转载自Freebuf.COM，原文链接：

http://www.freebuf.com/articles/people/125494.html

云计算如何为安全市场扩容？

在FIT2017大会上，威胁情报专家、知名安全投资人金湘宇说过，即便国内的安全市场规模还会翻番，信息安全行业也面临天花板，因为信息安全的天花板本身就是“比较低”的，“国内安全初创公司大部分产品的天花板大概几千万就到头了”。而这个问题大概还另有解法。

 

如行业的主流看法，肖力也认为当前国内甚至国际市场上的的安全行业“都没有真正迎来高速增长期”，“国内外的安全厂商，市值和收入并不高。其核心原因在于，安全公司在服务能力方面，能做到有规模又有体验的，少之又少。”

 

“如果服务的企业对象很多，就算是为一万家企业服务——且不说需要投入大量人力，一万这个数字在中国的企业市场上也不过是很小一部分。”而云平台的企业可以多达“上百万家”，这个数字未来“可以上千万”。“所有和互联网相关的企业，对安全都有较高的诉求。上百万千万上云的企业就有大量安全诉求”。“所以说整个安全市场还未曾走进快速增长期”肖力告诉我们。

 

传统的售前售后模式无法满足大规模的服务，而在云环境下，随着线上运营方式的成熟、SaaS服务的推广，天花板才会被突破，新的独角兽才会出现。肖力说：“我相信这才是未来，云计算平台在孵化这样一批安全行业的独角兽公司。当一家公司不止是为一万家企业服务，而是为五万、十万甚至百万家企业服务，整个安全市场的天花板才会被突破。”

 

另一方面，在肖力看来，云有助于普惠安全——即让小企业花较少的成本来做安全，让安全变成企业标配。肖力本身2005年加入阿里巴巴，原本也是专注在安全技术研究，设计、搭建公司的安全架构；但随着2009年阿里云的创立，他在此后的7年专注于云计算安全。“从保护一个电商网站，跃升至保护云上成千上万的企业”，“团队不仅要保护自身基础设施的安全，也要保护云计算用户的安全”。

 

肖力说：“云平台可以类比为企业的操作系统，所以我们要解决的其实就是企业操作系统的安全问题。企业在云平台上，不需要再去研究安全应该怎么做、中间件应该怎么搭建，也不需要去研究安全的核心技术。”企业无需再去为基础的产品运维操心，这样就能将注意力更多地集中到自身的业务中去了。这就是云平台为安全带来的巨大用户价值。

 

所以云平台服务提供商在安全领域的价值更在于，将安全普及到了整个云端，解决了企业的“普遍需求”。“任何一个网站，当业务快速扩充时，都需要WAF和DDoS防护。这些基础型产品，可以帮助各行各业领域的企业解决基本的安全问题。” 在此基础上，企业的精细化安全需求，就要靠百花齐放的安全公司来出力了。

云计算平台如何为安全厂商创造机遇？

Gartner很早之前就提到过，云服务提供商本身会成为安全厂商。我们先前也和阿里云高级安全专家邬怡探讨过，第三方安全厂商提供的这些安全服务和云盾的关系，以及云服务提供商提供的安全服务是否有“抢安全厂商的饭碗”之嫌。

 

其实，除了阿里云，AWS和Azure也在逐步健全“自产”的安全服务。从AWS今年10月发布的自有DDoS防护产品Shield，再到Azure Government将安全性作为主打能力，云计算服务提供商越来越重视自有的安全能力和服务了。

然而另外一方面，我们也注意到，在去年的云栖大会·成都峰会上，阿里云曾经宣布与4家安全企业达成战略合作（其中也包括斗象科技的网藤风险感知），并发布云安全SaaS合作伙伴计划。这四家企业的安全产品，以SaaS化交付形态在阿里云的产品中心上架。在阿里云本身提供云盾安全产品的基础上，却还有第三方安全厂商的产品——双方的角色是如何权衡的？是竞争还是合作？

 

