沙利文联合头豹研究院发布《2023年中国云原生安全市场报告》，追踪云原生安全市场发展态势

关注+星标我们

沙利文联合头豹发布《2023年中国云原生安全市场报告》。该市场报告研究课题为2023年中国云原生安全市场，以云原生安全架构、容器安全、集群安全、微服务安全、云平台安全服务等产品能力为核心研究对象，研究周期为2022年下半年至2023年上半年。

本研究项目将对云原生安全解决方案在金融、政务、电信、医疗、教育等不同领域的应用特征、市场特征、发展历程、竞争态势等信息进行重点梳理，并从价值创造、技术发展维度出发对市场发展前景做出推测或预判。

云原生安全能力需要与云原生基础设施架构形成完善的对应关系，针对云上工作负载平台、容器和集群、容器编排管理系统、等不同的板块形成灵活并精准对应的安全检测。

云原生架构在为公有云、私有云和混合云环境带来弹性可扩展的动态工作环境的同时，也为资产安全、数据安全带来新的挑战，针对云原生架构下的容器、服务网格、微服务、基础设施、声明式API等核心组成，安全服务商需要以不同于传统网络安全的思路进行云安全防护能力的构建和调优，助力最终用户在获得分布式、弹性扩展、敏捷部署、多元耦合等云原生优越性表现的同时，实现新架构下的开发安全、测试安全、交付安全、应用安全，并融合机器学习、深度学习技术，推动进一步的自动化安全防护。

从安全架构的角度而言，云原生安全能力与云原生架构具备清晰的映射关系，核心功能板块包括基础设施代码安全、容器安全、镜像安全、应用程序安全、集群安全、云原生数据安全等。随着基础设施计算和运行颗粒度的持续细化，云原生安全在不同层面（网络、计算、存储、应用、大数据等）所需具备的检测和防护能力也在持续细化的过程中，并将配合最终用户在建设混合云架构时的灵活选择，支持安全模块的灵活随航。

基础设施快速升级造成的业务安全风险或为云原生普及造成阻力

企业用户对于云基础设施的应用，已经从初期的初步上云发展到当前深度应用云原生架构，架构的变化带来更多的安全挑战，迁徙过程中可能面临更多潜在和实际发生的安全事件，云安全服务商需要快速针对云平台、容器、云主机、无服务器环境、容器编排器、基础设施即代码等不同的架构层部署有效的检测、监测、预测、防护、修复、溯源等能力，助力企业用户在业务效率升级的同时，避免因安全破防而造成的经济损失。

用户重视精细化的配置管理、授权机制、访问控制、加密机制

在多数业务场景中，企业用户采取循序渐进的方式部署云原生架构，从初期评估规划到完成容器化、引入云原生技术、重建应用程序架构，整体过程面临的不同层面风险需相应的安全防护手段和工具。

①云上工作负载平台是搭建云上应用程序的基础，而随工作负载激增，平台漏洞和应用程序漏洞也无可避免大幅增长，用户亟需在管理大量工作负载平台的同时实现合规配置；

②在容器、镜像、集群的层面，最终用户需要安全服务商能够提供更加灵活可扩展的验证和授权控制机制，提供对容器间、集群间通讯流量漏洞和威胁的有效识别防护手段，并建立可快速规模化应用的隔离策略；

③在容器编排器的层面，端口、主机等核心通讯节点的访问控制和验证的要求更为严格，用户需要确保核心操作系统、核心节点的合规访问；

④在代码的层面，用户在享用一键部署便利的同时，更需精确的配置以降低资产暴露面，并执行完善的加密措施。

云原生环境相对虚拟化的上云进程，存在架构和应用模式本质的区别，IaC、容器、容器编排系统、微服务、无服务器等模式更能发挥云计算灵活弹性的优势。

基础设施代码层面安全防护策略的建立是安全左移的代表性实践，尽管在云原生环境下，容器、镜像和集群的合规配置和安全检测、防护策略更易受到关注，但基础设施代码是云原生工作流的基础，宜建议用户重视该层面安全卡点的建设，更加严格准入策略，强化资产安全，将准入机制从容器和镜像层面左移至基础设施代码环节。

基于基础设施层配置安全性的增强、准入管理机制的建设，云原生用户可更加便捷地启用IaC命令式和声明式的脚本模板，并获得模板的可复制性、可维护性和安全性；安全服务商通过对IaC模板配置情况的持续扫描，及时发现漏洞，将风险控制在业务生产流程之前，确保CI/CD的顺利实现。

容器和容器编排器构成云原生的标准化基础设施，容器和容器镜像的应用呈指数级增长，日趋复杂的底层生态对安全管控带来更多挑战，容器层面的特权账号风险、攻击逃逸风险、容器镜像漏洞皆有可能造成攻击行为在组织内部的快速渗透，容器编排器层面的不当配置或组件漏洞也将放大风险暴露面，譬如端口漏洞、关键控制节点劫持、密钥泄露或未校验凭证等，皆有可能导致底层计算资源遭到入侵。

