云计算厂商神仙打架,谁才是云时代的安全之王.
- 标签 :
你看,我们把未成年孩子的父母,叫做孩子的监护人。这个监护其实说的很有道理,监护人除了要输送给孩子足够的资源之外,首当其冲的应该是保证孩子的生命健康。
监护人做得好,孩子至少能避免80%的疾病或者其他生理健康问题。
云计算也是一样的。底层的基础设施提供商负责为上层应用输送资源,同时也应当对上层应用起到一定的“监护”作用。所以,有人说,云计算服务提供商本身就应该是一个云安全提供商,这句话是没错的。
你看这些年各大机构的研究报告(尤其是WAF,即Web应用防火墙),云厂商总是能上榜,排名也都不错。
下面来看看各个云服务商,都有哪些安全家底。
"BAT云服务御三家
P-1
御三家基本代表了国内云服务厂商中的最高安全水平。
无论云平台自身的安全性,还是基于云服务为客户提供的上层安全能力,都是其它厂商难以复制的。
这其中有多个因素,最重要的因素还是:钱钱钱。拿钱砸技术,拿钱砸市场,拿钱砸团队……
1.阿里云:从一而终的保姆式云安全
先看阿里云。
从产品上来看,阿里云几乎可以提供云上所需要的所有安全产品种类,所以阿里云也是业内“保姆式”云安全的代表,字面意思也就是可以为客户提供近乎保姆式的安全服务,全面覆盖“衣食住行”。
道哥曾在文章里写道,阿里云从成立的第一天起,就认为安全是云计算最重要的事情。
在国内,大量的中小企业客户的安全需求得不到满足。
在这样的市场环境下,阿里云在云计算解决方案里集成了自主研发的安全产品,希望能够以此减少客户在安全方面的担忧。
尽管这段话是在2015年道哥在回应阿里云的一次安全危机时写道的,但是直到现在阿里云的安全策略一直是这样,从来都没有变过。
从云基础网络安全到应用安全,再到数据安全和业务安全,阿里云应有尽有。
鉴于阿里云占据着国内云计算市场的半壁江山,其云安全服务也基本上是国内最常用到的。
在技术布局方面,阿里云有一个很重要关键词:智能化。2019年阿里云安全在安全自动化和智能化方面下了很大的功夫,引入了AI引擎用于DDoS和Web应用攻击防护,做到大部分攻击可以自动化相应。
同时,除了基于自身的威胁情报大数据以外,阿里云还集成了微步在线的威胁情报服务(需单独购买),用于提升检测和响应能力。
重点说几款常用产品:
(1)DDoS防御:其国内清洗中心超过8个,单中心带宽大于1T,总防御带宽超过10T,并且提供电信、联通、移动、教育等20线独家防御。
在技术方面,阿里云宣称90%的攻击可通过AI引擎自动防御。
这一点很重要,从目前的DDoS攻击趋势来看,短时间、大流量的攻击明显增多,如果攻击还需要人来识别,等攻击过去了,流量清洗工作可能都还没开始。
当然,价格方面也比较感人。以7x24小时服务为例,一月价格为63000元。之所以这么贵,这一点还要从DDoS攻击谈起。
这种攻击在本质上属于一种降维打击,属于资源优势方对于资源劣势方的“恃强凌弱”。
攻击者利用分布式的僵尸网络,同时对一个或者几个目标发起非法访问,耗尽目标储备的带宽、计算等基础资源,造成拒绝服务的后果。
至于被攻击后有什么表现?回忆一下前几年12306春运抢票时的感受就行了,各种卡死,所以后来搬到了阿里云上。
所以,想要解决这个问题,防守方必须要具备和攻击方同等的资源。
业界通常的做法是,通过流量牵引把攻击流量牵引到自身储备的清洗节点上,这就要求了服务提供商必须具备充足的带宽资源,而且必须是长期储备。因此在成本方面就比较高。
