本文精選2023年業(yè)務(wù)發(fā)展勢頭預(yù)計(jì)仍然強(qiáng)勁的10家海外云安全廠商，簡要分析其代表產(chǎn)品的功能與優(yōu)劣。原作者的劣勢分析寫得不痛不癢，但也可以理解。10家企業(yè)包括Fidelis（DevSecOps）、Skyhigh（安全服務(wù)邊緣）、Lacework（CNAP）、Qualys（合規(guī)）、Palo Alto（云工作負(fù)載保護(hù)）、Symantec（CASB）、Tenable（漏洞管理）、Trend Micro（混合云安全）、Netskop（整體云安全）、Zscaler（高級威脅防護(hù)）。

注：括號內(nèi)為該企業(yè)最擅長的領(lǐng)域。

Fidelis Cybersecurity（DevSecOps）

Fidelis于2021年收購CloudPassage，并創(chuàng)建Fidelis CloudPassage Halo云安全平臺，為公有云、私有云、混合云提供自動化安全與合規(guī)監(jiān)控，幫助安全團(tuán)隊(duì)統(tǒng)一管理云基礎(chǔ)架構(gòu)、IaaS、PaaS、服務(wù)器、容器應(yīng)用及工作負(fù)載。該公司還提供一系列network安全解決方案，能夠滿足多樣化需求，但容器和PaaS安全最為突出。

Halo平臺支持集成SOC，實(shí)現(xiàn)云環(huán)境安全可視化，同時(shí)提供持續(xù)的合規(guī)性監(jiān)控，保證云基礎(chǔ)設(shè)施和工作負(fù)載符合數(shù)據(jù)隱私法規(guī)。

關(guān)鍵功能：

• 三大模塊：Fidelis CloudPassage Halo是一個(gè)單一平臺，但包含3個(gè)模塊，包括Halo Cloud Secure、Halo Server Secure和Halo Container Secure，均按使用級別授權(quán)。
• 監(jiān)控與合規(guī)功能：對本地、公有云、混合云環(huán)境中的工作負(fù)載進(jìn)行監(jiān)控并作合規(guī)檢查。
• 基礎(chǔ)安全功能：文件完整性監(jiān)控、漏洞掃描與修復(fù)、基于日志的入侵檢測是其中比較突出的功能。
• 身份管控：自動識別給定工作負(fù)載或配置是否以及何時(shí)違反相應(yīng)策略，這是一個(gè)很多同類產(chǎn)品不具備的差異化特點(diǎn)。
• 云平臺支持：支持在AWS、Azure和GCP等云環(huán)境中運(yùn)作。

優(yōu)點(diǎn)：

• 實(shí)時(shí)的可視化、安全掃描與管控
• 多種類型的客戶支持渠道（運(yùn)營支持、客戶關(guān)懷、培訓(xùn)教育、專業(yè)服務(wù)）
• 支持集成第三方解決方案，包括SIEM、SOAR、CI/CD pipeline、EDR、基于ICAP的產(chǎn)品與日志文件
• 降低合規(guī)成本、提高安全水平、采用DevSecOps最佳實(shí)踐
• 適用于大中小各類型企業(yè)

缺點(diǎn)：

• 報(bào)價(jià)不透明
• 學(xué)習(xí)成本高

Skyhigh Security（安全服務(wù)邊緣）

Skyhigh Security主營的是McAfee Enterprise和FireEye合并成Trellix后剝離出來的云安全業(yè)務(wù)。該公司提供針對云基礎(chǔ)設(shè)施、數(shù)據(jù)和用戶訪問的安全解決方案，包括安全web網(wǎng)關(guān)（SWG）、云訪問安全代理（CASB）和數(shù)據(jù)防泄露（DLP）。Skyhigh業(yè)務(wù)重點(diǎn)是SASE/SSE，并在與Trellix的聯(lián)合產(chǎn)品中提供DLP功能。

