Gartner发布2023年工作负载和网络安全技术成熟度曲线
安全平台整合、零信任策略和生成式人工智能是该技术成熟度曲线的关键发展。安全和风险管理领导者应整合安全平台并采用合适的新兴技术来提高效率并获得更广泛的安全可见性。
需要知道什么
根据 2022 年 Gartner CISO:安全供应商整合 XDR 和 SASE 趋势调查,对降低复杂性、简化操作和提高效率的渴望继续推动网络安全整合。本次调查中超过一半的参与者正在寻求供应商整合以提高安全解决方案的效率,而略多于三分之一 (35%) 的参与者将降低成本视为主要动机。Gartner 看到了多个工作负载和网络安全领域的强大整合工作,包括针对(大部分)出站用户流量的安全服务边缘 (SSE) 和安全访问服务边缘 (SASE) 平台的配对,以及云原生应用程序保护平台的使用(CNAPP) 用于云工作负载和应用程序。
开发零信任方法对于 Gartner 的许多客户来说仍然很重要,并且支持零信任思维的新技术不断出现。其中,生成式网络安全人工智能在 2023 年受到了大量炒作。组织对生成式人工智能可能产生的积极和消极影响非常感兴趣,尤其是这项技术有可能帮助他们(通常人手不足)的安全团队在日益复杂的环境中工作。
安全和风险管理领导者必须为其组织选择正确的支持安全技术,以持续支持网络安全整合和零信任策略,同时又不会错过生成式网络安全人工智能等新兴技术带来的机会。
炒作周期
该技术成熟度曲线反映了融合平台的持续趋势以及对零信任策略以及新兴云安全技术、生成式人工智能等的强烈兴趣。
由于成熟度以及边缘和云中整合的增加,今年有多项技术已从技术成熟度曲线中退出。例如,大多数组织正在用融合安全服务边缘 (SSE) 平台取代安全 Web 网关、云访问安全代理 (CASB) 及其许多远程访问解决方案,而 CNAPP 正在整合成熟的云工作负载保护平台 (CWPP)。采用ZTNA (以及对通用 ZTNA 的新兴兴趣)和混合劳动力人们对网络访问控制(和炒作)的兴趣减少了,ZTNA 仍然是许多零信任架构工作的起点。此外,云的采用以及混合劳动力正在进一步将高度成熟的网络防火墙扩展到云防火墙和新兴的防火墙即服务产品。他们也正在推动网络安全策略管理向云安全态势管理(CSPM)和CNAPPs方向发展。
此技术成熟度曲线中出现了几种新兴技术:
-
生成式人工智能今年吸引了大量的炒作,这引发了生成式网络安全人工智能的纳入。
-
在云和本地环境中,应对复杂的配置要求仍然是一个巨大的挑战,最好通过自动化来解决。因此,自动安全控制评估 (ASCA) 工具不断涌现,用于验证混合环境中产品的配置。
-
由于需要一种可靠的方法来确定云中安全事件的严重性,因此出现了云调查和响应自动化 (CIRA) 产品。
-
扩展伯克利数据包过滤器 (eBPF) 技术正在成为 Linux 安全的新规范,目前广泛应用于 Linux 工作负载保护。
图 1:2023 年工作负载和网络安全技术成熟度曲线
优先级矩阵
融合正在推动 SASE 和 SSE 的转型创新,因为网络和安全团队寻求简化操作,提高用户对资源访问的可见性(无论用户和设备位置如何),并针对前端、用户和设备访问实施动态零信任策略。SASE 和 SSE 已经包含了许多其他创新,我们预计远程浏览器隔离也将在未来两年内成为这些平台的主要功能。许多供应商提供 SASE 框架的元素,这意味着组织在选择供应商(或两个耦合供应商)时必须优先考虑其用例和合同到期时间。
微分段正在迅速成熟,但仍然难以大规模部署。通过将范围缩小到在强大的宏观分段控制后面运行的更少的关键工作负载,跳过评估阶段,并直接与应用程序团队合作,在执行策略之前验证连接。在解决最关键的问题后进行迭代以支持额外的工作负载。
CSPM正处于生产力高原,效益高。预计 CSPM 产品将添加云基础设施授权管理 (CIEM) 功能,并越来越多地成为 CNAPP 整合平台的一部分。寻找可通过与成熟的 CWPP 平台集成、eBPF 集成或使用侧面扫描技术来提供运行时可见性的 CSPM 产品。
表1 :2023 年工作负载和网络安全优先级矩阵
| 益处 |
主流采用的时间 |
|||
| 不到2年 |
2 - 5年 |
5 - 10 年 |
超过10年 |
|
| 变革性的 |
SASE 安全服务边缘 |
生成网络安全人工智能 |
||
| 高的 |
微分段 |
云WAAP CSPM 混合网格防火墙平台 身份优先安全 |
云原生应用程序保护平台 零信任策略 |
|
| 缓和 |
集装箱安全 |
CIEM 云防火墙 电子BPF 防火墙即服务 不可变的基础设施 NDR 无服务器功能安全 ZNTA |
自动化安全控制评估 CAASM 云调查和响应自动化 企业浏览器 Kubernetes 安全 SaaS 安全态势管理 |
|
| 低的 |
远程浏览器隔离 |
|||
资料来源:Gartner(2023 年 7 月)
脱离炒作周期
-
CASB现已成熟。最近的创新大部分已被SSE平台所吸收。
-
单独形式的CWPP已经成熟,并且已经达到了生产力的高峰期。Gartner 还发现 CWPP 作为 CNAPP 的组件提供。
-
由于成熟度、采用率和客户兴趣水平不同,去年技术成熟度曲线上容器和 Kubernetes 安全的单一条目已被容器安全和 Kubernetes 安全的单独(尽管密切相关)条目取代。
-
由于 DDoS 攻击数量不断增加,分布式拒绝服务 ( DDoS) 缓解平台继续被广泛采用。DDoS 缓解仍然作为独立产品提供。还有基于平台的产品。DDoS 缓解市场已经成熟,服务提供商提供分层定价模型。
-
基于硬件的安全解决方案已经成熟。
-
网络访问控制(NAC)是一项完全成熟的技术。主要供应商正在逐步改进产品并扩展 NAC 以处理网络物理系统的安全性,或将 NAC 与 ZTNA 集成,作为通用 ZTNA 产品的一部分。许多组织实施 NAC 来提高本地网络上设备的可见性和控制,这通常是使用众所周知的协议进行审核的结果。这带来了有据可查的技术挑战,但也有解决方法。
-
网络防火墙是重要的网络安全控制,其市场已经完全成熟,所有供应商都提供类似的功能。混合环境和劳动力的兴起推动了对云防火墙、防火墙即服务 (FWaaS) 和支持新兴用例的混合网格防火墙产品的需求。
-
网络安全策略管理(NSPM)已经完全成熟。新兴的云用例越来越青睐 CSPM 工具和 CNAPP。
-
安全 Web 网关已完全成熟。最近的创新很大程度上被SSE平台所吸收。
处于上升期的技术
1、企业浏览器
效益评级:中等
市场渗透率:目标受众的 5% 至 20%
成熟期:成长期
定义:
企业浏览器和扩展通过托管 Web 浏览器或插件扩展提供安全服务,以实现策略实施、可见性和生产力。此类别中的许多产品提供与 SWG、CASB、ZTNA、RBI、VDI 和 VPN 产品类似的轻量级功能和优势。企业浏览器是对现有安全解决方案的补充,并且已经在为非托管设备提供访问和状态评估安全性方面取得了早期成功。