为了帮助客户降低成本,阿里云提供了两个方法帮助客户降低成本,其一是提供免费的DDoS攻击应急服务,其二是提供DDoS高防服务按天按需付费。
在实战方面,2019年,阿里云安全团队监测到云上DDoS攻击发生近百万次,日均攻击2000余次,最大防御流量达到了900Gbps。
(2)WAF:最近这段时间,阿里云WAF可谓是“赚足了面子”;
拿下Gartner、Forrester、Frost&Sullivan、IDC等四家国际知名咨询机构的报告。
作为云上攻防对抗的核心,云WAF一直是阿里云的拳头产品。
在2019年,阿里云还做了一件大事:收购以Web攻防见长的长亭科技,进一步完善自身在攻防方面的优势和行业的垂直解决方案。
(3)数据安全:除了最常用数据库安全和数据加密产品外,阿里云还有两块产品值得关注。
第一是机密计算,其核心能力是对正在计算中的数据加密,保证动态数据的安全性;
第二是发布敏感数据保护服务,可对敏感数据进行脱敏,这对于大数据的流动和广泛交易将会有非常大的帮助。
还有一块值得说一说。
云计算与云安全发展到如今这样一个状态,纯粹的保姆式云安全绝对已经不能满足所有云商客户的需求。
在阿里云引入云市场后,吸引到了大批安全厂商入驻,目前共计268款产品。
当然阿里在安全方面的布局也非一帆风顺,比如阿里聚安全这样一款专注于移动应用的安全产品,仅仅运营了两年时间就宣布停止服务,个中原因不得而知。
2.腾讯云:云+未来,七大实验室组成的安全矩阵
去年,腾讯宣称正式发布了中国首个互联网安全实验室矩阵——腾讯安全联合实验室;
涵盖云鼎实验室、反病毒实验室、反诈骗实验室、移动安全实验室、科恩实验室、玄武实验室、湛泸实验室,致力于安全技术研究及安全攻防体系的搭建,覆盖云安全、反病毒、反诈骗、移动安全等领域。
这七大实验室加上超过3500人的腾讯安全团队,构成了腾讯产业互联网时代的安全力量。
单纯比拼安全能力,阿里和腾讯很难分出高低。
这俩公司无论从产品成熟度、服务成熟度还是在团队规模方面,在国内而言都可谓首屈一指、不分伯仲。
不同的是,腾讯安全可以说是2C、2B齐头并进,在消费者业务方面,借助游戏和社交的力量,一个安全管家包打天下;
而在企业级业务方面,腾讯把安全业务放在了更加重要的地位,可以认为是腾讯产业互联网转型的一柄利剑,也就是借助安全业务来寻求企业级市场的突破。
但受制于云服务发展的脚步,在云安全市场上,腾讯似乎总是被阿里压一头。
在云安全产品矩阵上,腾讯云和阿里云非常相似,这也很正常,很多产品都是云上的标配。
所不同的是,腾讯的基因属性非常明显。
有人可能忘记了,最早的腾讯安全产品叫做QQ医生,其主要功能就是防止QQ账号被盗。
那个时候,网页挂马的现象非常严重,很容易就中了木马,导致QQ账号被盗。
为了解决这个问题,腾讯就在QQ程序中加入了这样一个功能,可以检测盗号风险。
后来,伴随着免费杀毒软件的风潮,也就逐渐有了后来的QQ保镖、腾讯安全管家等,在终端上做反病毒工作。
有了这样一个出身,腾讯在终端安全(特指物理终端)这块还真有两把刷子,相比之下,阿里等大部分云服务提供商则没有这方面的业务。
与腾讯云C端产品不同的是,企业级产品重点加入了端点检测与响应能力,防范以脆弱终端为跳板的APT攻击。在移动端,腾讯也有类似的产品布局。
随着腾讯在社交和游戏业务方面的全面发展,腾讯云也积累了大量的此类客户,其安全产品也在这两个领域有所倾斜,并且经历了大量的实战考验。
比如针对棋牌类游戏客户,腾讯云专门推出了棋牌盾,主要是抵御DDoS攻击。
