潮科技 | 安全市场趋势怎么判断？K8s将如何重建现有安全体系？这里有些新观点

前以色列CheckPoint中国区GM陈欣、前以色列Radware高管、ArkSec雅客云创始团队冯向辉、高峰发起组织了一个以色列在华IT企业高管/专家沙龙。

近日，ArkSec雅客云与一苇资本共同举办了一场沙龙，初期会员来自以色列公司CheckPoint、Radware、CyberArk，美国公司F5等知名IT厂商。各位高管/专家们首先对网络安全的热点问题、市场趋势、技术创新等多方面进行了讨论交流，意图为市场提供新视角、新观点。等多方面进行了讨论交流，意图为市场提供新视角、新观点。

在这里，36氪对两位专家的发言进行了编辑和整理，与读者们分享网络安全领域的干货。

未来，这一系列沙龙活动还将继续，同时也计划逐步发展到芯片、生物医药等细分科技领域，36氪也将持续关注。

前以色列CheckPoint中国区总经理陈欣：从全球专业网安公司Top10看信息安全市场趋势

在活动上，陈欣（Simon Chen）给出了一个看安全市场趋势的新思路，即通过全球前十的专业网安公司的发展路径来看。他认为资本市场的估值可以反映出高速增长的领域，以此为尺，找到优秀的公司，分析其成功的路径、成功的原因，及其背后驱动逻辑，再以中国市场的特点进行对照，也许就能分析这样一个高速成长的，又是大量碎片化的市场的框架。

分享一开始，他首先抛出一个问题：“看安全趋势，我们到底在看什么？”答案也显而易见，一是市场变化，二是技术创新，三是资本动态。

从这三个角度出发，他先分析全球前十的专业网安公司的特点，比较传统的安全公司和现在新生的安全公司的成长路径；第二步，从技术热点看，他们怎么去适应市场的变化，分析这些公司成长背后的逻辑；最后总结中国市场的特点，从而试图找出中国市场中快速发展、拥有潜力的细分赛道。

首先他找出Top10 市值的信息安全公司，分别是：crowdstrike、Palo Alto（综合性的网络公司）、Okta（云安全IDaaS）、Splunk（SIEM安全事件）、Zscaler（CASB）、Fortinet（综合性）、Cloudflare（云安全SASE），Checkpoint、奇安信、Norton。

通过分析它们，可以发现以下几个特点：

第一，云安全公司成长的很快。

第二，云安全有不同的赛道以及不同的进入市场的方法，他们都在各自的领域里面迅速超过了原来传统的竞争对手。

第三，毛利率方面，Checkpoint毛利率是最高的，达89%，但PE是18.4，好像做成一个传统公司了，年均增长比较慢，本来排名在很前面的，逐渐就下来了。另外EPS这个指标也值得关注。

并整理出来以一些思考：

1.趋势是云安全高速增长，传统的信息安全公司基本上会慢慢消亡。安全公司未来方向，是网络与安全的融合，应用与安全的融合，这是确定的市场方向。未来增长在IDaaS、SASE、CASB、网络云化、XDR等方面。

2.收入模式逐步变成订阅式的。

3.即使云安全高速增长，但这些公司前期亏钱的时间长。在这种云安全市场里面，由于它整个技术和市场的特性，和VC、资本的整合会更紧密。VC进行资本互动的时候，可能需要和一些传统的企业资本视角有所不同，需要忍受更长的周期。但更多的要看是不是在一个正确的赛道上，能否形成低成本的用户获取，能否形成更持续的、更高的订阅率。

从全球Top10信息安全公司发展的思考

第二个视角是从分析Gartner，来看全球的技术趋势和其驱动逻辑。他指出2020年的十大安全项目，实际上跟前几年没有太大的变化，其驱动逻辑包括商业边界大规模外延、用户业务向云迁移等。

十大安全项目的驱动逻辑

而中国市场，其特点主要包括这几个方面：

1. SaaS不够发达，IAAS为主。 安全得到高度重视，政策驱动明显，第一要素是合规，安全效能不是放到第一位。当然现在用户越来越关注安全效能。

2. 市场碎片化严重，收入模型是以产品为主的。

3. 公有云还没有承载大型政企的核心业务。

结合全球的安全态势和市场特点，再加上中国的市场特点，陈欣分享自己发现的，会出现在我们中国的热点领域： CWPP、ZeroTrust、CSPM、DMARC、脆弱性管理和自动化风险评估等。

