會走上雲端,網絡安全和信息化同步規劃、同步建設和同步運營已經成為常態。
做好雲安全,才會有更大的機會,不是麼?
