2023年十大云安全发展趋势洞察报告

青藤云安全让云更安全 服务热线：400-800-0789联系电话：010-57528262网址：www.qingteng.cn总部地址：北京市海淀区创业路8号群英科技园1号楼5层 COINSTEINTS 院士点评 院士点评 云"已成为支撑国民经济运行和社会发展的重要基础设施，而建立以数据安全和隐私保护为主要目标的云安全框架尤为重要。本次2023云上安全：十大技术发展趋势关键词"推选计划，有利于聚焦当前云安全发展过程中的核心技术方向，有利于激发产学研用各方力量的深度思考，有利于压清保障云产业可持续健康发展的云安全技术攻关重点。 云安全发展与演进01 云安全的演进历程02云安全的建设原则02先进云安全的发展特点 冯登国中国科学院院士 2023年十大云安全发展趋势关键词解析07 零信任网络访间(ZTNA)08云原生应用保护平台(CNAPP)60安全访问服务边缘(SASE)，10云基础设施权限管理(CIEM)11云安全态势管理(CSPM)Serverless安全13云工作负载保护平台(CWPP)15Web应用程序和API保护(WAAP)18可扩展检测响应平台(XDR)20云数据备份22 数字时代，云安全发展建议23 增加安全投入匹配数字经济发展24推动人工智能在安全领域的应用24 机构介绍25 云安全的演进历程 云安全发展，是伴随着云计算行业发展而兴起的。从国际成熟市场经验来看，云安全行业发展滞后于云计算约3-4年时间。美国云计算行业从2005年开始，随后受技术驱动，2009年后进入快速发展期。而与之共生的云安全发展相对滞后，直到2009年云安全概念才正式确立，随后经历了政策催化与技术驱动期，新技术与相应的初创公司不断涌现，2014年后行业逐渐进入稳定高速发展期。 中国云安全的发展略晚于美国市场2-3年。从早年简单的云主机杀毒，到一体化云上态势感知，从底层计算、存储资源云化到云上软件全生命周期的安全防护，从安全产品的云化到云原生安全，历经十多年的发展，云安全产业无论是市场需求、防护边界、技术实践还是落地形态都经历了霸天覆地的变化。综合分析下来，云安全的发展历程可以大致分为四个阶段：萌芽阶段、云化阶段、如速发展阶段以及云原生阶段 云安全发展与演进 整体来看，我国的云安全发展与全球越势一致，近几年来开始得到长足发展，并成为网络安全的重要发展方向。目前，我国云计算及安全市场仍以laaS层为主导，而其规模增速在近年逐渐放缓。与之相对应的，PaaS层市场增速不断提升，云安全市场的下半场争将从laaS向PaaS层迁移。 随若数字经济发展，以云计算为代表的数字技术正以新理念、新业态、新模式全面融入各行各业。业务系统上云已经成为新常态，但同时云端威胁的港透速度更快，辐射范国更广、影响程度更深，安全已经成为云计算发展最核心的保障。 云安全的建设原则 在云安全进入新发展阶段的背景下，有效的云安全建设首先应确定一些关键原则，这些原则将成为用户构建云安全框架的基石。无论选择哪个云安全解决方案供应商，只要用户坚持这些原则，就能确保避循云安全最佳实践。因此，在考虑技术解决方案之前，确定并遵循这些原则对于实现云安全至关重要。 进入云和数字化时代，企业的数字化转型进入深水区，企业不仅需要通过基于云上开发提升数字化业务能力，更需要保护企业的应用程序和数据免受安全威助和攻击。面对日益复杂多变的网络威胁环境，企业必须深刻认识到业务与安全的有效融合对数字化转型的重要性。企业需要在战略高度将安全融入业务发展计划，建立一个既安全又高效的数字化业务体系，推动业务与安全的一体化。 最小权限原则指任何用户、程序或进程只应具有执行其功能所必需的最低权限。例如，用于从数据库中提取记录的用户账户不需要管理员权限。这有助于防止淄用特权导致的数据泄露或损坏。如果一个实体被授予超过其实际需要的权限，那么这些额外的权限就可能被有意或无意地溢用。 “业安融合"原则 最小权限原则 但是，要确定网络上每个用户或用户组应具备的权限本身就已是个挑战。云及云原生环境日益复杂化，使得这个挑战更加困难。许多组织的信息技术环境跨越多个云平台，每个平台都有自己的访问控制和审计机制，导致安全团队难以全面掌握数据流向和访间权限分配。 实现“业安融合”，涉及业务和安全两个层面。从业务层面来看，先进的云安全体系可以帮助企业在创新能力、客户信任、业务敏捷性、品牌声誉以及客户体验等方面建立差异化的竞争优势。从安全角度来看，先进的云安全体系不仅可以提升企业对风险和安全事件的响应能力，还能为企业在采用云原生技术等战略性领域提供重要价值，使其更加主动和战略地应用这些技术。 访问权限管理是一个复杂过程。理想情况下，我们希望完全实现最小权限原则，但实际上，我们必须在便利性与安全性之间权衡。权限过于严格会影响生产力；权限过于宽松则难以实现有效的数据保护。要在云环境中要善实施最小权限原则，需要进行初步准备，定位关键资产，测除余数据和账户，并选择统一的访问权限监控解决方案，能够关联不同系统的事件日志，持续监测和评估权限使用情况。 云安全责任共担模型，是云服务提供商和客户共同遵守的愿则。它明确规定了云服务提供商和用户要共同分担云安全责任。云服务提供高将遵循最佳实践来保障数据安全，而用户也必须按最佳实践原则进行配置。 纵深防御最初是一个军事术语，用于定义一种防御策路。这种策略通过在关键资产周国布置多层防线来保护关键资产，即使攻击者成功突破多重防线，也可以确保最重要的资产得到保护。织深防御大大增加了成功入侵网络所需的时间和复杂性，消耗了攻击资源，增加了识别和缓解攻击或胁的几率。总之，纵深防御是一种有效的网络安全策略。 责任共担模型 责任共担模型明确了客户与云服务提供商在确保云安全方面的职责。这需要双方通力合作，遵循最佳实践，不断监控和改进。只有客户与云服务提供商尽职尽责，云环境才可能真正安全可靠。 但是织深防御也有很多挑战，比如云计算资源有可能不在客户控制之下，安全控制的实施依赖于云服务提供商。不同的云服务模式(laaS、PaaS和SaaS)对应不同级别的客户控制，增加了复杂性。 零信任(ZeroTrust)，是云安全架构中最基本的原则之一。零信任并非一个产品，而是一个概念。顾名思义，零信任的核心在于不依赖传统的网络控制，而是转向以身份为中心的模型来提供安全性。这就意味着企业不能信任网络内外的任何服务或用户，需要对每个请求进行验证。在这里，验证是指对每个请求进行接权并检查其合法性。 开发人员可以借鉴安全即代码的实践来节省时间并提高生产力，这在应用程序开发过程中非常有用。但这并不意味着开发人员必须花费很长时间来编写大量代码。相反，它意味着开发人员需要了解如何使用适当的工具和技术将安全直接嵌入到代码中去。 在零信任模型中，“身份"可以指代用户、应用程序、云服务等。在零信任领域，访问决策将基于一个集中的、以身份为中心的策略，通过动态评估每个请求的上下文来授予访问权限。用户的位置、设备、时间、风险评分等因素都会被评估，并且身份本质上成为了一个允许或拒绝访问的防火墙。 安全即代码 >基础设施即代码（laC)：使用代码模板来定义和管理基础设施资源，然后通过自动化工具将其部署到云环境中。这样可以实现快速、可重复部署，并能够对基础设施进行版本控制和审查。 >API调用：在云计算中，API扮演着关键的角色，用于执行各种操作和交互。无论是通过命令行工具还是通过编程语言，用户都需要调用云服务的API来管理和绿作资源。了解如何正确地使用API以及保护其安全性对云安全专业人员至关重要。 >无服务(Serverless)计算：Serverless计算是云计算的一种模型。在这种模式下，开发人员可以只关注如何编写特定功能的函数代码，而无需关心底层的服务器和基础设施。在Serverless环境中，安全责任主要集中在函数代码上，因此了解如何编写安全的Serverless函数是云安全专业人员的核心能力之一。 