肖力说，云盾提供的是“解决默认刚需”的安全产品，而用户的需求越来越往精细化走，更垂直的安全需求，就需要有更“小而精”的安全厂商来满足，而且不少细分领域都潜力巨大。打个比方，以往用户买一套西装，只需要买到即可。而现在，随着产品类目的细分化，用户需求开始细分到：买定制西装、买休闲款西装，西装的版型、领口、材料，各自都有工艺顶尖的小众厂商脱颖而出，被人们所熟知，但“大厂”生存下来，就需要靠规模化和渠道，安全也一样。阿里云引入的安全厂商，是阿里云安全生态的一部分，“自主开发安全产品和构建安全生态不存在任何矛盾和冲突。两者是相互扶持、相互服务的关系。主旨都是帮助用户解决互联网安全问题，”肖力说。

 

在肖力看来，通过一家之力是无法解决所有安全问题的。他补充：“站在用户的角度看，许多行业的安全需求各异，这是因为他们的行业诉求不同、发展阶段不同，安全能力也不同。那么，这些企业就需要更多个性化的安全产品和服务。有一些领域和具体需求，是阿里云云盾的产品并没有覆盖到的，我们更希望安全厂商能从这样的突破口切入。”

 

按照这个理念，云本身的确为安全厂商提供了新的机遇。这也是我们先前和不少安全专家聊天过程中，他们输出的一个观点。如金湘宇在接受我们的采访时所说，这一波安全行业的春天就是由技术变革造就的，而且这波春天还会持续很久，云计算技术成为其中的重要组成部分。

 

当然，这其中也不得不提SaaS化交付方式作为发展方向的事实。这实际上是绝大部分云服务提供商宣传的理念。比如阿里云市场中已经有60多家厂商，近300款产品可供选择。这些产品都是SaaS化交付的——云本身的特性也决定了这一点。对于安全企业而言，SaaS化的优势在于减轻了售前和售后的压力，实现这两个过程的轻量化，降低成本。“不会再是买个软件再搭起来，一定是在线服务化，这是软件行业的趋势。安全服务也是这个方向。”

威胁情报还是鼓励安全厂商来做

安全是否能全面转向云，这是个很有争议的话题。但需要承认的是，部署在云平台上的安全服务的确有个无与伦比的先天优势，即大数据。这不是个很新鲜的提法，如果用近一年在国内越来越火热的概念——“威胁情报”来解释，似乎更让人明了。

 

肖力曾经在去年的云栖大会上提到过，云计算 = “云数据” + “大计算”。对安全而言，云计算的数据和计算资源也是海量的，通过大数据来组建威胁情报，并在整个云端共享——一旦云服务做到规模化，即有着任何单独提供威胁情报的安全厂商无法比拟的体量。

 

肖力认为，云计算的优势，令其天然具备了汇聚和处理威胁情报的能力。“第一，云服务提供商有相当多的资源，比如谈到DDoS，比如说带宽资源，云服务先天有大量带宽去抵御这样的DDoS攻击。另外，中国超过37%的网站都建立在阿里云上，未来我相信会达到60%甚至70%。当越来越多的网站建立在阿里云之上，当一家网站或企业遭遇安全攻击时，我们能够帮助企业尽快做分析，并通过烽火台的方式，快速将防御方案、威胁状况，告知所有企业，帮助其他企业免受同类攻击，形成一个‘免疫系统’。”

 

有趣的是，谈论到威胁情报具体的产品形态方面，肖力说希望通过阿里云的威胁情报能力、大数据计算能力、安全态势感知能力，尽可能地去帮助安全厂商孵化，而不仅仅是由阿里云直接去服务客户。

 

“这也是生态的一部分。”肖力说。“云计算平台先天的数据优势应该用于帮助更多的安全服务厂商来更好地服务用户。我坚信威胁情报这块一定能够给用户带来更多的价值，只是等它真正成熟还需要一定事件，需要不断积累。”

 

在这番对谈中，肖力为阿里云用户，以及安全厂商描绘了一幅双赢的图景，不仅通过云平台将安全带给每个上云的企业，而且为安全厂商提供更多的机会、创造更大的价值。