云主机是承载云原生环境中所有工作流量的基底，可能存在因基线配置失当、资产档案缺失而产生的漏洞或端口暴露风险，在遭受攻击和入侵的情况下，云主机的失陷可能传导至整个云平台，在混合云环境下，则可能面临更加复杂的风险传导效应。

云原生架构下的微服务模块在本质上亦为应用程序组件，在形式上将复杂的应用程序拆分为多个服务模块，并在服务模块之间通过API进行计算指令的传递，拆分后的微服务模块为开发人员提供了更大便利，支持不同开发语言的编写，且在整体上构成应用系统。鉴于服务模块的拆分，微服务架构能够助力开发人员以更灵活的方式更新应用程序，在云原生环境下实现服务模块的滚动更新和灰度发布。

微服务架构在全球开发环境中迅速普及，并且衍生出无服务器（FaaS）框架，助力企业开发人员能够更加专注于业务本身的特征和开发诉求，从传统开发环境的限制和低效状态中解脱出来。尽管微服务架构支持更好的拆分和更有序的故障管理（熔断、限流等策略），随之而来的不同于传统开发运维环境的安全挑战也快速增加。

云计算应用和进程的分配从基础设施层系统层面上升到云系统层面，同时要求更细颗粒度的服务和服务间通讯安全能力；AI技术与云原生安全之间具备双向驱动的作用。

随着各行各业企业业务上云部署的进程发展，数字化业务对IT资源的可扩展性、敏捷性、灵活性要求快速提升。在传统上云模式下，计算资源从硬件设备迁徙至虚拟化的系统中，但本质上仍然以设备为资源分配的基础，无法满足数字化业务对IT资源指数级增长的需求，而云原生架构的应用进一步将虚拟化计算资源作为基础算力总控平台，构建对应用系统的直接支持。

当前企业应用云原生架构的关键技术要素包括四方面：

1）微服务：作为可独立部署、独立开发的服务模块，处理特定的业务功能，对扩展和维护更加友好，多个微服务模块构成应用程序系统；

2）容器化：通过容器化的应用进程，实现不依赖于运行环境的业务进程；

3）DevOps：基于云原生架构松耦合的特征，实现持续迭代和自动运维；

4）持续交付：将应用交付自动化，支持滚动部署、灰度部署、回滚等能力。

在云原生架构下，安全服务商可借助快速迭代突破的AI能力实现对开发、部署、运维的无缝安全管理和安全功能渗透，具体应用方向包括智能化SASE平台建设、AI供应链管理、安全中心自动化运营、运维安全自动化等。

• SASE平台借助AI技术实现统一管理和自动化运维

SASE平台能够为公有云、本地数据中心、移动端、SaaS、云计算基础设施等提供统一网络安全能力和服务。

• 云原生安全平台框架与AI供应链管理具备高适配性

云原生安全防护平台可为AI供应链提供更细颗粒度的的安全防护能力以及动态合规配置服务。

• 日志、威胁情报、告警数据颗粒度细化，实现快速安全检测和分析
  

云原生安全不同层面的日志统计和告警能力需要融合AI技术，推动细粒度数据收集训练，进而缩短漏洞检测周期，推动安全前置。

沙利文联合头豹根据增长指数和创新指数两大评估维度，通过基础云原生环境安全、网络管理及授权管控、市场增长、安全检测及态势管理技术力、安全防护升级、安全策略和服务升级六项大指标，对中国云原生安全市场竞争力进行了多因素分层次评估。由“创新指数”和“增长指数” 综合评分，青藤云安全、华为云、腾讯云、长亭科技位列中国云原生安全市场领导者梯队。

• 青藤云安全

青藤CNAPP平台由青藤自主研发，主要从安全左移和运行时安全两个阶段，在云原生的全生命周期过程中，提供原生的、融合的安全能力。能够深度集成到云原生复杂多变的环境中，如PaaS云平台、OpenShift、Kubernetes、Jenkins、Harbor、JFrog等等。通过提供覆盖容器全生命周期的一站式容器安全解决方案，青藤蜂巢可实现容器安全预测、防御、检测和响应的安全闭环。

青藤CNAPP平台核心理念主要体现在两个方面：①在开发阶段（Dev），遵循“安全左移”原则，做到上线即安全；②在运行阶段（Ops），遵循“持续监控&响应”原则，做到完全自适应。