Skyhigh Security Dashboard

Skyhigh Security自稱是一家數(shù)據(jù)安全公司，為任何形態(tài)、處于任何位置的數(shù)據(jù)提供全方位的訪問控制。該公司旨在確保整個(gè)web、云（SaaS、PaaS和IaaS）和個(gè)人應(yīng)用程序中的數(shù)據(jù)安全，降低使用云應(yīng)用及服務(wù)的安全風(fēng)險(xiǎn)。

關(guān)鍵功能：

• 覆蓋面廣：安全策略豐富，可根據(jù)風(fēng)險(xiǎn)實(shí)現(xiàn)自適應(yīng)運(yùn)行
• 性能保證：提供99.999%的超低延遲保證以及80多個(gè)全球PoP
• 隔離：具備智能遠(yuǎn)程瀏覽器隔離和實(shí)時(shí)模擬沙箱功能
• 日志記錄：記錄用戶和管理員每項(xiàng)操作的詳細(xì)日志，便于事后檢查與數(shù)字取證
• 風(fēng)險(xiǎn)管理：針對云服務(wù)的定制化風(fēng)險(xiǎn)評估，幫助用戶獲取全球最全面精確的云服務(wù)registry
• 加密：通過企業(yè)控制的密鑰保護(hù)敏感的結(jié)構(gòu)化數(shù)據(jù)
• 統(tǒng)一管理：將Private Access、CASB、SWG和遠(yuǎn)程瀏覽器隔離（RBI）合并為單一平臺，通過一個(gè)控制臺統(tǒng)一管理。

• 用戶反映性能穩(wěn)定
• URL過濾能力高效
• 架構(gòu)統(tǒng)一
• 威脅分析全面
• 支持與第三方工具（如Office 365和Salesforce）集成
• 支持事后的檢查和分析

缺點(diǎn)：

• 培訓(xùn)資源有限
• 界面有待改進(jìn)

Lacework（CNAP云原生應(yīng)用保護(hù)）

Lacework是一個(gè)云原生應(yīng)用保護(hù)平臺（CNAP或CNAPP），為云工作負(fù)載、容器和K8s集群提供自動化的安全和合規(guī)解決方案。目前已獲風(fēng)投近20億美元，是一家估值極高的初創(chuàng)公司。

Lacework合規(guī)dashboard

Lacework平臺涵蓋云安全態(tài)勢（配置）管理（CSPM）、IaC掃描、云工作負(fù)載保護(hù)平臺（CWPP）和K8s安全，還提供云上安全事件監(jiān)控（CIEM）功能，實(shí)現(xiàn)威脅快速檢測與應(yīng)對。Lacework能夠幫助開發(fā)人員在構(gòu)建大規(guī)模應(yīng)用時(shí)，及時(shí)在本地、鏡像庫和CI/CD管道中發(fā)現(xiàn)安全問題。

• 上下文分析：Polygraph實(shí)現(xiàn)了賬戶角色、工作負(fù)載和API關(guān)系的可視化，上下文分析更加準(zhǔn)確明了。
• 合規(guī)性：Lacework為云工作負(fù)載提供合規(guī)性與安全性監(jiān)控。
• 入侵檢測：一大亮點(diǎn)是機(jī)器學(xué)習(xí)驅(qū)動的自動化工作負(fù)載入侵檢測。
• 部署和配置幫助：提供配置最佳實(shí)踐和指導(dǎo)也是亮點(diǎn)。
• 威脅檢測：通過機(jī)器學(xué)習(xí)和分析技術(shù)檢測云原生環(huán)境中的威脅。
• 漏洞管理：Lacework根據(jù)風(fēng)險(xiǎn)確定漏洞發(fā)現(xiàn)和修復(fù)的優(yōu)先級，提高效率。

