安全的雲和雲安全

筆者從2012年開始從事雲安全方面的工作，先後在奇虎360網站安全和阿里云云盾做產品經理至今，見證了從有雲的概念，到雲安全產品出現然後被用戶和市場接受的整個過程，因為個人原因筆者已經從阿里雲離開從事雲安全創業，因為最近不斷的有客戶問到國內和國外這幾家雲廠商該如何選擇以及安全是怎麼做的問題，所以筆者決定寫一篇自己對雲安全的理解幫助客戶更好的去選擇

下面我會從三個方面來展開，

第一，如何理解安全的雲，雲安全服務的區別

第二，客戶需要什麼樣的雲，什麼樣的雲安全服務

第三，bat三家雲安全今天的定位和現狀以及未來的發展趨勢

1.安全的雲和雲安全

很多客戶在上雲的時候，打開阿里雲，騰訊雲，百度雲的首頁都會看到產品一類里有安全產品，包括360和傳統安全廠商也在做雲安全，於是客戶就蒙圈了，不知道該選擇誰家的服務和產品，也不清楚什麼是雲安全，自己需要什麼樣的產品和服務

我這裡先解釋一下什麼是「安全的雲」，什麼是「雲安全」

什麼是安全的雲

今天大部分客戶使用最多的雲產品基本上就是那些，雲伺服器，資料庫，負載均衡，存儲和CDN，這些產品基本上組成了客戶腦子裡的「雲資產」，雖然在筆者看來這根本就不是真正意義的雲（這個話題以後再來講），雲的安全就是指這些雲資產的安全，雲產品的安全也包括了IAM這種雲平台帳號許可權管理

雖然阿里雲和AWS一直在講平台和租戶責任共擔的定義，但是就算是作為筆者也一直沒搞清楚當一個雲資產出現安全問題事故的時候到底是客戶該買單還是平台自身，這件事筆者認為今天沒有任何一家雲廠商講清楚了，這裡牽扯到責任和商業模式的問題，如果需要用戶承擔責任就需要用戶進行付費，但是今天沒有任何一家廠商敢於承諾安全的SLA，原因在於這件事很難定義，其中有一點很有意思的原因在於一般來說做安全的雲的這個部門和下面我要講的雲安全服務的這個部門在bat里都是兩個不同的部門，背的kpi也不一樣

什麼是雲安全服務

雲安全服務今天這個階段，本質上還是傳統安全的產品形式，只不過是因為

1.在雲這個新的環境里

2.利用了雲的環境去做（其實筆者更想說利用了bat的生產環境）

這裡我舉個例子，AWS最初是只做安全的雲，而沒有去做雲安全服務的，在去年的時候，針對DDoS攻擊問題，AWS給出的還是基於ELB，R53，Cloudfront這些雲產品做出的「緩解」DDoS攻擊的解決方案，到了今年最近的產品發布會，他推出了雲安全DDoS防禦服務

雲安全服務其實就是利用bat巨頭們特有的資源來對外提供的一站式安全服務，比如說只有bat才有的上百G的BGP帶寬，比如說海量C端客戶帶來的大數據分析後的威脅情報，這些才是雲安全服務的核心本質，而把array的VPN集成到阿里雲私有網路里給金融類客戶使用這種的不叫雲服務，筆者認為這還是第一種安全的雲的範疇，真正的雲服務的核心在「雲」上，因為雲帶來的海量帶寬，大數據，全網配置下發同步這些特性

今天很多非雲的安全廠商也在做自己的雲安全，以checkpoint為例，它的ngfw是解決vpc環境里防火牆的問題，屬於解決安全的雲的問題，但是因為它自身不是阿里雲也不是aws，所以它自己需要自建一朵雲，就是它自己的同步安全策略的數據中心，所以這些廠商主要打的是混合雲和適配各種雲的牌，而具備先天優勢的雲廠商自己的雲平台就已經是最好的數據中心了，只不過它只能服務於自己的客戶

再回頭說責任共擔和付費模式的問題，如果理解了筆者解釋的安全的雲和雲安全服務的區別，那麼再去看今天所有的雲計算廠商負責安全的部門，無一例外的都分成了兩個部門，保障雲的安全的部門和雲安全服務部門，這就很有意思了，前者的kpi是保障雲產品自身不出現安全問題，後者是要利用雲的優勢去做商業化服務而盈利，那麼在責任共擔模型里，兩者分別負責平台自身責任和租戶責任的部分，然後還有第三方的安全廠商，今天沒有任何一家廠商能把所有雲產品自身應負的責任和需要用戶承擔費用的責任講清楚，這也是今天雲安全生態沒有起來的原因，包括aws在內也是一樣

啰嗦了這麼多，總結下來就是

雲安全服務是利用「雲」提供安全的服務，讓租戶在雲平台上的雲產品「更」安全（付費），保證客戶的雲的安全

二.客戶需要什麼樣的雲，什麼樣的安全

如果讀者理解了上面提到的雲的安全和雲安全服務的區別，再結合自身的業務特點，自然就知道自己該選擇什麼樣的產品了

筆者有一個最簡單的邏輯，你是不是互聯網的海量業務場景，因為我提到了，雲安全服務的特點就是利用了互聯網公司的海量資源來支撐的，那麼如果你的業務也是類似的特性，那麼你就一定需要，但是如果你是私有雲或者訪問量很小的邊緣業務，你只要解決雲的安全問題就好了

