打破边界,重构定位,千亿级产业安全市场如何开启?
近年来,我国紧抓数字化发展机遇,将 " 加快数字化发展 建设数字中国 " 作为新阶段国家信息化发展战略目标,积极推进数字 经济 高质量发展。随着各行各业的数字化进程的加快,新应用、新模式、新技术不断出现,同时也在与工业、农业、 金融 、 传媒 等行业相互交融,衍生出更多的机遇与产业安全挑战。
面对网络风险的蔓延,传统的 " 补锅 " 式安全防御思路,基本无法应对数字变革的几何级增长速度。因此安全行业要建立和数字化发展水平相一致,甚至适度超前的安全防御体系,向 " 破圈生态 " 发展,突破自身生态的限制,快速融入数字化的大生态当中。
近日,在中国产业 互联网 发展联盟指导下,人民邮电报、中国信息安全、腾讯安全联合实验室、腾讯研究院联合推出了《2022 产业互联网安全十大趋势》。该报告指出,2022 年,业界有必要在巩固现有安全技术和防御思路、体系以及产业链的同时,突破现有的网络安全边界,重建产业安全的定位。
在产业安全技术演进过程中,哪些技术能够弥补传统安全防御的不足?哪些技术具有较好的发展前景?
容器安全:
未来几年仍将保持可观的增长
随着云计算、大数据、物联网等新兴技术的不断兴起,企业 IT 与运营模式发生了显著的变化。在传统 IT 企业建设过程中,计算技术和基础架构变革以年为单位计算;软硬件生命周期更新也动辄以年月计算;规划建设一个系统往往需要 3-5 年。但今天,随着以微服务、容器、DevOps 为特征的云原生的飞速发展和普及,云上的虚拟主机部署时间缩短到了分钟甚至毫秒级,一个计算资源从启动到消亡整个生命周期仅仅只有数百毫秒。
但在计算资源的颗粒度越来越细、周期越来越小的同时,很多传统的安全方法、理论、模型和管理方式都失效了。包括 PaaS、SaaS 模式权限模糊的分离,会产生比较复杂的管理模型和流程变革;企业自身数据量的增大、算力的提升,会给数据安全保护带来风险;新技术带来新的风险面,会对于传统技术架构思维提出一些挑战。
其中,容器是近几年市场关注度最高、发展速度最快的 IT 领域之一。它作为一种计算单元,在云原生环境中直接运行于主机内核之上,具有系统资源占用少、可大规模自动化部署以及弹性扩容能力强等优势。另外容器化使开发过程中快速集成和快速部署成为可能,极大地提升了应用开发和程序运行的效率。
正如腾讯安全所推出的腾讯云容器安全服务产品 TCSS(Tencent Container Security Service),实测表明,CPU 资源占用不到 5%、30M 内存,同时,TCSS 兼容 CentOS、Debian、RedHat 等主流操作系统,可一键部署,实现自动在线升级,一经安装,终生免维护,令客户全程无忧。
随着容器技术方向更加清晰以及在企业中出现的实践越来越多,容器的 商业 化市场初见雏形。《中国云原生用户调查报告 2020》显示,已经有 6 成以上的用户在生产环境中运用了容器技术,其中 43%的用户已经将容器技术应用到非核心生产环境。
作为一种伴生技术,容器安全也将成为安全产业的下一个关注点。《2022 产业互联网安全十大趋势》认为,2022 年,国内容器安全市场相较 2021 年将有 2-3 倍增速,云厂商、新锐安全厂商将会积极部署容器安全相关技术和应用,未来几年容器安全仍将保持可观的增长。
零信任:
更重实效,反泛化、滥化、概念化
数字化时代意味着万物均要互联,企业 IT 架构正在从 " 有边界 " 向 " 无边界 " 转变,传统的安全边界逐渐瓦解。与此同时,秉承 " 去边界化 " 安全理念的零信任逐渐进入人们的视野,成为解决新时代产业安全问题的新理念、新架构。
事实上,零信任既不是技术也不是产品,而是一种安全理念,其本质是以身份为中心进行访问控制。它是建立在一个简单的、众所周知的前提之上,不区分传统定义上的内网、外网、公网、私网,信任区域、非信任区域、DMZ 区域,先认证,再授权。只有通过动态的认证和授权,才可能发起对数据资源的访问连接,这也是和传统安全防御思路的主要区别。
相比于传统边界安全理念,零信任具有安全可信度更高,信任链条环环相扣,如果状态发生改变,会更容易被发现;动态防护能力更强;支持全链路加密,分析能力增强、访问集中管控、资产管理方便等优势。
零信任最早在 2010 年由市场研究机构 Forrester 提出,直到 2017 年,Google 基于零信任安全的项目成功,验证了零信任安全在大型网络场景下的可行性,业内才开始普遍跟进零信任实践。
目前,多云混合模式下远程办公和移动办公常态化,使网络攻击者开始瞄准身份和访问管理功能以实现长期潜伏,以身份为中心的安全机制逐渐引发重视。混合工作和向云应用程序的迁移巩固了身份作为安全边界的趋势。
Forrester 最新发布的《New Tech: 2021 年第二季度零信任网络访问》报告称,企业为寻求更安全的解决方案,零信任网络访问已成为标志性的安全技术,众多安全厂商推出了相关的零信任解决方案和产品。
