安全云服务的发展趋势和背后的关键能力分析

□ 陆昆仑



安全云服务的发展趋势和背后的关键能力分析

□ 陆昆仑

安全云服务（security as cloud service）是指用云计算的技术和方法为用户提供安全服务。安全云服务不同于云安全（security for the cloud），云安全是指如何保护云计算环境本身的安全。本文探讨的是前者，在文中主要分析了安全云服务的现状和趋势，以及提供安全云服务的必要关键能力。

1 安全云服务的发展趋势

1.1 安全云服务的市场空间增长将显著高于传统安全设备和软件

2015—2020年，安全云服务的市场空间预测年均增长率将高达15%，而同期安全软件和设备的市场空间年均增长率仅为7%。

安全云服务中，增长较快的是安全Web网关云服务，用户可通过DNS引流、代理等方式方便快捷地使用安全Web网关SaaS云服务。相对而言，安全Email网关的SaaS云服务虽然易于获取，但由于政府、大型企业更加关注信息安全，在Email网关的远程SaaS云服务使用中采取比较审慎的策略，倾向于采用本地化部署的安全Email网关或者私有云服务，因此安全Email网关的云服务增长率只有约4%。

云管理也是增长较快的安全云服务。当前政府、企业用户部署了数量庞大且规格不一的安全设备，管理和维护日益成为用户的运维负担，云管理服务解决了用户的这一顾虑，可提供对防火墙、DDoS清洗设备、SIEMS、UTM、IPS/IDS的统一云化管理，甚至能够将安全云管理和企业园区其他网络设备的云管理统一，更有利于降低OPEX。

DDoS云清洗服务的发展速度同样非常迅猛。由于DDoS的攻击流量动辄达到百Gb/s的规模，传统的在政府、企业网络边界进行流量清洗和负载均衡的防御方案往往无法抵御DDoS的攻击，因此需要在更广阔的广域网络上进行多层级的攻击流量清洗，云清洗服务越来越多地成为用户的首要选择。

1.2 安全产业近年的投资和收购向安全云服务倾斜

安全产业碎片化，大量的创业公司凭借单点技术优势，在短短的两三年之内快速发展，成为资本市场的宠儿。近年来，安全产业的投资和收购中，云服务三分天下（另外两个热点是大数据和移动安全，将另文分析）。

全球范围内，安全产业的投资和收购，过去的十几年可以简要分为3个阶段：第1阶段，从20世纪90年代末期到2004年，投资和收购主要集中在传统的防火墙、安全管理等领域；第2阶段，从2005—2010年，投资和收购主要集中在云计算基础设施服务相关的安全方面，此时安全云服务已经崭露头角；第3阶段是2010年以后，投资和收购在云服务领域迅速增长，2015年达到高峰，国外思科、微软、Palo Alto等安全巨头均在安全云服务领域大手笔收购和投资，国内华为、阿里、百度、腾讯集中加强在安全云服务公司的资本运作与合作。

1.3 安全云服务的良好前景，使得更多厂商进入安全领域

近年来，随着安全云服务的技术日益成熟，除了安全厂商，更多领域的厂商进入到安全云服务领域。传统的安全设备和软件厂商，利用安全技术和客户的积累推出安全云服务；电信运营商、公有云服务商、DC服务商利用自身的管道优势进入到安全云服务商行列，不仅向原有的用户提供安全云服务也逐渐向所有用户开放；系统集成商顺应云服务的发展趋势，不仅向用户提供传统的安全设备和软件，也同时向用户提供包含安全云服务的混合云模式安全解决方案。

1.4 不同用户对安全云服务的选择倾向有所区别

不同于本地化部署的安全产品和软件，安全云服务的优势在于便捷获取，灵活开通，但其部署以后主要的安全防护都在云端进行，不可避免涉及一些用户隐私和信息安全的问题。这些优缺点使得不同用户对安全云服务的选择倾向有所区别。

政府、大型企业的IT基础设施架构不断在向云迁移，其安全服务必然有云化的安全考虑，但是，基于以下几点原因的考虑，政府和大型企业在未来的很长时间之内，还会选择本地化部署、私有云部署或者混合云模式。

