IDC报告解读:安全成为云服务商战略支柱

如果问大家,国内CSP(云服务商)谁家市场份额最大?相信这个答案非常简单,地球人都知道。如果问大家,国内CSP谁家安全做得更好?相信短时间内没有人能给出一个令人信服的答案,甚至还会引发互撕大战。不过撕归撕,只要有一个权威的评估机构给出严谨公正的评估结果,大伙还是会认可的。


正好国际咨询巨头IDC发布了《IDC MarketScape:China Cloud Service Providers Cloud Security 2017 Vendor Assessment》咱一起看看。


上云是大趋势,而安全则成了用户购买云服务的关键考量指标,同样安全也成了CSP新的竞争指标,用户一定会选择更安全的CSP,从这个角度而言,IDC这份《云安全买家指南》具备很高的参考价值。


笔者一直认为云计算是巨头游戏,云安全亦是如此,在云计算市场里,除了几个巨头以外,其他参与者一部分会成为炮灰,一部分朝不保夕,一部分吃相难看,一部分努力向巨头靠拢、还有一部分想着怎么退出。所以在这个大背景下,我们再看看IDC这次评估的厂商名单:阿里云、腾讯云、AWS、Windows Azure、金山云、Ucloud、华为云、天翼云、沃云及首都在线,谁是第一梯队,谁是其他梯队,其实心里有了大致的区分。


各位看官先了解一下IDC的评价模型。


IDC Marketscape的云安全评价模型包括三个维度:


(1)现有能力(纵轴)

笔者觉得这是最能说明问题的一个指标。在已经发布的新闻稿中看到,这次报告的评价指标涉及20余项,覆盖云基础设施安全、威胁情报能力、技术先进性、交付与服务能力、合规、生态等,可以说是比较全面地评价了一家云服务提供商的能力:从保护云的能力,到保护用户的能力。


(2)安全战略(横轴)

据小道消息,这里的战略主要是指未来三到五年的规划。那么推测这里可能就会包括商业化产品和解决方案往什么方向发展,如何拓宽市场,如何把新技术应用在业务中,或取得技术突破等。不可否认,展望未来对于云服务商和安全厂商来说都非常重要。但比其起另外两个维度来说,笔者个人认为这个维度还是稍微虚了一些。当然,作为分析机构来说,也会通过访谈、调研、第三方数据去反复验证,各个厂商是否能在未来把“画的饼”变成现实。


(3)对云安全的投入(气泡大小)

笔者个人觉得这个指标非常应景,也很说明问题。据我的了解,以往的IDC Market Scape气泡大小都是代表市场收入,而这次却一改往常,说CSP对安全的投入和重视程度,正好打中了各个企业所关心的问题。


要知道,CSP做安全的优势之一,就是在资源上的巨大投入。云基础设施要保证稳定不间断,云上访问控制和身份管理需要下功夫,再到产品安全、合规、专业的人才、技术,这些都是安全投入的范畴。目前来说,任何一家企业自己做安全,在投入上都达不到CSP的量级,IDC将这个指标纳入评估范畴,可谓是摸透了企业的心思的。



虽然IDC没有对能力和战略两个指标的重要程度进行比较,笔者个人觉得对急于上云的用户来讲,可以更多地参考能力指标。


介绍了评价模型,再来看评价结果:


Leaders 4家:阿里云、腾讯云、AWS和Azure。

Major Players 6家:金山云、UCloud、华为云、天翼云、青云和沃云。

Contenders 1家:首都在线。

来源:《中国云服务提供商,2017厂商安全评估》 2017年8月


结果并没有出人意料,第一阵营有且只有这4家,可能唯一让人纳闷的是AWS和Azure为何没有占据更高的位置,其实天朝特色的功能阉割加代运营模式,两位老A在国内还有很多的坑要趟,毕竟原厂产品比第三方组装的更值得信赖,换个角度来讲,云安全的中国制造已经代表了业内的最优制造。


刚才也提到,笔者认为现有能力和对云安全的投入,这两个维度是最能说明一家云服务提供商安全做得怎么样的。


从指标看结果,目前在这两个指标中双双夺魁的是阿里云,这个也没有什么出人意料的地方。不管是从入行的时间,安全的基本功,还是商业化的野心来说,阿里云确实在国内市场领先。至于具体的原因,笔者推测有这四点:


  • 一是研发抗D/WAF等云盾产品展现的工程化能力,高防IP和WAF最初都是为保障平台安全构架而提出的自研解决方案,当然不知道是团队能力太强还是无心插柳柳成荫,这些产品经过多次迭代之后,不仅能够解决平台自身的安全问题,还能对外进行输出,兜兜转转看一圈国内外CSP的自研安全产品,让人印象深刻的还真不多;

  • 二是安全生态体系的建设,生态讲究互惠共荣,阿里云安全团队自身资源毕竟有限,做哪些不做哪些自己有清晰的定位,抛开平台安全自身,还有太多的安全需求需要联合业内厂商一同来解决,克制住自己研发全栈产品的野心,步子不迈太大,CSP才能走得更稳更远。当然生态还讲究连横合纵,阿里云的众测“统战”思路在先知平台也得到成功验证;

  • 三是平台可用性和稳定性,云的体量决定了安全的体量,而可用性则是安全的核心要素之一,阿里云保护着全球14个Region和国内37%的网站,每天面临的威胁和攻击无疑给安全团队带来严峻的挑战,但也提升了平台的安全防护能力,IDC调查阿里云在云安全领域的投入也是国内最多,这也验证了阿里云安全的体量。再想想阿里云安全团队一直以来为双十一等活动做内部护航 ,1000多亿的交易额要平稳承压,这些任务放到任何一家CSP都不是轻松的事,对云用户来讲,真是可用稳定安全压倒一切。

  • 四是安全合规的领先优势,笔者通读过云等保的相关标准和文件,新标准落地其实会消耗大量资源,国内云等保试点的顺利通过体现了阿里云在合规方面的决心和能力。另外在通过合规和审计等管理手段来约束防范内部违规行为方面,阿里云对待安全的态度及安全规范流程也是值得其他CSP学习的。


细读IDC这份报告我们不难看出,位列Leaders 区域的4家CSP都具备高的安全水准,特别是国内两家CSP,在处理勒索蠕虫等大体量安全事件方面的应急预案和响应处置能力多次经受考验,在利用安全大数据和威胁情报进行智能服务输出提升安全自动化效率和服务效果方面亦是行业标杆,另外在云计算和大数据领域国家信息安全标准的申报和编制方面,这两家CSP也是走在前列。


除了保证自身云平台安全之外,巨头CSP覆盖各细分行业的安全解决方案在最大限度地让用户变得更安全。推测随着《网络安全法》的出台,国内CSP会纷纷推出合规相关的解决方案,另外会把触角伸到更广的行业中,比如阿里云则推出了“共享出行安全解决方案”和“航空安全解决方案”。深谙行业痛点,从产品过渡到整体方案,也是大势所趋。


最后结合IDC报告,笔者也给各位云服务买家提供几点建议:


  • 上云的首要考虑因素不是价格,而是安全,安全不再是云计算的附属属性,而是战略支柱。

  • 别指望CSP帮你解决所有安全问题,但是好的CSP能解决更多,买家不能局限于考虑CSP自身云平台安全,还要哪家CSP能让自己变得更安全。

  • 云计算和云安全都是巨头游戏,当你不能做出选择时,可以优先考虑本报告Leaders 区域的CSP。

相关文章
相关标签/搜索