为什么重要
企业浏览器代表了一种提供安全服务并从操作系统分层的现有安全代理接收实时情报的新方式。如今,许多此类产品能够提供其他安全产品的一些重要功能和优势;然而,权衡仍然存在。随着该类别变得更加成熟以及更多合作伙伴进入生态系统,这一差距预计会随着时间的推移而缩小。
商业冲击
现有的安全产品将继续为企业提供日益复杂的保护、访问控制和报告分析级别。然而,其中许多产品将通过战略合作伙伴关系、集成或浏览器扩展来扩展功能以支持浏览器。企业浏览器不太可能取代整个企业现有的安全控制,而是扩展这些工具的范围以增加用例覆盖范围。
驱动因素
-
企业浏览器正在采用新的远程工作模式,以巩固依赖非标准化设备的承包商、供应商和分支机构的安全远程访问。
-
现有的安全解决方案通常难以支持非托管设备。企业浏览器通过提供可接受级别的安全远程访问来维持最熟悉的最终用户体验,从而在这一领域获得了早期市场关注。
-
中小型组织也有望成为该技术的早期采用者。环境和要求较简单的组织可能会看到早期机会,用企业浏览器取代现有的或添加新的安全控制,这是一种更便宜、集中管理的选项,可以立即提高其成熟度水平。
-
许多安全供应商已经通过扩展提供与浏览器的集成,而其他供应商则寻求与浏览器制造商的战略合作伙伴关系和集成。企业浏览器代表了一种向组织提供安全服务的新方式,它扩展了传统网络安全解决方案的优势。
-
企业浏览器供应商正在加强与安全控制的集成,例如数据丢失防护(DLP)、配置管理、日志记录以及与安全信息和事件管理(SIEM)/扩展检测和响应(XDR)平台的集成、身份保护、网络钓鱼防护、安全服务边缘 (SSE) 功能,以及跨下载和扩展的恶意活动监控。
障碍
-
免费浏览器无处不在,以至于组织必须有特定的用例来证明购买单独浏览器的合理性。随着企业开始认识到浏览器的可扩展且灵活的企业安全和管理潜力,这些理由将变得更容易识别。然而,大多数公司不太可能将预算专门用于企业浏览器,而无法抵消其他方面的支出。
-
拥有成熟网络安全和基础设施运营的大型组织可能会发现使用企业浏览器降低现有环境的复杂性是不切实际的,尽管可能存在特定的用例来证明相对较小的购买是合理的(例如为通过合并和收购获得的新组织提供第一天的访问权限)。采购、承包商访问管理或脆弱的关键基础设施之上的分层安全控制)。
2、自动化安全控制评估
效益评级:中等
市场渗透率:目标受众的 1% 至 5%
成熟度:新兴
定义:
ASCA流程和技术专注于分析和修复安全控制中的错误配置(例如,端点保护、网络防火墙、身份、电子邮件安全以及安全信息和事件管理),从而改善企业安全状况。ASCA 可以是一个独立的工具,也可以是其他安全产品的功能,例如防火墙、身份威胁检测和响应、网络安全策略管理和云基础设施授权管理。
为什么重要
自动安全控制评估 ( ASCA) 技术可减少组织因安全配置漂移、默认设置不佳、为降低误报率而进行的过度调整以及管理人员高流动率而导致的攻击面。ASCA 通过验证安全控制的正确、一致的配置来改善安全状况,而不是简单地验证控制的存在。
商业冲击
实施 ASCA 流程和技术的组织可以提高员工效率,最大限度地减少人为错误的影响,并提高面对组织流失时的弹性。ASCA 减少了安全控制配置差距,这些差距使组织不必要地遭受本来可以预防的攻击。
驱动因素
-
随着环境复杂性的增加、威胁媒介的出现、新安全工具的激增以及管理人员的高流动性,安全控制中的错误配置数量持续增加,导致攻击面更加暴露。
-
特定的组织用例和目标需要保留复杂的异构基础设施和安全架构,而不是通过供应商整合来追求简化。
-
企业安全控制配置的优化不能仅仅依赖于手动定期配置审查;孤立的、以工具为中心的方法;或偶尔的渗透测试。
-
根据最高风险暴露持续评估和修复安全控制配置是一种有效的风险缓解策略,最终可以减少攻击面。
障碍
-
由于缺乏对利基供应商和安全控制评估的支持,ASCA 工具对于拥有专门单点解决方案的大型、复杂组织来说价值较低。
-
与希望在各个孤岛中实现类似目标的现有工具和供应商重叠,例如网络防火墙或云配置评估工具。
-
如果没有适当的自动化和考虑业务背景的分类流程,修复速度缓慢,再加上持续的评估,可能会导致结果堆积起来。
-
缺乏成熟的流程来优化端到端的安全控制配置。
-
增加预算以投资于人员、技术以及可能的托管服务,以响应 ASCA 工具发现的加速配置问题列表。
3、生成网络安全人工智能
效益评级:变革性
市场渗透率:不到目标受众的 1%
成熟度:萌芽期
定义:
生成式网络安全人工智能技术通过从原始源数据的大型存储库中学习,生成安全相关和其他相关内容、策略、设计和方法的新派生版本。生成式网络安全人工智能可以作为公共或私有托管云服务提供,也可以嵌入安全管理界面。它还可以与软件代理集成以采取行动。
为什么重要
继第一个基于大语言模型 (LLM) 的应用程序之后,企业见证了许多利用可以读取多模式对象(例如传感数据和图像)的基础模型的应用程序。
网络安全技术提供商可以利用生成式网络安全人工智能来改进现有工作流程,成为现有分析的代理,并生成安全配置或真实的攻击数据。很快,应用程序将包括自主代理,它们可以使用高级指导来工作,而不需要频繁提示。
商业冲击
现有供应商和新初创公司将添加生成式网络安全人工智能,扩展或替换功能。他们将开始通过资源密集型任务来实施它,例如事件响应、暴露或风险管理或代码分析。
组织将受益于生成式网络安全人工智能,因为它可以提高效率并缩短对网络安全风险和威胁的响应时间。由于安全和隐私问题,不同行业和地区的采用速度会有所不同。
驱动因素
-
ChatGPT 是有史以来最受炒作、采用最快的人工智能技术之一。它依赖于生成式人工智能基础模型,这些模型主要是在海量互联网数据集上进行训练的。
-
安全运营中心 (SOC) 团队无法跟上必须不断审查的大量安全警报,并且缺少数据中的关键威胁指标。
-
风险分析师需要加快风险评估速度,并通过提高自动化程度和上下文中风险数据的预填充来提高敏捷性和适应性。
-
组织继续面临技能短缺的问题,并寻找机会自动化资源密集型网络安全任务。生成式人工智能应用的用例包括:综合和分析威胁情报;生成针对应用程序安全、云错误配置和配置更改的补救建议以适应威胁;生成脚本和代码生成;实施安全代码代理;识别日志系统中的关键安全事件并绘制图表;进行风险和合规性识别和分析;自动化事件响应的第一步;安全配置调整调整;创建一般最佳实践指南。
-
生成式网络安全人工智能通过更好地聚合、分析和优先考虑输入来增强现有的持续威胁暴露管理(CTEM)计划。它还生成用于验证的真实场景。
-
生成式人工智能产品包括微调模型、使用即时工程开发应用程序以及通过 API 与预打包工具和插件集成的能力。这些可能性为提供商添加生成式网络安全人工智能开辟了道路。
-
微软已经展示了其安全副驾驶功能的预览版本,预计该功能将推动竞争对手嵌入类似的方法。
-
安全计划性能解决方案和活动可以解决他们日益增长的业务一致性需求。此外,他们还可以执行预算(重新)分配、效率和有效性指标及修正的情景规划。
