2022年信息安全行业发展现状分析.docx

2022年信息安全行业发展现状分析云化、数字化驱动企业信息安全体系变革。传统的安全体系下，企业大部分开销被用 于保障流量在网络内外的传输安全，即将所有企业流量汇集到网关，同时通过网络外围防 火墙阻止所有不良流量。网络外围安全系统通过网络位置来划分“信任区域”，外部不受 信任，内部则属于受信特权网络。但这种基于网络位置的安全体系存在着天然缺陷，一旦 被渗透到信任区域，将无法有效隔离和保护数据资产。随着云计算和移动设备的快速普及， 企业计算环境日益分散，网络边界日益模糊，网络外围的安全也越来越难以保护：当员工 开始移动时，VPN 通过扩展网络将内部信任扩展到远程员工，而攻击者会通过非法获取 VPN 凭据以滥用此信任；当需要外部访问时，服务又会移动到 DMZ（demilitarized zone， 为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题而设立的一 个非安全系统与安全系统之间的缓冲区）中，从而使它们暴露给攻击者。究其本质，过度 的隐性网络信任，会产生过度的潜在风险。在这种背景下，零信任网络访问（ZTNA）和 安全访问服务边缘（SASE）应运而生并快速普及。1.零信任：解决企业 IT 边界扩展忧虑零信任网络访问（ZTNA）假设外部和内部威胁每时每刻都充斥着网络，信任永远不 应该是基于网络位置隐含的，而是要在基于细粒度的用户、设备的身份认证来获得的。因 此，ZTNA 仅授予特定用户对于特定服务或是应用程序的访问权限，而不是如 VPN 授予对 于整个网络的访问权限，这种架构将很大程度限制可利用攻击面的范围。根据 Gartner 预 测，到 2023 年，将有 60%的企业逐步淘汰远程 VPN 访问，转向零信任网络访问。图：企业安全体系的演变进程我们认为，ZTNA 的核心组件为身份认证和访问管理（IAM）和安全网关（SWG 和 CASB）产品。其中，身份认证和访问管理产品能够通过生物特征、行为分析、地理位置、 使用设备等多种方式验证用户身份，并使用访问控制引擎为多个应用场景（B2E、B2B 和 B2C）的目标应用提供集中身份验证、SSO（单点登录）、会话管理和授权实施。而安全 网关产品能够对网络进行端到端分段，以确保合法用户仅对其特权凭据内允许的应用程序 或者 Web 内容进行精细访问，其中 SWG（Secure Web Gateway）主要充当公司设备和 互联网内容间的网关，而 CASB（Cloud Access Security Broker）主要充当公司设备和云 服务间的网关。根据 IDC，全球 IAM 市场规模将在 2025 年达到 192 亿美元，2020-2025 年 CAGR 为 11.6%，其中云产品的 CAGR 为 18.6%；全球安全网关市场规模将在 2025 年达到 66 亿美元，2020-2025 年 CAGR 为 10.3%。图：全球安全网关市场规模及增速（百万美元，%）2.SASE：最为理想的安全防护模型随着企业越来越多地依赖于基于云的应用程序，并支持分布式工作流以支持远程和移 动端用户，企业网络迅速超出传统的网络边缘。尽管网络的发展速度足以支持远程端点的 工作流程，但绝大多数安全工具并未跟上发展的步伐。为了保护现代企业网络下的网络安 全，所有端点都必须使用与其本地基础架构相同的安全和网络策略进行保护和管理，安全 访问服务边缘（SASE）应运而生。SASE 是 Gartner 于 2019 年提出的一个新的网络安全 类别，将 SD-WAN 和网络安全点解决方案融合到统一的云原生服务中。Gartner 预计，到 2024 年至少有 40%的企业将制定采用 SASE 的明确战略，而 2018 年底这一比例还不到 1%。由于 SASE 在底层基础架构中内置了完整的安全堆栈，所有边缘都享有统一策略的相 同级别保护。当所有 WAN 和 Internet 流量通过 SASE 云平台时，IT 人员可以完全了解网 络，使得 IT 部门能够通过单一管理平台保持对整个网络的控制。同时，网络和安全堆栈 的简化，以及多个单点产品的整合，消除了任何资本支出采购以及内部管理和维护的需要， 所有成本都转化为 Opex。我们认为，SASE 的趋势一方面将使得网络安全厂商加速平台 化的整合，技术能力全面的头部厂商有望强者恒强；另一方面，SASE 也在持续推动网络 安全产品云化的进程，SASE 核心组件中的 FwaaS、CASB、ZTNA、SWG 均将加速云化。