1）信息和数据安全。政府和大企业大多不愿将企业信息数据暴露给安全云服务商，更倾向采用本地化部署等方式构建安全解决方案。

2）可靠性。政府和大企业本身具备覆盖较广的内部网络，要求在与外界网络互连中断的情况下，安全设施能够正常运营，但云服务往往不能满足此类需求。

3）服务质量。安全云服务大多需要通过引流、代理的方式提供，大企业对服务质量比较敏感，更乐意在驻地部署部分安全设备。

4）大企业的安全需求种类多，需要整体解决方案，完全云化的服务不能满足所有需求，通常只能满足部分需求。

中小企业、大企业分支倾向于选择安全云服务，主要基于以下几点原因考虑：

1）成本。云服务无需驻地化部署设备、便捷开通、弹性伸缩等特性满足了中小企业的低OPEX需求。

2）运营简化。安全云服务提供的Web管理、便捷配置等功能对中小企业有较大吸引力。

3）产品丰富，选择余地大。针对中小企业的安全云服务解决方案面对的网络结构相对简单、供应商多、产品丰富，中小企业也便于找到适合自身的产品。

管道运营商客户（例如运营商用户、公有云租户、CDN的租户）等均倾向直接选择管道运营商提供的安全云服务，主要出于以下几点原因考虑：

1）便捷获取。业务可与基础IT设施业务同步开通。

2）成本。管道服务商的安全服务常采取免费模式，安全成为ICT基础设施的商业竞争力的一个环节，用户使用管道运营商的ICT基础设施后无需再另外采购安全服务，或者仅仅需要采购部分高级服务。

3）管道服务商的安全能力。管道服务商通常具备较强的ICT基础设施竞争力，例如拥有覆盖面较广的网络、大容量带宽等等，能够应对高流量的攻击（例如DDoS）。

2 提供安全云服务所需要的关键能力

安全云服务的产品形态、提供方式、运营方式与传统安全产品和软件都有巨大的差异，那么，怎样才能提供安全云服务呢？

安全云服务是一个系统工程，笔者认为，有5种关键能力是不可或缺的，分别是：安全云平台、一点或多点安全技术、安全解决方案集成能力、安全云服务基础设施、安全云服务运营能力。

2.1安全云平台

提供安全云服务首先需要有云平台。由于安全云服务大多是以SaaS的形式提供（少量云服务商可提供PaaS供第三方运营），SaaS层的业务必须由安全厂商自己建设，包含动态计费、安全性、可配置性、可扩展性、可靠性等基本能力。云平台中的IaaS可采取灵活的方式获取，例如自建或者租赁大公有云厂商的IaaS。

动态计费：安全云服务的一大商业优势是用户TCO的整体降低，从而带来的长尾市场的扩展。对于用户来说，动态计费是最重要的功能之一，安全厂商必须提供动态计费功能，便于用户根据自己的需要开通业务。

安全性：安全云服务通常以引流的方式提供服务，那么用户数据和安全厂商服务之间的通道必须提供基础的加密功能（SSL）。

可配置性：安全云服务需要提供灵活的多租户能力，允许多个客户灵活使用，因此云平台必须拥有非常强的可配置性，在前台和后台都能够提供详细的配置选择，为不同的用户提供不同的需求功能区分，以及独特的使用体验。

可扩展性：与传统安全软件相比安全云服务的可扩展性要能够适应大规模客户的需要，可在无需进行额外架构设计的情况下根据需求灵活地增减后端基础资源（计算、存储、网络）的数量，无论有多少用户，都如针对单个用户一样方便地实施应用修改。

可靠性：安全云服务向大量的用户提供安全服务（甚至多达百万级），云平台的可靠性就非常重要。可靠性主要体现在2个方面：一方面是云平台服务的可靠性，包括应用必须7×24 h在线，数据必须多重备份等等；另一方面是针对大量用户提供巨大的并发处理能力，避免由于处理能力不足造成用户的损失。

2.2安全技术

安全产业碎片化，几乎没有厂商能够做到垄断。安全技术需要深厚的积累和分析，大多数厂商只具备一种或者几种安全技术能力，这一特性也同样适用于安全云服务。安全云服务本质上还是安全，安全技术能力始终是立身之本。

并非所有的安全都能以云服务的方式提供。例如传统的防火墙部署在网络边界，提供访问控制、入侵防护等基本功能，在某些网络边界需要大容量（T级别）和高可靠性。那么这样的安全就难以用云服务的方式提供，最多只能在防火墙的管理上采用一部分云服务以简化运维。