障碍
-
网络安全行业已经受到误报的困扰。早期的“幻觉”和不准确反应的例子将导致组织对采用持谨慎态度或限制其使用范围。
-
用于实现负责任的人工智能、隐私、信任、安全和生成式人工智能应用程序安全的最佳实践和工具尚未完全存在。
-
隐私和知识产权问题可能会阻止业务和威胁相关数据的共享和使用,从而降低生成网络安全人工智能输出的准确性。
-
由于生成式人工智能仍在兴起,建立其更广泛采用所需的信任需要时间。对于技能增强用例尤其如此,因为您需要增强应该增强的技能,以确保建议是好的。
-
与生成式人工智能相关的法律法规的不确定性可能会减缓某些行业的采用速度,例如欧盟国家受 GDPR 合规性监管的行业。
4、云调查和响应自动化
效益评级:中等
市场渗透率:不到目标受众的 1%
成熟度:新兴
定义:
CIRA 产品可自动收集取证数据,并协助自动响应云事件(例如违规)。收集这些信息跨越多个云、帐户边界和资源类型,其中许多资源是高度动态的,需要新的云原生方法。
在发生数据泄露事件时,保存数字证据用于取证的法律和监管要求在许多行业中都很常见。此功能必须可用于基于云的资源。云调查和响应自动化 (CIRA) 产品提供了一种高度自动化、云中立的方式,通过对云工件、日志源和要捕获的监控数据的深入了解来提供此功能。
商业冲击
大多数组织都有手动程序和流程,用于在发生违规情况时收集和保存数字证据,以满足法律和监管要求。CIRA 产品通过跨多个公有云的收集流程的自动化和标准化来简化这一过程,并内置有关要捕获哪些工件的知识,从而帮助利用有限的云安全资源。
驱动因素
-
许多企业都有法律/监管义务以及自己在发生违规时保存证据的要求。
-
所有云基础设施都是程序化的,可以在发生违规时自动收集日志和其他数字工件。
-
大多数企业都缺乏熟练的云安全专业人员,这使得自动化成为云安全产品的关键要求。
-
CIRA 产品包括关于收集什么以及如何收集的开箱即用的知识,从而加快了采用时间。
-
超大规模提供商本身将提供内置 CIRA 功能 - 尽管特定于他们自己的云。第三方 CIRA 产品标准化了跨云的集合。
障碍
-
许多组织手动收集事件响应信息或编写自己的脚本来收集所需的证据,并且认为不需要 CIRA。
-
大多数工具不会捕获正在运行的系统的内存,也不需要部署额外的代理来实现这一点,但这通常是取证的要求。
-
传统取证供应商将增加功能来解决其云取证差距,潜在客户可能会等待这一点,而不是寻求单点解决方案。
-
随着时间的推移,现代安全信息和事件管理 (SIEM)、安全编排、自动化和响应 (SOAR) 以及扩展检测和响应 (XDR) 平台将增加 CIRA 功能,潜在客户可能会等待这一点,而不是追求单点解决方案。
-
云安全态势管理 (CSPM) 和云原生应用程序保护平台 (CNAPP) 也可能解决云检测和响应用例,并包括 CIRA 功能,从而抵消对单点解决方案的需求。
-
目前还没有供应商为基于 VMware 构建的私有云提供深度支持;VMware Cloud on Amazon Web Services (AWS)、Microsoft Azure VMware 解决方案或 Google Cloud VMware Engine;或 OpenStack。
5、SaaS 安全态势管理
效益评级:中等
市场渗透率:目标受众的 1% 至 5%
成熟期:成长期
定义:
SaaS 安全态势管理 (SSPM) 持续评估 SaaS 应用程序的安全风险并管理安全态势。SSPM 工具提供一系列功能,例如报告本机 SaaS 安全设置并提出改进建议、管理身份权限以及识别互连的 SaaS 应用程序。一些工具还提供与行业框架、数据可见性和民主化或全自动修复的比较。
为什么重要
SaaS 是许多关键企业应用程序的交付模型,导致大量敏感信息存储在企业网络的传统控制之外。这些应用程序及其互连(通常是其他 SaaS 应用程序)的安全配置和管理变得越来越复杂,而每个人都不同这一事实使问题变得更加复杂。SSPM 平台提供对 SaaS 应用程序安全性的一致且自动化的可见性
商业冲击
SaaS 在 Gartner 客户中的使用非常广泛且不断增长。安全服务边缘 (SSE) 供应商在网络层提供敏感数据和用户访问保护,但往往对复杂的配置错误和 SaaS 到 SaaS 通信视而不见。SSPM 工具通过持续扫描和减少配置错误、可疑的 SaaS 到 SaaS 通信以及范围过度的权限来减少常见 SaaS 风险。
驱动因素
-
随着使用 SaaS 处理更多有价值的数据,攻击者将越来越多地针对这些应用程序来破坏敏感数据。云漏洞的主要来源是配置失败或令牌被盗。作为平台的潜在缺陷的情况极为罕见。
-
SaaS 的日益普及、复杂性和互连性在越来越关键的应用程序中造成了盲点(例如,未受保护的连接应用程序可能能够以最小的限制访问数据)和控制差距(特别是关于 SaaS 配置)。传统控制甚至SSE控制都无法有效管理和缩小这些差距。在这种情况下,SSPM 工具提供必要的可见性和保护。
-
监管变得越来越严格,对数据泄露处以巨额处罚。监管机构开始对 SaaS 应用程序表现出担忧,例如网络安全和基础设施安全局 (CISA) 的 SaaS 参考架构、安全云业务应用程序 (SCuBA)。
-
SaaS 并不是简单的服务。尝试通过手动流程控制 SaaS 无法扩展。提高配置验证和修复的自动化对于有效控制是必要的。
障碍
-
SSE 平台内的 SSPM 特性和功能的重叠和整合有所增加,很少有组织希望拥有另一个控制台来管理另一组云。
-
许多企业缺乏对 SaaS 安全性的关注,也缺乏负责 SaaS 安全性的角色,因此缺乏 SSPM 的买家。SaaS 的获取和配置通常位于企业内部。
-
当前大多数 SSPM 工具缺乏发现功能,因此依赖替代工具(例如 SSE 或下一代防火墙)来识别整个企业中使用的 SaaS 应用程序,或者假设它们已集成到企业身份提供商中。
-
SSPM 工具严重依赖 SaaS 提供商提供的强大 API 来实现配置和身份权限的可见性。虽然许多 SaaS 应用程序提供 API,但几乎没有标准化,而且大多数小型供应商的基于 API 的可见性有限或没有。
6、CASSM
效益评级:中等
市场渗透率:目标受众的 1% 至 5%
成熟度:新兴
定义:
网络资产攻击面管理 (CAASM) 致力于帮助安全团队克服资产可见性和暴露挑战。它使组织能够主要通过与现有工具的 API 集成来查看所有资产(内部和外部)、查询整合数据、识别安全控制中的漏洞范围和差距,并修复问题。
为什么重要
CAASM 聚合来自收集资产子集(例如端点、服务器和设备)的其他产品的资产可见性。通过整合内部和外部网络资产,用户可以查询以查找安全工具(例如漏洞评估和端点检测和响应(EDR)工具)的覆盖差距和错误配置。CAASM 通过 API 集成提供大部分被动数据收集,取代了耗时的手动流程来收集和协调资产信息。
商业冲击
