信息來源：FreeBuf 

Gartner早前曾經(jīng)做出過一個預言，在云計算的大背景下，云服務商本身會轉(zhuǎn)變成安全廠商。這個說法這兩年實際上已經(jīng)不算新鮮了，在前不久的ISC 2016之上，我們也聽到過微軟類似的言論。

當時微軟可信賴計算部網(wǎng)絡(luò)安全戰(zhàn)略總監(jiān)褚誠云發(fā)表過相關(guān)“產(chǎn)品安全”和“安全產(chǎn)品”的演講。他說產(chǎn)品安全是指我們平常所用的產(chǎn)品的安全性，比如說Windows這類通用型產(chǎn)品的安全；而安全產(chǎn)品則是安全廠商推出的產(chǎn)品。產(chǎn)品安全是否天然需要安全產(chǎn)品的保護才能達成？

實際情況是，Windows作為一個操作系統(tǒng)平臺，自Windows XP時代的沖擊波病毒之后，逐步在產(chǎn)品中加強安全屬性，比如說UEFI Secure Boot，比如UAC、BitLocker等，這讓產(chǎn)品本身作為提供安全屬性的存在，或者說產(chǎn)品安全和安全產(chǎn)品的發(fā)展是相互影響、平行發(fā)展的。

我們是否可以認為，在這種情況下，微軟搶了安全產(chǎn)品的飯碗？如果在此將Windows這個操作系統(tǒng)平臺，換成云平臺，褚誠云認為，微軟的Azure安全中心就是將“產(chǎn)品安全”和“安全產(chǎn)品”這兩個概念進行融合。如Gartner所說，云服務商本身成為安全廠商，我們又是否可以認為云服務商搶了傳統(tǒng)安全廠商的飯碗？或者說讓傳統(tǒng)安全廠商賺不到錢？這是我們在前不久的云棲大會上，與阿里云高級安全專家鄔怡探討的話題。

阿里云高級安全專家 鄔怡

云服務商究竟為安全做了哪些事？

鄔怡此次在阿里云安全分論壇上的演講題目為《云上的世界為什么更安全》。“云上更安全”這一觀點，之前不管是Gartner，IDC，還是阿里云，都有提及，但很少有人細究過“為什么”。鄔怡的觀點為：“云計算服務提供商每天所承壓的攻擊量、以及他們在基礎(chǔ)設(shè)施安全上的投入，是任何一家企業(yè)安全團隊都無法與之相比的?！?/span>

實際上，RightScale前兩年的調(diào)查報告都將云安全性視作云端服務的首要挑戰(zhàn)，不過今年最新的《年度云計算調(diào)查報告》中提到，“安全性不再是云的首要挑戰(zhàn)”，“甚至對云安全性最敏感的受訪者——企業(yè)的核心IT團隊以及云安全專業(yè)人員，也不再將安全性視為首要挑戰(zhàn)”，“資源/專業(yè)技術(shù)匱乏”成為上云的最大障礙。鄔怡甚至認為，由于云服務商在安全基礎(chǔ)設(shè)施方面的投入優(yōu)勢，原本的這種安全性“弊端”反而成為企業(yè)上云的原因。

然而要令“云上的世界更安全”，不僅僅是將基礎(chǔ)設(shè)施遷移到云端。而是用戶和云服務商需要共建安全體系，分別承擔相應的安全責任。在今年杭州·云棲大會中，就有多個安全主題演講都提到了“責任共擔”模型， 如果要想“云上的世界更安全”，不僅僅是將基礎(chǔ)設(shè)施遷移到云端。而是用戶和云服務商需要共建安全體系，分別承擔相應的安全責任”——實際上，云安全責任共擔模式在業(yè)界已經(jīng)達成共識。在海外，亞馬遜AWS、微軟Azure均采用了與用戶共擔風險的安全策略。例如，AWS 負責管理云本身的安全，業(yè)務系統(tǒng)安全則由客戶負責?？蛻艨梢栽贏WS安全市場里挑選合適的產(chǎn)品來保護自己的內(nèi)容、平臺、應用程序、系統(tǒng)和網(wǎng)絡(luò)安全。