• 华为云

华为云推出云原生2.0新阶段，在资源智能调度、敏捷开发部署、业务自动化运维、安全可信方面进展显著。在云原生安全可信板块，华为云构建包括应用安全、保护云负载安全、保护数据安全、管理安全态势的全面防护体系，依托Web应用防火墙、DDoS高防、企业主机安全、态势感知服务等为公有云、混合云环境提供更细颗粒度的防护工具链。在基础设施代码安全、云原生安全态势管理（KSPM）、API安全防护、秘钥管理等方面，华为在2023年皆提供创新性的策略和技术点。

• 腾讯云

腾讯云云原生应用保护平台（CNAPP）通过深度集成CWPP、CSPM等产品功能，为企业提供云原生应用的全生命周期安全防护，实现一站式安全解决方案。目前腾讯云工作负载保护平台（CWPP）主要集成了主机安全、容器安全等在内的云原生安全防护能力，构建了“预防-防御-检测-响应”的完整主机/容器防护体系，在漏洞防御、入侵检测、威胁情报及大数据分析等多个安全能力上已具备领先优势。腾讯云安全中心（CSPM）是腾讯云原生的统一云安全运营平台，全面打通了云防火墙、云WAF、CWPP三道安全防线，可为企业提供一键安全体检，包括CSPM云安全配置检查、风险服务暴露检测、免部署漏洞扫描等服务。为企业用户提供一站式安全运营，联动三道防线一键处置安全告警，大幅提高安全运维效率。

• 长亭科技

长亭科技深耕混合云原生安全技术迭代创新，安全产品深度集成云基础设施和虚拟化环境，云延伸安全解决方案在金融、政务、互联网等领域具备广泛实践。依托长亭洞鉴（X-Ray）有效管理云原生架构下企业资产，基于长亭雷池（SafeLine）支持下一代Web应用防火墙实现模块化底层架构和容器云原生安全，通过长亭全悉（T-ANSWER）实现高级威胁分析预警，此外，还包括长亭万象（COSMOS）、长亭云图（Cloud Atlas）、长亭牧云（CloudWalker）、长亭谛听（D-Sensor）构建云安全态势、云主机、多云环境密网的全方位安全防护。

本文推荐阅读

联系电话：021-5407-5836

联系邮箱：PR@frostchina.com

转载须知

感谢您对沙利文的关注与支持。如若想转载我司微信公众号的文章，请：

• 在原文留言，告知转载机构的名称、介绍及微信公众号ID；

• 在编辑页作者处填写“沙利文”；
  

• 所有转载不得对原文进行任何篡改、曲解、诠释和改编。沙利文保留对所有原创文章的版权及解释权。如有违反，沙利文保留依法追究相应法律责任的权利。
  

关于沙利文

全球增长咨询公司，弗若斯特沙利文（Frost & Sullivan，简称“沙利文”）融合全球62年的咨询经验，25年来竭诚服务蓬勃发展的中国市场，以全球化的视野，帮助超10,000家客户加速企业成长步伐，助力客户在行业内取得增长、科创、领先的标杆地位，实现融资及上市等资本运作目标。

沙利文深耕全球资本市场及企业咨询服务，通过首创的“全域投资管理 (Total Investment Management, TIM）”为企业提供全方位的投融资及其他各类专业咨询服务，包括投融资CDD、估值服务、技术顾问、财务顾问、ESG、募投可研、债券发行行业顾问、行业顾问、评估服务、奖项服务、行业白皮书、战略及管理咨询、规划咨询、技术洞察等。

沙利文大中华区的投融资业务实现了对中国国民经济的全行业覆盖，包括对新经济、新基建等所有经济热点的高度关注，涵盖生物医疗、消费零售、互联网及科技、娱乐传媒、金融服务及金融科技、双碳环保、机械制造、能源电力、地产物业、矿产资源、基础设施、汽车出行、物流运输、轨道交通、船舶航运、航空航天、农林牧渔、工业材料、建筑工程、教育培训等。

沙利文团队为企业领袖及其管理团队开展投融资顾问咨询服务以来，已帮助近千家公司成功在香港及境外上市，是国内投融资战略咨询领域的领军企业。近10年来，沙利文连年蝉联中国企业赴香港及境外上市专业行业顾问市场份额第一名的领导地位；且近年来，沙利文报告也被广泛引用于业内领先的A股、科创板等上市公司的招股文件、一级和二级市场研究报告及其他资本市场公示文件中。

62年以来，沙利文通过其遍布全球的近50个办公室，利用强大的数据库和专家库、运用丰富的专业知识和咨询工具，帮助大量客户（包括全球1000强公司、国内外顶级金融机构以及其他各类领先企业等）完成了包括但不限于尽职调查、估值分析和第三方评估工作等工作，达成了战略目标；创立市场地位确认体系，首创“FSBV沙利文品牌价值模型”，已向超500家企业提供市场地位确认及品牌估值服务，持续助力大量中国品牌共赴增长未来。