CAASM 使安全团队能够通过查找所有数字资产的安全控制差距、安全状况和资产暴露来改善基本的安全卫生。部署 CAASM 的组织减少了对本地系统和手动收集流程的依赖,并手动或通过自动化工作流程弥补差距。组织可视化安全工具覆盖范围,支持攻击面管理 (ASM) 流程,并纠正可能包含过时或丢失数据的记录系统。
驱动因素
-
全面了解通过现有工具收集的组织拥有的任何资产,以提高对组织潜在攻击面和现有安全控制差距的了解。
-
通过更准确、最新且全面的资产和安全控制报告,更快地生成审计合规性报告。
-
将收集资产和风险信息的现有产品整合到单个标准化视图中,以减少手动流程的运营开销以及对本土应用程序的依赖。
-
访问组织内多个个人和团队的综合资产视图,并与其他记录系统集成以获取当前状态可见性。
-
降低对“影子 IT”组织、已安装的第三方系统和IT部门缺乏治理和控制的业务线应用程序的数据收集的阻力,并提高对这些组织的安全可见性。安全团队需要这些地方的可见性,而 IT 部门可能不需要。
-
通过定期更新 CMDB 协调流程遗漏的资产和属性,帮助 IT 团队提高现有 CMDB 的准确性。
障碍
-
对“又一个”工具的抵制——与 CAASM 供应商和提供一些资产清单和报告的相邻工具之间的重叠越来越多。
-
并非所有供应商都有能力识别并集成每个所需的系统以获取可见性和漏洞信息。
-
供应商对优先问题的响应操作可能仅限于打开票证或调用脚本。
-
对于非常大的组织来说,按消耗的资产许可的产品成本过高。
-
对于非常大的环境,单个实例的可扩展性在数据收集和可用性方面可能会受到限制。
-
可以与 CAASM 产品集成的工具要么不存在(例如,由于缺乏 API),要么可能被拥有它们的团队阻止集成。
-
与源系统冲突的协调流程可能无法在 CAASM 供应商工具中轻松解决。
7、混合网格防火墙平台
效益评级:高
市场渗透率:目标受众的 5% 至 20%
成熟度:新兴
定义:
混合网格防火墙 (HMF) 平台是一个集中式策略管理平面,通过与本机云和本地网络安全控制以及其他相邻安全技术集成,通过不同的防火墙实施类型支持混合环境。管理平面主要是一种云交付服务,连接到来自单个供应商的本地、云和即服务防火墙实施点。
为什么重要
安全和风险管理领导者正在努力解决在多个环境中实施防火墙控制的需求,导致缺乏集中实施、管理和可见性。混合网格防火墙平台提供来自同一供应商的多种防火墙实施类型(例如,硬件、虚拟、云原生、防火墙即服务[FWaaS]),可以从集中管理界面进行部署和管理。
商业冲击
混合网格防火墙平台可帮助企业符合网络安全网状架构 (CSMA) 概念,以满足其防火墙要求。它允许您跨多个环境整合到单个供应商的防火墙平台中,支持整合的策略管理。它可以支持多种防火墙用例,例如数据中心、云、在家工作、漫游用户、分支机构和企业网络。
驱动因素
-
云托管的工作负载通常具有完全不同的“敏捷”部署管道,无法使用传统的防火墙控制。这需要对敏捷部署的工作负载和容器或无服务器计算进行防火墙控制,提供自动化和无缝集成来支持这种不断发展的用例。
-
零信任架构的日益普及也改变了防火墙的选择标准,因为企业已经不再只是向平台添加单点防火墙解决方案,这可以帮助他们跨多个用例使用防火墙。
-
远程和混合工作加速了 FWaaS 的采用以及来自同一防火墙供应商的偏好。
-
物联网 (IoT) 设备的采用正在改变互连性要求以及保护互连性的需求。
-
需要跨多个防火墙实施进行集中可见性和控制。
-
使用同类最佳的防火墙播放器来应对不断发展的用例会导致复杂性和管理开销增加。
障碍
-
供应商承诺的功能和自动化并不总是像宣传的那样有效。
-
与当前的混合和远程工作模型结合使用时,本地防火墙会出现部署和维护问题。它们需要不同的防火墙实施点,而不会给管理员带来额外的管理开销。
-
网络安全团队缺乏为新兴用例(例如 DevSecOps、混合环境的分布式连接)配置和运行防火墙的技能和资源,从而导致集成和支持挑战。
-
多种不同的执法类型导致不同的定价模型,从而导致定价和许可的复杂性,因为传统模型不再相关。
-
并非所有供应商都为所有防火墙用例提供成熟的实施类型;因此,团队必然会采用同类最佳的独立产品。
处于巅峰期的技术
8、eBPF
效益评级:中等
市场渗透率:目标受众的 5% 至 20%
成熟期:成长期
定义:
扩展伯克利数据包过滤器 (eBPF) 是 Linux 操作系统内核的增强功能,允许特定指令集在内核内运行(沙盒)。它允许公司向 Linux 添加功能,而无需更改内核源代码或需要内核模块。
为什么重要
eBPF 增加了 Linux 的可扩展性。它允许用户创建由 Linux 内核事件触发的钩子。这提供了一种更安全、更简单的方法来在 Linux 中添加性能、安全性和可见性等功能。ISV 和云提供商等技术供应商使用 eBPF 来避免内核级模块,因为内核级模块会带来固有风险。eBPF 被 AWS、Facebook 和 Netflix 等超大规模企业以及 Cloudflare 等内容交付网络 (CDN) 大规模用于生产。
商业冲击
eBPF 提高了应用程序的可观察性、安全性和性能。然而,大多数企业不会直接使用eBPF。技术供应商确实在其产品和服务中使用 eBPF 作为基础技术,以提高在 Linux 上运行的程序的性能和安全性。与使用 Linux 内核模块或上游 Linux 发行版等替代方法相比,eBPF 允许技术极其精通的组织安全、快速地对 Linux进行更改。
驱动因素
-
eBPF 的使用是由使用它来提供更高效的云产品的超大规模提供商以及在其产品中使用它的网络、监控和安全供应商推动的。
-
超大规模企业使用 eBPF 修复内核漏洞,无需修补即可解决Day 0漏洞,并更有效地处理分布式拒绝服务 (DDoS) 攻击。
-
组织希望通过避免上游包含到 Linux 发行版的要求来加快在 Linux 上运行的软件的开发速度。
-
组织正在寻求提高 Linux 上运行的软件的性能、安全性和监控功能。
-
eBPF 在技术先进的公司(包括技术供应商和超大规模厂商)中很受欢迎,因为它提供了标准化的接口、支持内核可移植性并且需要较少的深入内核编程知识。
-
eBPF 有助于克服iptables的规模和可见性限制,iptables 是 Linux 中的默认网络堆栈。eBPF 通过在周期的早期处理 Linux 网络数据包来帮助优化和定制 Linux 网络数据包处理。
-
供应商越来越多地在其职业网络基础设施 (CNI) 软件中使用 eBPF,以提高性能、安全性和网络可见性。
障碍
-
虽然这对于技术供应商和超大规模提供商来说是现实的,但大多数企业缺乏构建和集成基于 eBPF 的功能所需的专业知识和技能。
-
大多数企业没有直接应对Linux内核挑战的意识、需求或风险承受能力。
-
许多较旧的 Linux 内核不支持 eBPF ,或仅部分支持最新功能。
-