 “責任共擔（shared responsibility）”教育的云服務商，即告訴用戶，并非上云之后所有的安全問題都由云服務商解決，用戶自己也需要采取必須的安全措施，保護其計算資源。

在傳統(tǒng)IDC架構(gòu)之下，從最底層的物理層面，到網(wǎng)絡(luò)、操作系統(tǒng)、應用、數(shù)據(jù)、業(yè)務管理，自然都是企業(yè)自己全部負責的，企業(yè)需要一己之力解決每個層面的安全問題；而在IaaS模型中，從物理、網(wǎng)絡(luò)、存儲，到虛擬化都由云服務商負責安全防護，而操作系統(tǒng)以上部分的安全責任由用戶承擔；至于上圖的SaaS模型下，用戶所需關(guān)注的就只是業(yè)務管理方面的風險了。

責任共擔，意味著需要用戶關(guān)注的威脅更少，但不是上云之后不需要關(guān)心任何安全問題。阿里云及其他主流云服務商反復強調(diào)“責任共擔”，即通過“責任共擔“模型讓用戶更清晰地認識到自己的安全邊界在哪里，自己需要為安全做哪些事情。這種責任劃分也能很好地表明，云服務商在安全方面究竟做到了什么樣的程度。

用戶的安全責任 云服務商也“管”

如果說承擔云平臺底層安全責任是種必然，那么“阿里云云盾”就是將安全觸及到用戶層面了——屬于用戶的安全責任，阿里云就是通過云盾在“管”的。這里的“云盾”實際上是指阿里云自家在推的安全系列產(chǎn)品，如態(tài)勢感知、先知、WAF、抗DDoS等，也包括了名為“安全管家”的產(chǎn)品。

“除了加密服務是我們和江南天安合作的，其它的阿里云云盾產(chǎn)品這些都是阿里云自己在做的。比如說我們提供的安全能力、安全防護產(chǎn)品，像是抗DDoS，阿里云甚至還默認自帶一些抗DDoS流量。放眼全球的CSP，我們在安全上為用戶做了很多的事情”

鄔怡的另外一個身份就是阿里云云盾 · 安全管家產(chǎn)品的負責人。安全管家是將原本不在云服務商責任范圍內(nèi)的安全問題，也通過增值服務的方式去解決。

這項服務的本質(zhì)是為用戶提供整體安全運營服務，包括安全運營事前、事中、事后階段還必須要的人參與處理的各種問題，比如安全技術(shù)體系設(shè)計、安全策略的制定、安全策略變更、應急響應等等。

“通過這套服務體系，幫助客戶將安全運營做起來?，F(xiàn)在安全人才非常緊缺，許多企業(yè)可能沒有安全專家提升自己的安全水平。通過安全管家高水平的安全專家服務，能大幅度提升客戶安全防御水平。這樣一來，‘產(chǎn)品+運營’，用戶整個安全體系就完整了?！?/span>

所以總的來說，安全管家更像是阿里云為企業(yè)提供的安全外包服務，甚至將安全運營囊括在內(nèi)。所以我們玩笑似的問鄔怡：如果大家都上云了，豈不是很多人就面臨失業(yè)嗎？甚至安全行業(yè)的規(guī)模是不是會變得越來越??？

傳統(tǒng)安全廠商就要沒錢賺了？

“我覺得在每次技術(shù)變革中，這樣的情況都會發(fā)生。安全行業(yè)不會消失，但跟不上技術(shù)變革的廠商會消失?！边@是鄔怡對我們所提“失業(yè)”這個問題的回應。

如此說來，正如先前云棲大會安全峰會之上，阿里云傳達的理念，傳統(tǒng)安全廠商的角色會發(fā)生變化。一方面是安全產(chǎn)品本身會上云，另一方面是SaaS化的交互方式。而“這原本就是未來安全的一個發(fā)展趨勢，安全廠商會慢慢往上層走，上到應用層、業(yè)務層這個層面，基礎(chǔ)設(shè)施提供商會把許多底層的安全做掉?！睋Q句話說，云計算的發(fā)展是否有掘了傳統(tǒng)安全廠商的墳墓的可能性？