最后，他还总结了云安全的思维框架。

国内安全市场的发展预测和思考

国内安全市场的发展预测

ArkSec雅客云COO/SE Director 冯向辉：《用K8s和云原生重构整个现有安全体系》

冯向辉（Harry Feng）指出今天云计算走向云原生，把单体应用都打包成微服务，这些微服务在今天都是构架在kubernetes这样一个可移植的、可扩展的开源平台。然而今天的安全解决方案，基本上是不依赖于kubernetes的，所以从这个角度来看，传统的网络安全方案和今天的云原生的应用体系基本上是脱钩的。所以我们今天要重新去构建整个云原生的安全体系，实现应用和安全紧密无缝的整合，来把云原生的整个体系最优化。

首先他分享云原生对整个安全架构的挑战，这些挑战包括：

1. 攻击面变大了。云原生环境里面，增加了一些新的元素，比如docker/kubernetes，这些新增的元素必定带来新的攻击面。比如特斯拉曾经因为K8s的DASHBOARD的认证漏洞被黑客注入了大量的挖矿机，微软的Azure也因为Kubeflow的漏洞遭遇了类似的攻击。如何缩小攻击面是云原生安全的重要任务。
2. 云原生微服务架构本身产生了大量的东西向业务流量，这些东西向流量完全规避了传统网络安全设备的监管，成为了新的安全盲点。
3. 传统的云计算封装的颗粒度是比较粗的，一个封装可能就是一台虚拟机。走向云原生以后，封装的颗粒度是非常细化的，一个容器的封装基本上就是一个进程。因此传统的粗颗粒的微隔离的方案是没有办法去满足云原生的诉求，需要一个更细粒度的微隔离方案。
4. 容器工作负载是非常有弹性的，生命周期可能非常短暂，在这么短暂的时间内，容器的违法操作能否被提取是一个非常关键的问题，另外云原生所带来的新的安全隐患，同样会存在在我们边缘计算节点里，对边缘计算的节点进行工作负载保护及身份认证同样不容忽视。除了承载层的保护，还要考虑到应用层的防护，比如 API和WEB的安全，任何一个层面的隐患没有被考虑到，都可能产生致命的影响。

云原生安全挑战

如何解决这些问题，冯向辉也有自己的思考。他提到云原生集群基本上有三个入口路径，每一个入口路径及生命周期的每一个环节都必须部署原生的安全防护。这三个路径分别是：控制路径、数据层面的入口和研发CI/CD的入口。

如何用K8s去构建全新的一个安全体系，在每一个路径及生命周期的每一个环节守护云原生架构呢？

他指出，首先要有一个云原生平台的安全主控台，自动发现资产，以及对集群资产做整体安全评估，这样对下发针对性的安全策略非常有全局指导意义的。一旦对集群的资产有了一个整体的安全认知以后，我们就可以在每一个入口路径去做一些准入的控制，比如在控制入口禁止采用不安全的镜像部署业务，在数据入口处为有漏洞的业务打上热补丁等等。

另外，我们可以根据业务逻辑部署业务的微隔离策略，指定哪些业务可以互通，哪些禁止互访，防止应用被恶意植入后的横向移动，有效减小攻击半径；并且在每一个节点上自动部署一个安全探针，实时保护节点及节点内的业务容器，针对边缘物理安全性薄弱的特点，我们在边缘同时提供了基于零信任的身份管控机制。针对东西向流量盲点的问题，我们可以在K8s集群里为需要监控的业务接入vTap模块，把东西向流量导入到我们的云原生沙箱做流量监管。

以上所有的安全模块产生的安全事件，我们都统一汇总到系统的事件关联分析器，把碎片化的信息做统一的关联性分析，最终提炼出真正有价值的数据，实现攻击溯源，输出完整的攻击路径，展现完整的kill chains。

此外，我们还需要对 K8s的 API server去做一些安全的审计，把所有对集群内的操作都记录在案，为攻击朔源提供可靠的操作依据。

针对最后一个入口，CICD入口路径，我们使用Jenkins的安全插件做镜像准入控制。

云原生安全解决方案

他提及，总而言之，无论是控制入口还是数据入口，还是CICD入口， 都必须有相应的原生安全管控方案，另外在云原生应用的整个生命周期里面的每一个环节，包括CICD，包括运行时的系统监测及网络监控，都可以做到全面的原生安全防护。并且把每一个阶段的安全事件输入到事件关联分析器里面，经分析输出完整的攻击链。才能解决云原生环境的安全问题。

最后，冯向辉还专门分享雅客云安全平台的解决方案框架，给了实际案例的支持。

 （发言有编辑，如需了解全文，请移步一苇资本公众号）