大家或许不是很清楚,棋牌类游戏厂商着实是DDoS攻击的重灾区,而且很多时候来源于竞争对手的打击报复。
针对近些年火爆的手游领域,腾讯云可以提供防外挂、防作弊、防篡改等服务。
不过,在云安全生态布局方面,腾讯显然没有阿里布局更加全面。
单就云市场中的安全产品数量而言,腾讯云市场上架了132款产品,约为阿里的一半。
不过,腾讯却有一个超级“铁哥们”——知道创宇。
熟悉他们的人都知道,腾讯曾两次投资知道创宇这样一家云安全明星企业,这二者在DDoS防护、Web攻防、CDN加速以及反欺诈方面都有非常深度的合作。
3.百度安全:释放AI的力量
2015年,当阿里拼命为云计算摇旗呐喊的时候,百度却在O2O的道路上越走越远。
如果用结果论,百度这一招的确不怎么高明,也因此在云计算甚至是整个产业互联网的布局都慢上半拍。
不过,百度安全却早已声名鹊起。
也是2015年,百度全资收购了号称国内首家云安全企业安全宝,安全宝创始人马杰自此就带着麾下干将加入了百度,成为百度安全的掌门人。
凭借这笔收购,百度安全一跃成为当时国内最大的云安全提供商,市场占有率超过30%。
尽管有人对这笔交易提出了质疑,与其说百度收购了安全宝,倒不如反过来说安全宝收购了百度安全。
但不管怎么样,百度安全都应该到了大展宏图的时刻。而且当年百度安全还在一场发布会上做了一个demo,成功抵御了流量峰值达1Tbps的DDoS攻击。
或许受制于百度自身云计算业务的发展,很快百度安全很快便失去了往日的锐利,即便心有不甘,百度也只能蛰伏待机,潜心钻研安全技术。
伴随着百度云的几次架构调整,百度安全的产品矩阵也长成了如今这个样子。
首先应该强调的就是AI。
在百度的云计算业务几经整合之后,和AI绑定在了一起,其他的云都叫xx云,唯独百度叫百度智能云。
也可以这么说,百度的AI是一个底座,也是其战略核心,不论是2C的业务,还是2B的业务,都可以插在这个上面。
所以在百度安全的产品矩阵里面,AI安全占据了一大块,也是百度安全所有攻防技术的核心。
在2018年,百度安全便推出了BASS下一代人工智能安全技术栈;
包括OASESKARMA系统自适应热修复技术、OpenRASP下一代云端安全防护系统、MesaLockLinux内存安全操作系统、MesaLinkTLS下一代安全通信库、MesaTEE下一代可信安全计算服务框架、AdvBoxAI模型攻防工具包、HugeGraph大规模图数据库等七大开源技术,基本涵盖了云计算安全的各个方面。
其二是是DDoS防御。
与其他厂商不同的是,百度的DDoS防御网络是一个由百度、CloudFlare和电信云堤三方共同建立的全球抗攻击网络。
来自海外的攻击将会分散到CloudFlare在全球的众多超级节点上进行清洗;境内流量百度则与云堤合作,基于强大的近源压制能力来进行流量封堵。
这一点类似于电商物流中的前置仓,就近配送。
第三个特色应该是云手机。
不过话说回来,云手机并不是什么新鲜的概念,华为、亚信也有类似的产品。云手机有点类似于云桌面,强调数据不落地。
不过在随着疫情的发展,远程办公或者移动办公大有常态化发展的趋势,数据落地就相当于扩大了数据的暴露面积,从这个角度来看,或许云手机能大有作为。
Other互联网/设备/运营商云
P-2
除开御三家之外,还有很多大公司内部“孵化”出来的云,华为、网易、京东、美团(美团云即将停服,不再讨论)天翼云等,皆属此列。
4.华为云:公有云我是中国前三。云安全?