我們知道，許多傳統(tǒng)安全廠商是以出售實在的硬件設(shè)備為生的。而在鄔怡看來，未來70%-80%的企業(yè)都會上云（那些無法上云的只是因為業(yè)務系統(tǒng)老舊，無法遷移），于是未來的絕大部分安全產(chǎn)品都將以軟件的方式存在于云之上。從短期來看，這必然對傳統(tǒng)安全廠商的贏利造成影響，這種矛盾和轉(zhuǎn)變將承受的壓力大約不是一朝一夕可以消解。究竟是安全廠商順應大勢做轉(zhuǎn)型，還是這個時代壓根不像云服務商所想，這是時間會去回應的，但這個所謂的趨勢必然會遭遇一波阻力。

鄔怡的看法似乎樂觀很多：“每種技術(shù)變革的時候都會有一個效應，可能這東西成本更低了，看上去賺的錢更少，但用戶使用量會大幅增加。比如說，如果電價降下來了，我相信電力公司的收入不會減少，只會增多。其實安全也是這樣，安全SaaS化過后，中小企業(yè)也都買得起了，而不是純粹大企業(yè)才能享受的了?！薄半S著萬物互聯(lián)時代的來臨，未來可能面臨的安全問題也只會越來越多。所以這個行業(yè)本身不會變小?！?/span>

“國外那些新初創(chuàng)的安全公司，基本都是貼著云的應用去做的。國外的云上有很多安全產(chǎn)品可以選擇，國內(nèi)基本上還非常少。而國外的云計算服務提供商為用戶提供的第三方安全產(chǎn)品的選擇都是比較豐富的。同時，安全廠商的產(chǎn)品也能無縫接入云環(huán)境，交付、配置、服務的體驗都很流暢，而國內(nèi)，用戶的選擇就少得多了?！边@即是鄔怡所說國內(nèi)外環(huán)境的差異，在他看來，這種安全產(chǎn)品云化的趨勢在國外已經(jīng)相當顯著，國內(nèi)卻才剛剛開始。

云安全向自動化、智能化方向進發(fā)

“云平臺有豐富的API，為安全運營自動化打下了很好的基礎(chǔ)。我們正在對安全管家產(chǎn)品做自動化，首先會發(fā)布一個云平臺安全配置自動檢查的工具。這個工具就是做云平臺相關(guān)安全配置檢查，客戶只需要輕點鼠標就能檢查云上架構(gòu)是否有問題，配置是否安全。按照我們之前服務經(jīng)驗來看，云上很多安全問題都是很低級的配置問題，我們把這些問題的檢查做成自動化，讓用戶能自助檢查，更好的夠適應云環(huán)境。之后包括持續(xù)監(jiān)控、應急響應，慢慢都會做成自動化的模式，提供給用戶?！?nbsp;

“就目前來看，自動化還沒有真正到智能決策這一塊?，F(xiàn)在的自動化主要還是在于一些流程的自動化。未來我們從方案制定到部署、運營，大部分都將由AI來決定，現(xiàn)在可能還做不到這一點，但這是我們未來努力的方向?！?/span>

“某些跟基礎(chǔ)設(shè)施綁定很緊的安全，它一定會被基礎(chǔ)廠商作為一種安全能力提供給客戶，這要求安全廠商自己去轉(zhuǎn)型”。這至少是阿里云對未來安全行業(yè)的預見，即便現(xiàn)在大約還不能讓所有安全廠商接受。IDC今年的數(shù)據(jù)顯示，2015年阿里云在國內(nèi)公有云IaaS市場份額達到了31%，將第二名甩出幾個身位。與此同時，中國公有云服務總市場規(guī)模14.42億美元（IaaS為8.37億，增70.7%），相比2014年增長53.8%，預計2020年會達到50億。

如果企業(yè)全面上云真是個趨勢，國內(nèi)的傳統(tǒng)安全廠商向何處去？是擁抱云計算，還是堅持自己的市場，在今后幾年內(nèi)，這或?qū)⑹堑啦豢杀苊獾倪x擇題。而從產(chǎn)品+生態(tài)的布局上看，阿里云意在建造的這個“云端安全王國”，似乎已初見端倪。未來的安全王國規(guī)模幾何，你能想象嗎？

* FreeBuf出品，作者：歐陽洋蔥，轉(zhuǎn)載請注明來自FreeBuf.COM