安全性和系统可靠性问题将严重限制组织愿意使用 eBPF 进行部署,因为编写糟糕的 eBPF 程序可能会直接影响 Linux 内核的运行。
-
集成挑战以及与现有不支持 eBPF 的产品的向后兼容性。
9、身份优先安全
效益评级:高
市场渗透率:目标受众的 5% 至 20%
成熟期:成长期
定义:
身份优先安全是一种安全设计方法,它使基于身份的控制成为组织保护体系结构的基本元素。它标志着基于边界的控制的根本性转变,这种控制由于资产、用户和设备的去中心化而已经过时。有效的身份优先安全依赖于连续且一致的基于上下文的访问策略。
为什么重要
所有组织都在充满挑战且威胁不断升级的环境中运营。用户和资源不再局限于企业网络,企业网络本身不可信任。身份优先的安全策略使身份成为安全的基石。它将安全控制平面从网络(和物理边界)转移到基于身份的控制。
商业冲击
引入身份优先安全是因为传统的网络安全模型无法再保护现代组织。通过采用身份优先的安全思维,组织可以极大地改善其安全状况并减少安全事件。然而,这种方法需要文化转变,然后投资新的工具、流程、政策和架构。
驱动因素
-
随着云服务、数字供应链和远程访问的出现,外围已经变得漏洞百出。典型组织的攻击面急剧扩大,包括公司网络外部的资产和用户。
-
混合和远程工作将继续存在。Gartner 预测,到 2026 年,75% 的员工将继续在家庭和办公室之间分配时间。公司拥有的设备和员工拥有的设备都可能保存公司数据,因此必须受到保护。
-
对组织的应用程序和数据的外部访问现在很常见。企业需要与合作伙伴、厂商和供应商协作,支持基于 API 的信息访问,并通过数字渠道与客户互动。
-
数字化供应链风险持续上升。一些组织与第三方(例如托管服务提供商)共享基础设施。
-
身份优先的安全性是零信任架构 (ZTA) 的关键推动因素,零信任架构依赖于身份(和上下文)来评估风险。
-
身份优先的方法通过依赖以下核心原则(“3C”)来增强安全性:为所有数字资产设计一致的身份和访问管理(IAM)策略,无论其位置如何,在评估访问风险时使用上下文数据,以及在登录时和整个用户会话期间连续应用自适应控制。
障碍
-
身份优先的安全性需要从根本上重新思考组织的保护架构方法。人们不可能购买一个企业级身份优先的安全产品就完事了。遗留系统是实施身份优先安全的最大障碍。大多数软件交付的应用程序都是假设它们将在封闭且良性的环境中运行而编写的。较旧的 IAM 工具本身并不支持任何地方计算、基于标准的单点登录、非托管设备以及外部用户的访问。
-
许多组织的 IAM 成熟度不足以满足身份优先安全的需求,例如处理新型身份(例如机器)、新权利和高级控制(例如自适应访问)。
-
制度惯性:零信任模型的关键原则之一是“假设妥协——即使是在内部网络上”,但并非所有组织都认识到这种威胁或充分投资于缓解措施。
10、安全服务边缘SSE
效益评级:变革性
市场渗透率:目标受众的 5% 至 20%
成熟期:成长期
定义:
安全服务边缘 (SSE) 可保护对 Web、云服务和私有应用程序的访问。功能包括自适应访问控制、数据安全、可见性和控制。其他功能包括高级威胁防御以及通过基于网络和 API 的集成实施的可接受的使用控制。SSE 主要作为基于云的服务提供,可能包括本地或基于代理的组件。
为什么重要
SSE提高了组织灵活性,以确保网络和云服务以及远程工作的使用安全。SSE 产品是安全功能(至少是安全 Web 网关 [SWG]、云访问安全代理 [CASB] 和零信任网络访问 [ZTNA])的融合,以降低复杂性并改善用户体验。它们是从云端交付的。当组织追求安全访问服务边缘 (SASE) 架构时,SSE 与软件定义的 WAN ( SD-WAN )配合使用,以简化网络和安全操作。
商业冲击
混合工作正在继续推动公有云服务的采用,尤其是 SaaS 应用程序。混合工作和公有云服务的采用仍然是大多数 Gartner 客户的业务推动者。SSE 允许组织使用以云为中心的方法在访问网络、云服务和私有应用程序时实施安全策略,从而支持随时随地的工作人员。同时,SSE 降低了运行多个产品的管理复杂性。
驱动因素
-
组织需要保护分布式、分散式且需要安全远程访问的用户、应用程序和企业数据。
-
对于许多企业来说,大量关键数据现在托管在 SaaS 中。因此,需要对位于、前往和离开这些 SaaS 平台的数据执行数据丢失防护 (DLP)。
-
SSE为用户和设备提供灵活且主要基于云的安全性,而无需依赖于本地网络基础设施和连接。无论用户位于何处或连接如何,都会向他们提供相同的安全结果。
-
管理员可以增强对用户流量的可见性以及该流量的单一配置和监控位置。
-
SSE 允许组织在边缘实施基于身份和上下文的态势。
-
通过整合供应商,组织可以降低复杂性、成本和用于执行安全策略的供应商数量。使用单个 SSE 平台而不是多个点产品,它们既可以降低复杂性,又可以缩小安全覆盖范围的差距。
-
敏感数据检查和恶意软件检查可以在所有访问渠道上并行完成。SSE 允许并行执行这两项检查,从而比单独执行这两项检查具有更好的性能和更一致的配置。
-
无论应用程序位置或类型如何,自适应访问都可以考虑更多输入信号并更一致地执行。
-
与在 SD-WAN 产品中可能拥有最少安全功能集的供应商相比,组织在构建 SASE 架构时寻求更深入的安全功能。
-
离散 SD-WAN 和 SSE 供应商之间存在紧密集成,无需采用单一供应商方法即可实现互操作性。
障碍
-
由于市场是通过能力的融合而形成的,供应商可能在某些能力上较强而在其他能力上较弱。供应商还可能缺乏 SSE 功能或与 SD-WAN 供应商之间的整体紧密集成。
-
并非所有供应商都提供足够敏感的数据识别和保护来管理业务风险。
-
一些供应商不太关注 SaaS 安全性和集成。然而,企业越来越需要这种可见性和保护。
-
由于以云为中心,SSE 通常无法满足内部防火墙等本地控制支持的所有需求。
-
组织关心其业务所依赖的服务的正常运行时间或可用性。一些供应商的 SLA 薄弱,加剧了这一问题。
-
并非所有供应商都在所有地区本地提供所有功能,从而导致性能或可用性问题。
-
现有供应商的转换成本或合同到期时间阻碍了近期的整合。
-
从 VPN 迁移会增加成本。
11、CIEM
效益评级:中等
市场渗透率:目标受众的 5% 至 20%
成熟度:新兴
定义:
云基础设施权利管理 (CIEM) 功能可帮助企业通过管理时预防性控制来管理云访问风险,以管理混合和多云基础设施即服务 (IaaS) 和平台即服务 (PaaS) 中的权利。他们使用分析、机器学习 (ML) 和其他方法来发现帐户权限中的异常情况,例如特权累积以及休眠和不必要的权限。
为什么重要
鉴于权利的数量和复杂性迅速增加,以及云提供商对其定义和配置的方法不一致,多云权利管理具有挑战性。鉴于机器身份的激增,这一挑战变得越来越严重,机器身份的数量比云基础设施中的人类身份多几个数量级。管理云权利仍然是客户组织独自的责任。
商业冲击
CIEM可以帮助组织:
-