在公有云市场,华为云来势汹汹。
自2017年华为开启公有云战略之后,上升势头太猛了,已经足以和御三家掰掰手腕。
据Gartner2019年IT服务市场报告,华为云首次进入国内前三,增速最快,已达220%之多。
在全球市场,华为云排名也大幅提升,位居第六名,距离2017年提出的“全球五朵云”目标仅一步之遥。
但云安全呢?
或许大家对华为安全的印象仍然停留在过去,作为一家网络设备供应商,做了防火墙、WAF或者是统一威胁管理,那自然是手拿把攥,并且在安全收入方面,也长期占据着国内“一哥”的位置(当然,近期可能已被奇安信等公司超越)。
不过在云安全方面,华为倒是十分低调,几乎看不到什么公关动作。
单纯从华为云官网公布的安全产品来看,没有什么特别的,也没有御三家们花里胡哨的产品名称。
从这一点上来看,华为云在公有云的安全方面没有特别大的“野心”,其核心是基于华为云,为客户提供安全服务。
在产品布局上,华为2019年公布了他们的三大安全体系:
第一是防攻击体系,主要包括二十多款基于AI的安全产品和服务;
第二是数据安全体系,涵盖从访问认证、敏感数据识别、防攻击、防泄漏到审计;
第三是可信云平台和云服务体系,主要是针对云平台自身的安全,让客户用的安心。
需要关注的是,华为云在私有云安全方面有着自己非常明确的打法:拉着生态伙伴一起打天下。
要知道,不同于公有云的迟缓,华为在私有云方面可谓是一路领先,在政务云、桌面云和虚拟化方面都数一数二。
凭借在传统网络安全领域积累的技术,华为很容易把自身的物理安全设备池化,结合存储硬件的高性能和高可靠性构筑租户级的本地、异地、跨云的多维度灾备服务和网络安全体系。
并且华为云会拉着其他安全厂商一起做。
包括瑞星、天融信、北信源以及奇安信等网络安全公司,都和华为的鲲鹏系列和TaiShan系列有不同程度的合作。
5.网易云:内容安全是易盾的尖刀
在云计算市场,网易云不算很有名,排名也不靠前。在各大机构的报告里,也总是处于“其它”这一列。
就这一点,网易云的安全能力也无法和“御三家”同日而语。
但网易云不是没有自己的路子。
其打法是集中优势力量中央突破,迅速在云安全市场占据一席之地,然后再在其他方面进行取长补短,大有我国先富带后富的意思。
这个优势就是内容安全。
网易是做门户起家的,而且在网友留言方面独树一帜,所以业内也一直都有“自古网易出人才”的名号。
不知道是不是这个方面的原因,锻造了内容安全在网易中的核心地位。
从其官网展示的产品排序来看,内容安全毫无疑问占据了第一的位置。
它的内容安全贯穿了用户全生命周期的纵深防御体系——从账号注册、登录、用户行为、内容发布以及登出。
其背后,运用了多个技术对用户进行画像,包括人机识别、风险名单、IP画像、设备模型、行为模型、业务模型、关联分析和规则系统等。
第二,就国内而言,网易是除了腾讯以外的第二大游戏公司。
或许在端游方面无法和腾讯代理的英雄联盟、穿越火线和地下城与勇士PK,但在手游方面绝对可以和腾讯掰掰手腕。
日积月累的行业经验,让网易在手游反外挂方面也很强。
6.天翼云:一招云堤吃遍天
(图理解一下,天翼云官网就是这么排的)
天翼云背靠的是中国电信这样一家巨无霸运营商,运营商最强的是资源。
依靠遍布全国的骨干网络和大容量带宽资源,天翼云可以说有国内最强的DDoS防御能力——云堤,它的口号之一是重新定义DDoS防御。
根据云堤19年的描述,该产品能提供攻击实时监控、近源清洗独享T级带宽、近源压制秒级生效,分析溯源等多项保障服务,得益于国内领先的互联网接入骨干网络,“云堤”拥有强大的防护能力,此外依靠全球部署的36个分布式清洗中心,既能采用业内独有的近源清洗,同时针对大规模的流量可提供高防服务,将攻击流量引流,保证客户业务不间断的运行。
国内很多云厂商的抗DDoS服务,都和云堤有合作,上文提到的百度就是其中之一。
或许大家都没想到,天翼云在国内公有云市场排名可以排到第五的位置。
笔者大胆猜测,云堤为天翼云的收入,贡献了相当大的力量。
7.京东云:有点慢
这个没啥好说的,京东云自推出以来,其市场发展较为缓慢。东哥要想打一场漂亮仗,还得咬咬牙!