安全厂商如果需要提供云服务，就必须掌握适合以云服务方式提供的安全的核心技术。比较常见的便于用云服务提供的安全有DDoS云清洗、Email安全、Web安全、云管理等等。DDoS防护云服务，全球最有竞争力的厂商例如华为、Arbor等等，有多年网络流量分析能力以及领先的DDoS防护产品，在DDoS领域有深厚的技术积累。安全Email网关云服务的优势厂商例如微软，也在Email领域耕耘多年，不仅提供传统的Email病毒、恶意软件检测，更是利用自己数十年Email服务的运营经验，用大数据的方法分析用户的使用规律，从而作出更加详细的深度访问控制。

不同类别的安全云服务，所需要的安全技术能力也有所不同，具体如表1所示：

表1 安全云服务所需要的关键技术能力

2.3安全解决方案集成能力

木桶理论在安全防护领域同样适用，最短的短板决定了整个系统的安全性。攻击者可以从最薄弱的环节入手，从而攻破整个系统。所以，安全防护必须是全方位、系统化的。在2.2节已经分析过，并非所有的安全都适合用云服务的方式提供，但是对于用户来说需要的是对整个系统的防范，那么在提供安全服务的厂商中，如果能够提供多种安全方案集成后的整网解决方案，则对用户有巨大的吸引力。

乌克兰电网被攻击事件，在2015年年末引起了全球安全产业界的重视，这次攻击的过程分为3个主要阶段：第1阶段是攻击者通过Email发送带有恶意文件的仿冒Office文档，杀毒软件并没有检测出，用户执行以后恶意文件被植入到内网；第2阶段是恶意文件在内网悄无声息地执行，与攻击者的C&C服务器联系下载更多的攻击工具和插件；第3阶段是恶意文件渗透进入SCADA工业控制系统并破坏，最终导致大范围停电。乌克兰电网被攻击事件，集中说明了安全的整体解决方案重要性，单纯的云服务是无法给予整个乌克兰电网防护的。

针对乌克兰电网这样的攻击，如果需要进行有效防护，必须在多个方面着手部署安全设备、软件和云服务。例如，在攻击的第1阶段，安全Email网关可采用驻地化设备或者云服务的方式提供，但针对这种0-day恶意文件，还必须有APT的解决方案，包括信誉匹配、沙箱分析、文档还原、恶意文件送检等多个措施，才能有效识别并清除Email中携带的恶意文件（事件中的防病毒软件未能见效）；在攻击的第2、第3阶段，普通的防火墙未能有效阻断各种渗透，需要采用C&C监控阻断、异常流量分析、异常行为监控、全网安全态势呈现等大数据安全手段来发现问题；在事件结束后，通过从防火墙等安全设备提取的日志等信息，进行运维监管审计、攻击路径展示、攻击溯源取证、联动清除恶意软件等方法来杜绝后患。

因此，安全云服务厂商如果只提供单纯的安全云服务，是难以满足客户需求的。通常，需要有一揽子的安全解决方案集成能力，这个能力可以是整网维度的云管端安全解决方案（例如思科、CheckPoint、华为等安全厂商能提供），也可以是一个业务单元的安全解决方案，例如中小企业的内容安全包括安全Email网关、安全Web网关、APT防护、数据防泄漏等等。

2.4安全云服务基础设施

大多数云服务都是远程服务，远程服务相对于驻地化安全设备和软件，服务质量受到网络的影响较大，云服务的全球化基础设施建设就显得尤为必要，云服务厂商需要根据提供业务的种类建设覆盖服务区域的基础设施。

例如，DDoS云清洗服务，通常需要提供3个层次的攻击流量清洗服务：1）如果攻击流量在本地清洗处理能力内，用户本地部署的DDoS清洗设备负责清洗攻击流量；2）如果攻击流量大于本地清洗能力或已造成客户网络上行链路拥塞，本地防护系统发送云信令给云清洗中心，通知云清洗中心本地的负载情况以及申请其他位置部署的DDoS清洗设备进行清洗；3）云清洗中心发布引流路由，将攻击流量引流到清洗中心进行清洗，清洗中心清洗后，通过GRE隧道把清洗后的流量回注到客户网络。