通过简化管理多个云中的权利的工作,降低错误配置的风险。
-
减少机器身份权限过多带来的云攻击面和访问风险。
-
通过在不中断开发人员流程的情况下提供不必要的开发人员权限的可见性,提高 DevSecOps 用例的敏捷性。
-
通过易于应用的最小权限方法扩展特权访问管理 (PAM)用例。
-
简化SOX 和 GDPR 等法规的合规性。
驱动因素
-
云基础设施和平台服务 (CIPS) 提供商不断添加更多服务,这反过来又导致需要管理的权利的数量和复杂性迅速增加。
-
机器身份的激增导致权利数量现在比人类权利数量大几个数量级。据估计,休眠机器身份的百分比在过去两年中增加了一倍。
-
CIEM 已成为安全态势管理应用身份分析的有用示例,也是身份结构免疫的推动者(请参阅2023 年网络安全热门趋势)。
-
CIEM 功能最初仅由纯供应商提供,现在也可作为嵌入云安全态势管理 (CSPM) 和融合云原生应用程序保护平台 (CNAPP) 中的可选模块提供。在身份和访问管理 (IAM) 领域,许多 PAM 供应商和一些身份治理和管理 (IGA) 供应商已在其产品中开发或集成了 CIEM 功能。除 Microsoft 之外的云提供商尚未投资于多云权限管理功能。
-
更成熟的 CIEM 提供商已开始将其范围扩展到 IaaS 和 PaaS 之外,进入 SaaS、Kubernetes、访问管理 ( AM)工具和其他身份提供商 (IdP)。
-
一些 CIEM 提供商通过与 Jira 和 ServiceNow 集成进行访问请求和修复,添加了更传统的 IAM 功能和配置管理,例如轻量级用户和权利生命周期管理。
-
一些CIEM 提供商已将其范围扩大到身份威胁检测和响应 ( ITDR ) 以及安全态势仪表板。
障碍
-
根据其最初定义,CIEM 旨在仅解决 CIPS 中多云权限的风险。更成熟的 CIEM 提供商正在扩展到 SaaS和AM目标,并添加 PAM、CSPM 或 ITDR 功能。然而,供应商和客户在了解 CIEM 目前可以提供什么以及该技术将来可能会变成什么样子方面仍面临早期挑战。
-
CIEM在组织中有两个可能的购买中心——IAM 或云安全——需要协调一致。CIEM 计划应由这两个领域中的哪一个负责,这一不确定性可能会延迟采用。
12、零信任策略
效益评级:高
市场渗透率:目标受众的 5% 至 20%
成熟期:成长期
定义:
零信任策略构成了一组核心原则和程序级活动,用于建立基于上下文的自适应访问控制。它将隐式信任替换为显式自适应信任,并与计算出的访问资产敏感性的风险相一致。首席信息安全官 (CISO) 通常定义并拥有零信任策略,并执行零信任计划,以实现组织风险优化的安全态势。
为什么重要
零信任策略降低了攻击者滥用环境中的隐式信任的风险,这些环境可以实现横向移动、利用可用的漏洞并获得特权升级来实现其目标。它将安全控制级别与资源的敏感性相匹配,以改善最终用户体验。此外,它还限制了攻击者通过建立持续信任评估来绕过静态控制的能力。
商业冲击
零信任策略根据网络安全原则建立战略目标,以改善组织的最终用户体验并降低某些网络安全威胁的风险。这是通过用细粒度访问控制替换传统的外围安全方法来实现的。零信任策略可以限制事件发生时的影响,并通过在需要保护的资产附近安装灵活的安全控制来实现企业的数字化转型。
驱动因素
-
信息安全界对零信任策略的过度炒作导致整个组织的部门可见性更高,甚至对于非安全领导者也是如此。
-
对安全事件的战略响应是,攻击者滥用对用户帐户、设备和工作负载的过度信任,导致勒索软件和数据泄露事件。
-
希望通过更具适应性的控制来改善最终用户体验。此外,还需要减轻访问不太重要的资源的负担,同时需要更多上下文来获取更敏感的资源。
-
减少攻击面并限制扫描和利用攻击的策略是隐藏现有网络和应用程序,使其不被发现。
-
希望不再强调用户和设备位置作为单一的弱信任代理。
障碍
-
供应商围绕零信任的炒作往往对其实现组织零信任战略愿景的能力做出过度承诺,但兑现不足。
-
组织对零信任的抵制被解释为对员工不信任。
-
CISO 团队内孤立的战略发展缺乏背景,并且与其他组织目标相冲突。
-
业务领域利益相关者和技术人员所需的参与和可用性限制了使用外包策略开发来克服技能和资源限制。
-
外部限制(例如技术债务和来自不同安全供应商的多种技术的集成)限制了战略范围,并且需要比组织预期更多的资源来实施。
-
零信任策略的结果预期不一致导致组织取代而不是增强现有的安全控制。
13、Kubernetes 安全
效益评级:中等
市场渗透率:目标受众的 1% 至 5%
成熟度:新兴
定义:
Kubernetes安全是指Kubernetes容器编排平台的安全流程、测试和控制的实施。它与单个容器安全性紧密结合运行,但重点关注 Kubernetes 配置和准入控制。
为什么重要
Kubernetes 扩大了组织的潜在攻击面,因为它提供了部署、扩展、监控和管理容器基础设施的功能。攻击面的增加以及开发人员以及托管云环境中 Kubernetes 的广泛采用意味着安全团队需要工具来在这些环境中提供可见性和控制。不安全的 Kubernetes 可能会使容器及其生态系统遭受各种攻击。
商业冲击
Kubernetes是最常见的容器编排平台,并且在很多方面都是事实上的标准。Kubernetes 在访问控制和 RBAC、容器名称空间、Kubernetes 网络、分段、准入控制和其他配置方面涉及非常复杂的问题,需要与容器安全系统紧密配合的自动化工具来保护环境。Kubernetes 安全工具有助于解决这些潜在的风险。
驱动因素
-
容器和 Kubernetes 与 DevOps 风格的微服务的契合性推动了开发人员采用容器和 Kubernetes。这种采用扩大了攻击面,迫使安全团队使用不同的工具和方法来解决编排暴露问题。
-
基于 Kubernetes 构建的容器即服务 (CaaS) 产品正在兴起,例如 Amazon Elastic Kubernetes Service (EKS)、Azure Kubernetes Service (AKS) 和 Google Kubernetes Engine (GKE)。这些需要安全集成来提供覆盖。
-
安全和风险管理领导者必须解决容器编排(主要是 Kubernetes)的安全问题,以减少错误配置和过度宽松的访问。
-
容器环境将攻击面分布在许多容器上,每个容器都是一个唯一的网络端点。东西向流量大幅增加,细分的价值也相应更高。Kubernetes 安全解决方案可以满足这些细分需求。
-
通过有效使用准入控制来限制恶意或易受攻击的容器映像的部署,可以增强左移和一般容器安全性。
-
云原生应用程序保护平台正在整合 kubernetes 安全功能。
障碍
-
Kubernetes 安全性模糊了应用程序安全性、基础设施安全性和容器安全性之间的界限,导致组织内的供应商、产品和职责出现重叠。
-
仅靠 Kubernetes 安全性无法解决容器化应用程序的整体安全性。存在多个其他攻击点。