综上所述，无论从基础设施管理、API调用还是Serverless计算的角度来看，云安全专业人员都需要掌握编码技能以及将安全直接融入代码的能力。这可以让他们更加熟悉云环境的操作模型，并能够有效保护云工作负载的安全性。 先进云安全的发展特点 安全要能够适配云的基础设施，充分API化，融入到业务中去，能够像业务一样高速选代和演进，立刻发挥效果，而且还要更加灵活，可以按需组合使用。因此要做到安全的数字化，就需要将安全与业务深度融合，包括能力的融合、体系的融合、流程的融合，从而实现业务与安全的一体化。 云时代，企业数字化程度不断深入，安全只有与企业战略相匹配，支撑企业数字化运营体系，为企业业务目标服务，才是数字化安全的生存与发展之道。未来的先进云安全方案应该是原生化的、融合化的、服务化的、智能化的。 融合化 首先，安全与业务的深度耦合。传统安全过于制裂，这已经无法满足业务的实时需求。安全技术与业务将实现深度集成，安全机制将植入业务流程，通过访问业务上下文实现自适应调整，推动安全与业务的一体化，实现“业安融合。这需要安全团队理解业务模型与流程，才能提供高度定制化的安全策略与控制策略。 在国家政策的推动和行业需求的牵引下，企业上云的广度和深度有了很大提升，云服务对实体经济发展的覆盖面不断拓展，业务涉透性也不断增强。面对传统云上应用升级缓慢、架构腹肿、无法快速选代等问题，云原生理急的出现很大程度上解决了这个问题。在云原生环境下，云上应用不是简单将基于传统数据中心的应用迁移到云上，而是专门针对云环境而设计开发的，能够充分利用和发挥云平台的弹性、可扩展等优势。 其次，安全技术之问的融合。单一安全技术无法全面保障云原生环境的安全，需要构建容器安全、API安全等全系列产品。这些产品不但需要部署在同一个平台，还需要实现安全事件、数据、策略等的协同与共享，形成一个统一的安全体系。DevOps正在成为软件工程的主流方式，而安全需求也变得日益追切。这要求将安全测试、审计与监控等机制深度集成到Devops流程，实现持续交付的软件工程安全。通过将SAST、DAST、漏润管理等安全实践应用在持续集成与持续交付(CI/CD)的各个阶段，软件可在第一时间发现并修复潜在漏洞与风险。 原生化 安全原生化，依托云原生理念和技术特点来重构传统安全体系，实现安全技术的轻量化、敏捷性、精细化与智能化。云原生安全不再是外挂式安全，而是目在保障云基础设施的内生安全，从而持断扩展，目前已形成一整套系统化的防护体系，从开发阶段扩展到运行时阶段，提供完整生命周期的安全保障能力。 总之，云安金的未来必然是多层次的融合化体系。安全与业务深度融合，安全技术之间实现深度融合，与DevOps流程实现深度重合。这也决定了安全工程师需要如强对云计算、软件工程与安全技术融合发展方向的学习，理解不同领域的需求与痛点，才能在融合创新的过程中发挥积极作用。安全团队也需要具备跨领域协作和沟通的能力，才能推动企业安全体系向融合化、系统化的方向演进。 AI大模型的蓬勃发展会催生一些新的安全口和攻击手段。但更重要的是，AI会促进攻防技术升级，提升云安全产品能力，包括自适应威胁检测、全面风险监测、用户行为风险识别、智能安全预测和自动化安全响应等能力。传统的安全系统往往受限于有限的规则和静态模式，无法应对日益复杂和变化多样的网络威胁。而AI以其强大的数据处理和学习能力，可以扫描大规模的网络数据，快速识别未知的成胁并作出实时反应。通过机器学习和深度学习算法，AI不断优化威助检测模型，提高对新型攻击的检测准确率。 智能化 服务化是云安全发展的必然发展路径，它可以极大降低用户采用先进安全技术与产品的门槛，让更广大的中小企业可以灵活享受强大的云安全能力，同时也使安全技术得到更快速度的推广与选代，有利于整体云计算环境的安全生态建设。 服务化 此外，云安全还越来越注重预测性和主动性。AI可以利用大数据分析和机器学习来预测可能的安全风险和漏润，并采取相应的措施进行防