截至目前,谷歌、微软、思科等欧美 IT 企业领衔布局零信任;国内腾讯安全、奇安信、深信服、网宿 科技 等相继围绕零信任重磅加码。以腾讯安全为例,2021 年推出全新腾讯零信任安全解决方案(腾讯 iOA); 与腾讯研究院、Gartner 携手发布《以零信任构建信任—— - 重塑安全新边界》白皮书;联合多家业界权威机构共同发起的国内首个零信任产业标准联盟 " 零信任产业标准工作组 " 实现进一步升级。
同时热度骤增的零信任,也吸引了大批资本入场。据不完全统计,2021 年国内零信任市场已完成多起大额投融资,包括派拉软件、绎云、持安科技、数鹏科技、数安行、易安联、芯盾时代、多鹏科技等在内的多家创新企业,获得了从数千万到数亿元不等的融资。
2021 年零信任市场大额 投资 融资事件
但是当前行业中的零信任应用总体呈现出 " 鱼龙混杂 " 的特性,基于客户对新概念、新趋势的欢迎,大量安全服务商采取 " 新瓶装旧酒 " 的手段,将一些旧产品冠以零信任的概念重新打包兜售,实际上并未为行业提供增量服务价值和产品、技术创新。
基于此,《2022 产业互联网安全十大趋势》指出,2022 年,基于零信任思路的产品化探索,会基于客户的需求更重实效,以解决现实诉求为目标获取市场。行业共同反对零信任的泛化、滥化和概念化将会成为共识。
隐私计算:标准规范逐渐成熟,
市场规模稳步增长
数据作为数字化转型核心驱动力,不仅能够催生新产业、新业态、新模式,还能够与其他传统生产要素相配合,形成乘数效应。但近年来,数据在跨领域、跨行业、跨地域之间的数据流通,也放大了数据泄露的安全问题。据 Canalys 统计报告,2020 年数据泄露呈现爆发式增长,一年内的泄露记录超过过去十五年总和。
如何解决数据要素流通和数据隐私的泄露之间的矛盾成为了解决数据要素市场化的关键,隐私计算以其 " 数据可用不可见 " 的特性打开了这一问题的技术突破口。
据了解,隐私计算是在保护数据本身不对外泄露的前提下,融合了密码学、统计学、数据科学、安全硬件等跨学科技术体系,形成了联邦学习(Federated Learning,简称 FL),多方安全计算(Secure Multi-Party Computation,简称 SMPC)和可信执行环境(Trusted Execution Environment,简称 TEE)等不同技术解决方案,为统筹释放数据价值和保证数据安全提供技术实现可能性,有效促进数据价值的共享流通和协同应用。
随着《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律的相继出台,安全合规保护要求日严,隐私计算技术也进一步受到市场的广泛青睐。目前隐私计算技术现阶段主要应用于金融、医疗、政务等领域场景。
其中,金融业最先开始结合隐私计算技术对实际业务融合探索,助力金融业获得更多合规数据价值,提升自身业务能力,重点试点业务包括,信贷风控,反欺诈和反洗钱等场景。相比于传统业务解决方案模型的低效率,低准确性,低实时性和低数据维度来说,隐私计算所带来的的高质量数据价值在各个金融场景都为金融机构带来了大幅度的效果提升。
诚如,江苏银行与河南中原消费金融股份有限公司基于腾讯安全 " 联邦学习 " 模型的金融场景数据安全实践案例。在中原消费金融的实践案例中,中原消费金融风控团队与腾讯安全风控团队共同完成的联邦学习联合建模项目,有效实现了信贷业务全生命周期多业务场景覆盖,并帮助中原消费金融有效降低客户不良率;江苏银行与腾讯安全合作共建平台,不仅省去了提供中间证明材料等线下较为繁琐的流程,使得贷款审批更加高效,让金融服务更便捷。
从当前市场来看,虽然普遍看好隐私计算,然而由于对新兴技术的不充分认知,对隐私计算的市场机会的预估大多通过数据市场规模来划分隐私计算服务空间,相对保守。
《2022 产业互联网安全十大趋势》指出,2022 年,全国各地将加速数据要素市场化建设,数据流通量日渐庞大,随着技术科普和市场教育的日渐完善,以及越来越多的隐私计算试点项目落地,隐私计算技术创新和标准规范逐渐成熟,市场规模稳步持续增长。隐私计算各厂商逐步完善算法协议安全基础,搭建合规基准框架和管理制度;优化计算通信性能需求,降低隐私计算技术使用成本;搭建统一算法协议兼容平台,降低互联互通成本。
综上可见,未来相当长一段时间内,数字化新模式、新业态、新行业的探索发展,都将基于数据的深度应用,继而产生新的管理模式、运营模式。容器技术、零信任、隐私计算等技术在一定程度上可应对传统安全模式中防御思路的缺陷。
面向千亿级别市场的安全产业,政策法规从 " 立 " 向 " 行 ",新技术、新应用应运而生。在这样的背景下,行业需要聚合最顶尖的思想,对未来进行充分的研判,夯实基础、筑牢屏障,为产业互联网深化发展提供参考和借鉴,助力安全行业更好面对挑战。
* 关注腾讯安全公众号获取报告全文
附:《2022 产业互联网安全十大趋势》概要版
来源:DoNews