-
Kubernetes 通常只是架构的一部分,该架构还包括 PaaS,甚至无服务器功能。在这些情况下,团队很难理解整个系统——而不仅仅是 Kubernetes 风险。
-
虽然 Kubernetes 被广泛用于容器编排,但其他编排平台确实存在,并且可能不受 Kubernetes 相同产品的支持。
-
除非 Kubernetes 安全解决方案旨在为开发人员提供最小的阻力,否则它们的采用最多会受到抵制,最坏的情况下会被积极规避。
处于下滑期的技术
14、云原生应用程序保护平台
效益评级:高
市场渗透率:目标受众的 1% 至 5%
成熟度:新兴
定义:
云原生应用程序保护平台 (CNAPP) 是一组集成的安全性和合规性功能,旨在帮助保护开发和生产过程中的云原生应用程序。CNAPP 整合了大量以前孤立的功能,包括容器扫描、云安全态势管理、基础设施即代码扫描、云基础设施权利管理和运行时工作负载保护。
为什么重要
全面保护云原生应用程序需要使用来自多个供应商的多种工具,而这些工具很少能够很好地集成。缺乏集成和自动化会减慢开发人员的速度,并造成风险和摩擦的分散可见性。CNAPP 产品允许组织使用单一集成产品来保护云原生应用程序的整个生命周期。
商业冲击
云原生应用程序保护平台整合了不同的、分散的安全测试和保护工具,这些工具增加了 IT 的成本和复杂性。使用 CNAPP 产品将提高开发人员和安全专业人员的效率。它还将降低复杂性和成本,同时保持开发敏捷性并改善开发人员的体验。
驱动因素
CNAPP:
-
随着云原生应用程序的快速开发、发布到生产和迭代,减少错误配置、失误或管理不善的可能性。
-
融合并减少持续集成/持续交付 (CI/CD) 管道中涉及的工具和供应商的数量。
-
降低与创建安全且合规的云原生应用程序相关的复杂性和成本。
-
促进云安全态势/状态的报告和审核。
-
通过无缝集成到开发流程和工具中的安全扫描功能来提高开发人员的接受度。
-
强调在开发中主动扫描,减少对运行时保护的依赖,这非常适合容器即服务和无服务器功能环境。
障碍
-
擅长运行时保护的云工作负载保护平台(CWPP)供应商不一定擅长集成到开发中,反之亦然。
-
容器和无服务器函数形式的C原生工作负载不需要重量级的运行时保护功能。
-
没有任何一个 CNAPP 产品可以包揽一切。能力的融合将会发生,但需要几年的时间。
-
组织可能会孤立地购买应用程序安全测试工具,这些工具是由管理工作负载运行时保护的不同团队选择的。即使在运行时,也可能有一个单独的团队负责 Web 应用程序保护。
-
云原生应用程序开发方面的组织不成熟可能会抑制采用和碎片购买行动。
-
购买中心和影响者正在转向新的角色,例如 DevOps 架构师和云安全工程,要求信息安全团队与这些用户进行协调。
15、无服务器功能安全
效益评级:中等
市场渗透率:目标受众的 1% 至 5%
成熟度:新兴
定义:
Serverless 功能(也称为“功能 PaaS”)安全技术旨在解决 Serverless 功能保护的独特安全性和合规性要求。全面的解决方案从开发中的主动漏洞和配置扫描、权利和访问检查开始——通常与轻量级运行时保护和行为分析相结合。
为什么重要
无服务器功能可在所有超大规模平台中使用,并且可以作为一种简单且可扩展的方式包含在云原生应用程序中,以实现事件驱动的微服务架构。这些服务对开发人员很有吸引力,但存在易受攻击的代码和环境配置错误带来的风险,同时由于其无服务器性质,很难用传统控件进行保护。
商业冲击
通过确保他们创建的无服务器功能的安全性和合规性,信息安全组织可以安全地支持开发人员驱动的这些技术的采用,而不会减慢相同开发人员的速度。从长远来看,无服务器功能有可能通过将攻击面的重要元素的责任迁移到超大规模企业而不是企业来改善整体企业安全状况。
驱动因素
-
在开发人员的推动下,超大规模企业对无服务器功能的采用正在不断增加。
-
无服务器功能具有差异化的攻击面,从而推动了对安全功能的需求,例如软件组成分析、漏洞扫描、API 安全、正确且合规的无服务器 PaaS配置。
-
当针对功能 PaaS 的新型攻击出现时,无服务器功能安全性具有独特的优势,可以帮助组织检测和响应这些攻击,因为它提供了 PaaS 环境的可见性和安全控制。
-
云权限极其复杂,无服务器功能安全性允许自动检测和修复过度授权的功能,从而增加风险。
障碍
-
在大多数情况下,信息安全人员对无服务器功能的使用视而不见,也没有意识到它们带来的风险。此外,关于无服务器代码的攻击很少被明确记录,这意味着对于投入的精力和资金来说,任何感知到的风险都很低。
-
无服务器功能安全性必须对开发人员产生最小的影响,以避免其采用受到开发人员社区的干扰。
-
在运行时,由于无服务器函数的生存时间只有几秒钟或几分钟,因此除了监控之外,对额外运行时安全性的需求很小。可用的选项很少,缺少使用运行时保护代码注入或包装无服务器函数。
-
无服务器安全工具仍在成熟,跨多个平台的安全部署标准尚未定义。
16、云防火墙
效益评级:中等
市场渗透率:目标受众的 20% 至 50%
成熟度:早期主流
定义:
云网络防火墙提供双向、状态流量检查(出口和入口),以保护不同类型的公有云。它们可以从云基础设施供应商处部署为云原生、作为单独的虚拟实例或在容器中。容器防火墙还可以保护云内或云之间容器之间的互连。
为什么重要
云防火墙适用于公有云和私有云。它们对于保护入口和出口流量至关重要,并且可以提供额外的附加安全功能,例如入侵防御系统 (IPS) 和URL 过滤。安全和风险管理 (SRM)领导者的任务是保护这些不同的环境,而云防火墙是云安全策略的基础。
商业冲击
-
基础设施即服务 (IaaS) 防火墙提供的安全性使组织能够支持数字化转型和合规性要求。
-
工作负载越来越多地从本地转移到云中,云中应该有类似数量的安全性和访问控制。
-
云防火墙是战略混合数据中心计划的关键。
驱动因素
-
云防火墙市场将与IaaS市场同步增长。
-
希望拥有更高级安全防火墙功能(例如 IPS 和 Web 过滤)的 SRM 领导者通常选择使用更高级的云原生选项或第三方最佳解决方案,以获得更好的安全结果。
-
一些 IaaS 供应商与第三方防火墙供应商合作开展联合开发项目,将高级安全功能集成到本机基础设施中,从而提高安全性,而不会增加第三方防火墙经常出现的操作摩擦。
-
SRM 领导者经常使用第三方防火墙虚拟设备解决方案来统一跨混合网络的防火墙策略管理。在这种情况下,网络安全团队在一个防火墙管理控制台和一项策略中拥有“单一事实来源”,从而降低了管理复杂性。
-
随着容器防火墙的功能变得越来越强大,具有安全意识的 DevOps 团队正在选择专门构建的防火墙来保护云内部或云之间的容器之间的互连。
障碍
-
默认情况下,一些IaaS提供商为每个虚拟私有云提供入口/出口网关防火墙。部署IaaS的组织在云部署时具有原生的基本防火墙功能,这对第三方云防火墙构成了障碍。