筆者以三類雲安全產品服務為例，仍然以阿里云云盾為代表，安騎士（伺服器安全），DDoS高防服務（網路安全），態勢感知服務（雲資產安全監控）這三類產品為例

伺服器安全服務是唯一一個解決雲的安全問題的雲安全服務，這句話的意思就是它是最接近雲伺服器的一個安全服務，筆者認為客戶可以沒有網路安全和安全監控，但是安騎士這樣的產品一定要具備，至於是不是要客戶付費是責任劃分的問題，筆者不在這裡擴展

雖然安騎士在去年901發生了大面積故障，但是筆者認為這個故障主要的問題還是在於責任劃分不明確的問題，和產品自身的穩定性無關，隨後雲盾安騎士改變了原有幫用戶大包大攬的保姆式，變為由客戶來決定是否要對文件進行操作，但是如果因為一個責任劃分不明確的問題而否定整個雲盾產品穩定性和阿里雲平台安全問題是明顯不合適的

因為雲計算時代的來臨，阿里雲使安騎士成為雲計算平台上面的一個"安全屬性"，當你把安騎士當成雲平台的一個屬性的時候，看很多事情的角度也不會一樣，如果說安騎士就相當於蘋果手機操作系統底層的一個安全模塊，而不是蘋果手機的360軟體，那麼你可能認為是操作系統在update的時候出現的一個bug，你不會因為這個bug去直接放棄使用蘋果手機和他的操作系統，但是你會因為360手機衛士的一個bug直接卸載掉360所有的軟體

其次就是今天類似於安騎士這樣的產品是bat在過去10年里安全運維經驗的總結和沉澱，bat就是利用這樣的產品架構和機制來去管理和去做安全運維的，安騎士也同樣具備了利用大數據樣本的雲安全服務的特徵，當今天企業客戶在上雲去拓展互聯網業務的時候要不要採用這種海量伺服器安全管控的產品模式，還是保守的採用原有IDC的安全運維方式，答案我想已經很明顯了

所以筆者的觀點就是雲盾安騎士這樣的基礎設施安全產品是所有客戶都需要的，因為它是解決雲的安全問題的雲安全服務，至於DDoS高防和態勢感知這樣的產品一定是具有很強的行業屬性和客戶特徵才需要的，遊戲，金融，需要混合雲和大規模集群安全管理，自帶安全運營人員的客戶是它們的目標客戶

第三，bat雲安全今天的定位和現狀以及未來的發展趨勢

這件事僅代表筆者的觀點，對於客戶來說可能只做為參考

所有公司做的產品和服務都和它過去10年做的事情和積累有關係，那麼我們看看bat三家雲安全現在的定位和未來趨勢

阿里云云盾

阿里巴巴是一家值得尊敬的純商業驅動，並且有巨大社會責任感的商業公司，雲計算能這麼快在國內被企業客戶接受，阿里雲做出了其他廠商沒有的貢獻，每次我在機場看到阿里雲的廣告牌都深切的感受到這一點

再看阿里云云盾的產品目錄，你會發現這是一家做雲安全服務的廠商，它和阿里雲一樣，走在了雲安全服務的最前面，因為有淘寶10年的攻防經驗和阿里雲海量的數據，它會往全球最大的雲安全服務廠商發展，但是雲盾的問題也在於它走的太前沿了，很多客戶還沒搞清楚什麼是雲安全，所以很多客戶一看雲盾的服務菜單很容易蒙圈，不知道該用什麼

騰訊雲安全

仔細研究一下騰訊雲安全的目錄，特別的簡單明了，主機基礎安全，網路安全，業務安全，移動安全，沒有那麼多選擇，騰訊雲安全今天還是主要去解決雲的安全的問題，以及把它最擅長的終端和風控安全拿出來，形成一套完整的安全體系，圍繞客戶的業務去做，這樣客戶選擇也不糾結，需要就用，當然這也和騰訊目前的安全戰略有關係，騰訊負責搭台和劃好類目，讓更多的生態廠商進來參與，這和小馬哥的「連接」生態戰略有很大關係

百度雲安全

很有可能會是第二個360企業安全，因為雲業務的落後，不得不讓百度雲安全選擇向傳統乙方安全公司靠攏，因為沒有電商，沒有遊戲這些強有力的業務支撐，所以雲也沒起來，雲沒有就沒法吃雲計算帶來的雲安全服務的紅利，當然百度雲安全也未必沒有機會，人工智慧，機器學習有可能會是它主打的一張牌，還是那句話，一家公司做什麼和它過去十年的積累密不可分

最後筆者想說，不管是雲的安全還是雲安全服務，都是因為雲計算給整個安全產品服務帶來了挑戰和契機，安全的本質還是保障，不管是平台還是租戶，拋開商業利益不說，安全服務和產品還是應該站在客戶的角度考慮，就像阿里巴巴企業文化里的客戶第一一樣，只有安全做好，客戶才更願意上雲，接受雲計算平台