顺便说一句,京东SRC不错。
8.金山云:没什么特别的
关于金山云安全,和其他厂商提供的云安全产品差不多。如果非要有一个特色,当年的金山毒霸可能更有特色。
创业的云-QingCloud/UCloud
P-3
在大厂的夹缝中顽强的活下来,真的挺不容易的,并且走在或即将走在科创板的道路上,看着明天。
9.UCloud:中立安全是最大的品牌资本
或许有些朋友们不太清楚,UCloud掌门人季昕华季总是黑客出身,每年都在国内顶级的安全会议上(2018年及以前是ISC,以后是BCS),有精彩发言。
话不多说,UCloud的中立属性一直业内的一面旗帜。
笔者认为这个属性在安全方面包含着一层意思:我是中立的,我在业务方面也和客户没有竞争关系,客户把业务、把数据放在我这,我也不会看,也不会给别人,尽管放心使用。
在安全产品方面,UCloud比较突出的是安全屋。
根据笔者的理解,安全屋可以简单理解成为一个虚拟化数据空间,所有的数据计算场景都可以放在这个虚拟空间里运行,同时辅以安全手段,确保其安全性。
安全屋包括四大核心技术:使用堡垒机隔绝外部访问,区块链保证数据操作透明可追踪,分级密钥管理和访问权限控制确保数据安全。
其他产品在其官网上展示不多,图就不截了。
10.QingCloud:
大概是云安全责任共担模式走到底了
一直以来,青云都是云计算行业的“小清新”,并且有自己的技术优势,尤其是在SDN和SDS以及数据库方面。
一直都有人说青云是挂着公有云品牌的私有云公司,笔者私以为,和大厂拼资源、拼投入是不可取的,找一块地活下来才最重要。
没有那么多资源,自然也不可能像其他厂商那样大手笔投入搞安全产品。
当然,笔者并不是说青云不安全,青云的安全思路是,你来我这走路,我得把路铺平了,全力做好云平台本身的安全,上面的安全,我还得靠生态伙伴。
这也是AWS一直以来的安全思路,在业内也被称为云安全的责任共担模式。
笔者数了一下,在青云AppCenter里,共有25款安全产品。
部分产品截图
其他云
P-4
"最后笔者想说的是,写了6000多字,纯属个人观点,总有不对的地方,欢迎大家指出。
但有一点可以肯定,新基建已经如同一支离弦的箭,这里面有太多的市场机会。
大量的业务将会走上云端,网络安全和信息化同步规划、同步建设和同步运营已经成为常态。
做好云安全,才会有更大的机会,不是么?
天津市犀思科技有限公司是专业从事web应用定制开发的一家公司,主营业务包括定制功能型网站建设开发、微信小程序开发、微信公众号开发、APP定制开发、天津企业微信开发、ERP、CRM、OA等企业应用场景信息化解决方案等服务,致力于成为中国领先的IT服务及行业解决方案的提供商。
下一篇:中国式的谷歌浏览器插件商店