• 簡單易用
• Dashboard設(shè)計(jì)優(yōu)秀
• 鏡像掃描、合規(guī)報(bào)告和AWS CloudTrail功能突出

缺點(diǎn)：

• 客戶支持有待提高
• 報(bào)表功能有待提高

Qualys（合規(guī)）

Qualys是一個(gè)云安全與合規(guī)平臺，幫助企業(yè)發(fā)現(xiàn)和保護(hù)數(shù)字資產(chǎn)，減少攻擊面，確保監(jiān)管合規(guī)。

Qualys企業(yè)版dashboard

Qualys能夠幫助企業(yè)自動發(fā)現(xiàn)各類IT環(huán)境中所有已知和未知的資產(chǎn)，提供一個(gè)完整的并做好分類的資產(chǎn)清單，資產(chǎn)信息中還包括供應(yīng)商生命周期等詳細(xì)信息。同時(shí)該平臺還提供持續(xù)安全監(jiān)控、漏洞評估、惡意軟件檢測和修復(fù)功能。

Qualys云平臺有多個(gè)模塊，包括合規(guī)監(jiān)控、漏洞掃描和云工作負(fù)載保護(hù)。

關(guān)鍵功能：

• 漏洞檢測：web應(yīng)用掃描模塊能自動掃描web應(yīng)用的安全漏洞并排序。
• 合規(guī)：Qualys具備多個(gè)合規(guī)模塊，例如PCI-DSS模塊能夠掃描所有設(shè)備并發(fā)現(xiàn)相應(yīng)問題。
• 配置安全：策略合規(guī)模塊提供自動化的本地資產(chǎn)和云資產(chǎn)配置安全評估。
• 資產(chǎn)檢測：自動發(fā)現(xiàn)各類IT環(huán)境中所有已知和未知資產(chǎn)——本地、端點(diǎn)、云、容器、移動端、OT和IoT。
• DevOps：與CI/CD工具鏈集成，如Jenkins和Azure DevOps。
• 其它安全功能：Qualys平臺還涵蓋一系列的威脅檢測和響應(yīng)、web應(yīng)用防火墻、容器安全等功能。

優(yōu)點(diǎn)：

• 補(bǔ)丁和漏洞管理
• 易用
• TotalCloud解決方案通過無代碼、拖拽式工作流實(shí)現(xiàn)快速漏洞修復(fù)
• 用戶反映可擴(kuò)展性較強(qiáng)
• DevOps團(tuán)隊(duì)能夠在開發(fā)周期內(nèi)發(fā)現(xiàn)并處置漏洞
• 提供公共云基礎(chǔ)設(shè)施和工作負(fù)載清單

缺點(diǎn)：

• 有用戶反映誤報(bào)高
• 客戶支持有待提高

Palo Alto Networks（CWP云工作負(fù)載保護(hù)）

Palo Alto Networks產(chǎn)品線齊全，在云安全領(lǐng)域也是如此。

Palo Alto Networks SaaS安全dashboard

Palo Alto Networks的Prisma Cloud是市場上功能最全面的云原生安全平臺之一，幫助用戶深度管理工作負(fù)載安全，實(shí)現(xiàn)對應(yīng)用、用戶與內(nèi)容的可視與管控，降低數(shù)據(jù)泄露風(fēng)險(xiǎn)。

關(guān)鍵功能：

• 云原生：Palo Alto Networks專門將Prisma Cloud定義為云原生安全平臺（CNSP）。
• 功能全面：Prisma Cloud整合了Palo Alto近年來收購的多家公司的產(chǎn)品，包括 evident.io、RedLock、PureSec和Twistlock，提供針對容器和云工作負(fù)載的合規(guī)檢查、威脅檢測和管控能力。
• 可視化：云工作負(fù)載的全方位可視，其中serverless功能是一大亮點(diǎn)，為端到端云原生部署提供安全防護(hù)。
• 云應(yīng)用保護(hù)：漏洞管理和運(yùn)行時(shí)保護(hù)也是Prisma Cloud的關(guān)鍵功能。