为了实现这样一整套DDoS清洗方案，对于DDoS云清洗的服务商来说，需要在服务网络中部署大量的清洗设备以构建云端清洗能力，实现近源清洗。DDoS云清洗竞争力最强的厂商，例如华为，在中国、欧洲、亚太、北美都部署有DDoS清洗中心，配置了大量的DDoS防护设备，能够提供高达2Tb/s带宽的清洗能力。如果没有这些遍布全球的清洗中心，也就无法提供高质量的DDoS清洗云服务。

再例如，安全Web网关云服务提供的是对用户访问Web进行安全保护，通常需要通过DNS引流或者代理的方式将流量引导到Web网关云服务中心进行分析、检测、安全策略实施。如果Web网关云服务中心距离用户过于遥远，网络的传送有非常大的时延，对于绝大多数用户来说都是不可接受的，因此Web网关云服务商必须部署大量的云服务中心，通过合理的流量调度，就近提供云服务。安全Web网关厂商中较有竞争力的Zscaler，在全球自建或者租用云数据中心部署了超过100个节点，从而可以为各个区域的用户提供低时延的高质量安全Web网关云服务。

不同的安全云服务提供方式，对云服务基础设施的要求也稍有不同，具体如表2所示：

表2 安全云服务所需要的关键基础设施能力

2.5安全云服务运营

安全云服务更多的是一种服务，与设备和软件的交付有很大的不同。用户对于云服务，在开通、使用、问题处理、应急响应上均有广泛的需求，具备覆盖服务区域的运营能力成为必要条件。

安全云服务的运营能力主要包含：业务运营中心（Service Operation Center ，SOC）、云服务门户、服务流程组织和团队。

SOC是一个运营支撑体系，面向用户界面的四大功能分别是：客户服务支撑、市场发展支撑、用户感知支撑、业务质量管理。客户服务支撑是SOC最常见提供的服务，包含用户故障受理、问题定位和应急响应等等；市场发展支撑是SOC的一个非常重要模块，通常SOC会针对客户关于安全云服务的使用者、使用场景、使用情况等信息进行分析，从而为用户提供更好的服务选择建议，这一块也是很多SOC忽视的一点；用户感知支撑主要包含涉及到用户服务体验的一些内容的监控与改进，包括新用户、VIP用户、不同区域用户针对安全云服务的服务质量的业务感受、投诉等等；业务质量管理是指在SOC对安全云服务的各种服务指标进行收集和分析并不断改善，例如分析不同区域用户的服务时延、威胁发现率、误报率等等，最终推动后端的研发团队进行改进。

云服务门户通常以Web界面提供给客户，客户在门户上可以根据自身的需求选择需要的安全云服务，进行必要的技术和商业相关配置，同时了解提供的服务的内容和具体方式。云服务的用户众多，不可能一一人工处理，那么对门户的要求就很高，通常要求客户界面友好简单、内容详细、计费方式简单易懂等等。

服务流程是安全云服务运营的重要环节，服务流程定义的安全云服务的服务对象、服务等级、差异化服务的处理机制等等，标准的流程有利于安全厂商各组织能够合理应对用户的诉求，提供稳定的服务质量。

组织和团队是安全厂商的关键竞争力之一，正如前文所言，安全是技术要求非常高的产业，在当今世界威胁日益增加的背景之下，没有优秀的技术人员和管理人员，就无法为用户提供高质量以及端到端闭环的安全防护。

3 总 结

ICT的蓬勃发展，ICT基础设施（软硬件）和用户价值资产（数据）在社会生产中的重要性越发凸显，在政治、商业利益的催动下，攻击者的攻击技术也在不断发展，安全已经成为所有系统最重要的一部分。安全云服务的快速发展使得安全更加便于获取，极大地提升了安全防护的覆盖面。安全云服务不仅是一个传统的服务，也不仅是传统的安全，实际上是安全能力和商业模式的最新载体，其背后是一个完整的安全体系建设。笔者在这里也希望安全厂商能够不断创新，加大合作，加大商业模式的拓展，建立全面的网络安全体系，使得更多的用户能够安全、便捷、平等地享用信息服务。

陆昆仑
华为安全领域高级分析师，12年以上ICT行业从业经历。主要研究方向为网络安全、云基础设施安全。
lukunlun@huawei.com

The Development Trend and Critical Capacities of “Security as Cloud Service”

Lu Kunlun