優(yōu)點(diǎn)：

• Palo Alto多年來在傳統(tǒng)安全領(lǐng)域中積累的創(chuàng)新經(jīng)驗(yàn)很好地為SASE、CNAPP、云交付的安全服務(wù)等解決方案提供幫助
• 保護(hù)所有云平臺上的主機(jī)、容器和serverless環(huán)境
• 支持20多個(gè)合規(guī)框架
• 提供700多個(gè)預(yù)構(gòu)建的云安全策略

缺點(diǎn)：：

• 價(jià)格昂貴
• 客戶支持有待提高

賽門鐵克（CASB）

賽門鐵克在2019年被芯片制造商博通收購，主營以數(shù)據(jù)為中心的混合安全平臺，幫助企業(yè)保護(hù)數(shù)據(jù)、網(wǎng)絡(luò)、應(yīng)用程序和設(shè)備免受威脅。

賽門鐵克端點(diǎn)保護(hù)管理器登錄界面

賽門鐵克提供端點(diǎn)安全、云安全、電子郵件安全解決方案和威脅情報(bào)服務(wù)，也提供多種云安全功能，包括工作負(fù)載保護(hù)和CloudSOC CASB。

關(guān)鍵功能：

• 工作負(fù)載保護(hù)：云工作負(fù)載保護(hù)套件能夠發(fā)現(xiàn)和評估在公共云中運(yùn)行工作負(fù)載所面臨的安全風(fēng)險(xiǎn)。
• 合規(guī)：Cloud Workload Assurance能夠自動報(bào)告合規(guī)情況、提供補(bǔ)救措施，包括對特定配置開展基準(zhǔn)測試。
• CASB：據(jù)Forrester和Gartner稱，CloudSOC CASB是國際領(lǐng)先的云訪問安全代理技術(shù)之一。
• 端點(diǎn)安全：支持檢測、攔截和修復(fù)筆記本電腦、臺式電腦、平板、手機(jī)、服務(wù)器和云工作負(fù)載中已知和未知的安全威脅。

優(yōu)點(diǎn)：

• 安全管理簡化、集中化
• 阻止web威脅
• 為IaaS提供自動化的報(bào)告輸出、合規(guī)檢查和修復(fù)
• 根據(jù)CIS、NIST、SOC2、ISO/IEC、PCI和HIPAA等標(biāo)準(zhǔn)對安全態(tài)勢和配置進(jìn)行基準(zhǔn)測試

缺點(diǎn)：

• 技術(shù)支持有待提高
• 用戶界面有待改進(jìn)

Tenable（漏洞管理）

Tenable提供漏洞管理、合規(guī)檢查和文件完整性監(jiān)控等安全解決方案，目前也已將漏洞管理業(yè)務(wù)延伸至云計(jì)算。

Tenable數(shù)據(jù)展示界面

Tenable的產(chǎn)品包括：

• Tenable.io——云安全風(fēng)險(xiǎn)管理
• Tenable.sc——云安全可視化與威脅響應(yīng)中心
• Tenable.ot——自動資產(chǎn)發(fā)現(xiàn)和分類
• Tenable.cs——持續(xù)監(jiān)控云基礎(chǔ)設(shè)施的統(tǒng)一云安全平臺

Tenable是漏洞管理領(lǐng)域的“老玩家”，現(xiàn)在業(yè)務(wù)觸角伸至云計(jì)算，幫助各個(gè)規(guī)模的單位保護(hù)云工作負(fù)載。

關(guān)鍵功能：

• 云安全防護(hù)：tenable.io平臺上有多種服務(wù)，包括Web應(yīng)用掃描、容器安全和資產(chǎn)管理。
• 漏洞管理：tenable.io的一大功能亮點(diǎn)是識別資產(chǎn)和漏洞，幫助用戶精準(zhǔn)掌握云上風(fēng)險(xiǎn)。
• 配置管理：發(fā)現(xiàn)潛在的錯(cuò)誤配置也是其中一個(gè)重要功能。
• 漏洞覆蓋廣、插件豐富：Tenable已經(jīng)評估超72000個(gè)漏洞和147000個(gè)插件。

優(yōu)點(diǎn)：

• 易部署
• Dashboard易用、界面友好度高
• 價(jià)格透明（例如Tenable.io漏洞管理計(jì)劃的最低資產(chǎn)數(shù)為65，1年65項(xiàng)資產(chǎn)總價(jià)為 2934.75美元，2年5722.76，3年8364.04）

缺點(diǎn)：

• 報(bào)告功能有待改進(jìn)
• 客戶支持有待提高

趨勢科技（混合云安全）

趨勢科技是混合云安全的全球領(lǐng)導(dǎo)者，能夠?yàn)槿魏蜪T環(huán)境中的數(shù)據(jù)、用戶、應(yīng)用提供全面自動的防護(hù)。

趨勢科技Deep Security儀表板

趨勢科技具備云工作負(fù)載保護(hù)、network安全、文件存儲保護(hù)、應(yīng)用安全和開源安全等產(chǎn)品和服務(wù)。同時(shí)能夠監(jiān)控整個(gè)IT環(huán)境，及時(shí)發(fā)現(xiàn)、評估和修復(fù)安全威脅，是混合云安全領(lǐng)域的佼佼者，能夠幫助用戶在本地和公有云的部署中實(shí)現(xiàn)統(tǒng)一的安全策略。

關(guān)鍵功能：

• 功能全面：趨勢科技Cloud One平臺集成了工作負(fù)載安全、存儲安全、network安全以及合規(guī)監(jiān)控等功能。
• 混合工作負(fù)載安全防護(hù)：同一安全策略可應(yīng)用于本地、私有云、公有云等不同部署環(huán)境，是相較于同類產(chǎn)品的差異化特點(diǎn)。
• 修復(fù)：支持漏洞虛擬修復(fù)，盡早降低風(fēng)險(xiǎn)。
• 提供安全模板：根據(jù)主要的安全標(biāo)準(zhǔn)提供安全模板，用戶只需部署AWS CloudFormation模板。

優(yōu)點(diǎn)：

• 支持虛擬機(jī)、本地、云和容器工作負(fù)載的運(yùn)行時(shí)保護(hù)
• 可擴(kuò)展性強(qiáng)
• 客戶支持高效
• 具備云文件和對象存儲服務(wù)的保護(hù)能力

缺點(diǎn)：；

• 方案價(jià)格高昂
• 報(bào)告功能待提高

Netskope（整體云安全）

Netskope擁有一套全面的云安全解決方案，發(fā)展勢頭迅猛。核心產(chǎn)品有SSE（安全服務(wù)邊緣）、SWG（下一代web網(wǎng)關(guān)）、CASB、零信任、數(shù)據(jù)防泄露（DLP）、遠(yuǎn)程瀏覽器隔離、SaaS安全態(tài)勢管理、IoT安全。Netskope的分析引擎能夠監(jiān)控云環(huán)境中的用戶行為和可疑活動。

Netskope dashboard

關(guān)鍵功能：；

• 智能SSE：Netskope整合了SWG、CASB和ZTNA的能力，全面保護(hù)web、SaaS和公共云及數(shù)據(jù)中心的安全。
• 分析能力：支持對云資源使用情況的持續(xù)監(jiān)控并發(fā)現(xiàn)潛在安全風(fēng)險(xiǎn)。
• 合規(guī)能力：通過數(shù)據(jù)防泄露、訪問策略和敏感數(shù)據(jù)加密，幫助企業(yè)滿足合規(guī)要求。
• 性能保證：99.999% 的正常運(yùn)行時(shí)間和可用性保證，以及用于流量處理的延遲服務(wù)協(xié)議。
• 物聯(lián)網(wǎng)安全：能夠?qū)崿F(xiàn)對所有連接設(shè)備的可視與監(jiān)控，并通過基于上下文的分類、風(fēng)險(xiǎn)評估、分段和訪問控制進(jìn)行保護(hù)。
• SSL/TLS 檢查：監(jiān)控加密的網(wǎng)絡(luò)流量和云服務(wù)，發(fā)現(xiàn)潛在的數(shù)據(jù)盜竊、惡意軟件以及云釣魚、payload托管等高級威脅。

優(yōu)點(diǎn)：

• 具備對云應(yīng)用程序和風(fēng)險(xiǎn)的可視化
• Netskope 零信任使遠(yuǎn)程員工安全訪問網(wǎng)絡(luò)、云和個(gè)人應(yīng)用程序
• 持續(xù)監(jiān)控，及時(shí)發(fā)現(xiàn)異常用戶行為、應(yīng)用程序風(fēng)險(xiǎn)和可疑的數(shù)據(jù)移動
• 減少了攻擊面
• SASE產(chǎn)品強(qiáng)大

缺點(diǎn)：

• 客戶支持流程有待改進(jìn)
• 方案價(jià)格較高

Zscaler（高級威脅防護(hù)）

Zscaler業(yè)務(wù)涵蓋廣泛，包括network安全、web應(yīng)用防火墻、入侵防御、惡意軟件防護(hù)、零信任和數(shù)據(jù)防泄露，確保遠(yuǎn)程用戶的安全訪問并滿足行業(yè)安全規(guī)范。Zscaler提供SWG、ATP、云沙箱和CASB服務(wù)，其威脅檢測能力、欺騙技術(shù)和易用性被用戶廣為稱贊。

關(guān)鍵功能：；

• 提供上下文信息的告警：告警內(nèi)容還包括威脅評分、受影響資產(chǎn)和威脅嚴(yán)重程度。
• AI驅(qū)動的釣魚檢測：采用AI檢測技術(shù)發(fā)現(xiàn)首次出現(xiàn)的釣魚頁面。
• 瀏覽器隔離：Zscaler internet access（互聯(lián)網(wǎng)接入）能夠在用戶、網(wǎng)絡(luò)和SaaS之間建立一個(gè)虛擬間隔，降低web攻擊風(fēng)險(xiǎn)、防止數(shù)據(jù)丟失。
• 分段：Zscaler的private access（私人接入）通過用戶身份認(rèn)證和訪問策略，將用戶直接連接到私人應(yīng)用程序、服務(wù)和OT系統(tǒng)，還支持遠(yuǎn)程操作員和管理員直連到IIoT/OT設(shè)備。

優(yōu)點(diǎn)：

• AI驅(qū)動的高級威脅防護(hù)
• 云安全功能全面
• 欺騙技術(shù)強(qiáng)大
• 易于使用

缺點(diǎn)：

• 報(bào)告功能有待改進(jìn)
• 方案價(jià)格貴

總結(jié)

目前市面上主要的云安全解決方案包括CASB、云工作負(fù)載保護(hù)平臺（CWPP）、云原生平臺（CNAP或CNAPP）、SaaS安全等，公共云供應(yīng)商（亞馬遜、谷歌云平臺和微軟Azure）也有自己的云安全服務(wù)，了解產(chǎn)品是安全團(tuán)隊(duì)的首要功課之一。面對多樣化的供應(yīng)商和產(chǎn)品選擇，以下有幾個(gè)關(guān)鍵的考慮因素：

• 保護(hù)對象：首先需要明確哪些資產(chǎn)面臨風(fēng)險(xiǎn)、需要保護(hù)。
• 支持集成、統(tǒng)一管理：確保新的云安全解決方案能夠與現(xiàn)有框架整合，協(xié)同工作。
• 支持多云環(huán)境：該方案是否適用于不同的云廠商環(huán)境和不同的部署模式（一個(gè)企業(yè)往往需要用到多家云廠商的服務(wù)）。