-
基本的内置云原生防火墙有时缺乏IPS和URL过滤等安全功能。因此,SRM 领导者对于在基本安全工具后面部署关键工作负载犹豫不决。
-
对于选择使用云原生防火墙的 SRM 领导者来说,多个云意味着多个管理控制台,从而增加了管理复杂性和人员压力。第三方防火墙可能会造成严重的操作阻力,使它们对于云架构师和应用程序开发人员来说不是最佳选择。
-
受到严格监管的行业和地区的一些组织对于迁移到云犹豫不决。实施容器防火墙需要改变云容器架构。
17、SASE
效益评级:变革性
市场渗透率:目标受众的 5% 至 20%
成熟期:成长期
定义:
安全访问服务边缘 (SASE) 提供融合网络和安全功能,包括 SD-WAN、SWG、CASB、防火墙和零信任网络访问 (ZTNA)。SASE 支持分支机构、远程工作人员和本地安全访问用例。SASE 主要作为服务提供,并根据设备或实体的身份,结合实时上下文以及安全性和合规性策略,实现零信任访问。
为什么重要
SASE 是现代数字业务转型的关键推动者,包括随时随地工作以及边缘计算和云交付应用程序的采用。它提高了可见性、敏捷性、性能、弹性和安全性。SASE 还主要通过云交付模型极大地简化了关键网络和安全服务的交付和运营。SASE 减少了安全访问一两个明确合作的供应商所需的供应商数量。
商业冲击
SASE 能够:
-
数字业务用例(例如分支机构转型和混合劳动力支持)提高了易用性,同时通过供应商整合和专用电路卸载降低了成本和复杂性。
-
基础设施、运营和安全团队以一致和集成的方式提供丰富的网络和网络安全服务,以支持数字业务转型、边缘计算和随时随地工作的需求。
驱动因素
-
数字业务转型,包括移动员工采用基于云的服务、边缘计算和业务连续性计划,其中必须包括灵活、随时随地、安全、基于身份的 SASE 逻辑边界模型。
-
需要通过零信任安全架构灵活支持数字业务转型工作,同时管理复杂性,这是采用 SASE 的一个重要因素,SASE 主要作为基于云的服务提供。
-
对于 IT 而言,SASE 可以减少新用户、位置、应用程序和设备的部署时间。
-
对于信息安全,SASE 支持通过单一方式在所有类型的访问(互联网、Web 应用程序和私有应用程序)中一致地设置策略实施,从而减少攻击面并缩短补救时间。
-
企业希望通过减少策略引擎和管理控制台来简化网络和网络安全部署。
障碍
-
组织孤岛、现有投资和技能差距:完整的 SASE 实施需要跨安全和网络团队采取协调一致的方法,考虑到更新/更新周期、孤岛和现有员工专业知识,这具有挑战性。
-
本地部署的组织偏见和监管要求:一些客户厌恶云并希望保持控制。
-
全球覆盖范围:SASE 取决于云交付,供应商的云足迹可能会妨碍在某些地区(例如中国、非洲、南美和中东)的部署。
-
SASE 成熟度:SASE 功能差异很大。敏感数据可见性和控制通常是一个高优先级的功能,但许多 SASE 供应商很难解决。虽然您首选的单一供应商可能缺乏您所需的功能,但两家供应商的合作伙伴关系可能是一种可行的方法。
18、防火墙即服务
效益评级:中等
市场渗透率:目标受众的 5% 至 20%
成熟期:成长期
定义:
防火墙即服务 (FWaaS) 是一种作为基于云的服务提供的多功能安全网关,通常用于保护小型分支机构和移动用户。FWaaS 可以使用集中策略管理、多个企业防火墙功能和流量隧道来提供更简单、更灵活的架构,将网络安全检查部分或全部转移到云服务。
为什么重要
混合工作将持续下去,软件定义 WAN (SD-WAN) 和混合 WAN 架构的日益普及,使人们越来越有兴趣使用 FWaaS 来帮助保护小型分支机构并安全地实现混合工作。我们预计这一趋势将持续下去。FWaaS 产品的成熟度各不相同。
商业冲击
-
FWaaS 为小型分支机构或单站点组织提供了截然不同的架构。它通过集中策略、灵活性和降低与完全或部分托管安全工作负载相关的资本成本来提供可见性。
-
FWaaS 支持检查 Web 和非 Web 协议,提供更多出站协议覆盖范围。
-
随着组织从资本支出转向运营支出,FWaaS 改变了预算考虑因素。
-
拥有混合劳动力的组织会发现 FWaaS 可以帮助他们在广泛分布的网络中安全地工作。
驱动因素
-
通过实施 SD-WAN 技术重新构建网络的组织有时希望 FWaaS来保护出站网络流量。FWaaS 还可以支持入站流量用例。
-
FWaaS是大多数 SD-WAN 和安全服务边缘 (SSE) 产品的组件,这使其成为安全访问服务边缘 (SASE) 框架的一部分,有时作为更大的SASE 架构的一部分提供。
-
混合网格防火墙架构可能包括 FWaaS。
-
FWaaS可以解密出站流量以进行大规模检查。替代硬件或虚拟分支防火墙通常缺乏执行此操作的性能。
-
混合工作的持续发展需要让安全服务更贴近员工,以最大限度地减少延迟。
障碍
-
网络防火墙硬件设备构成了最大的安全设备市场。设备方法一直占据主导地位,许多组织有效且高效地使用设备。许多组织缺乏令人信服的理由来更换新的外形规格。
-
安全团队发现一些 FWaaS 解决方案难以实施和管理。新的 FWaaS 部署通常需要专业服务。
-
组织中超过 80% 的出站流量使用 HTTP 和 HTTPS。基于云的 SSE 服务可以大规模保护和检查此流量,以减轻现有硬件防火墙的负担。与重新架构边缘以将所有流量转发到 FWaaS 相比,这使得扩展现有防火墙硬件的投资变得更加容易且成本更低。
-
FWaaS 许可基于每用户每年的订阅定价。对于用户数量较多的大型组织来说,这可能比基于硬件的解决方案更昂贵,因为基于硬件的解决方案可能具有较低的订阅成本,并且可以在资本折旧寿命之外进行部署和使用。
19、云WAAP
效益评级:高
市场渗透率:目标受众的 20% 至 50%
成熟度:成熟主流
定义:
云 Web 应用程序和 API 保护 (WAAP) 是一种可以减轻运行时攻击的技术,开放 Web 应用程序安全项目 (OWASP) 十大 Web 应用程序安全漏洞就是例证。功能包括 Web 应用程序防火墙 (WAF)、分布式拒绝服务 (DDoS) 保护、机器人管理和 API 安全。创新的驱动力是防御因 Web 应用程序和 API 数量增长而导致的不断扩大的攻击面。
为什么重要
拥有本地托管或作为基础设施即服务 (IaaS) 的 Web 应用程序和 API 的组织通常会从安全供应商那里购买云 WAAP 解决方案来屏蔽应用程序和 API。与传统虚拟设备相比,它们的交付和管理更加灵活,因为它们易于部署。微服务架构的激增与持续集成/交付 (CI/CD) 管道相结合,导致 API 使用量快速增长,从而增加了对 WAAP 的需求。
商业冲击
公共 Web 应用程序和 API 是高风险目标。现代应用程序是基于 Web 的,并使用微服务架构构建。API 使微服务能够相互通信以及与面向公众的服务进行通信,因此保护它们非常重要。云 WAAP 解决方案比同类设备更易于使用。云WAAP具有高度可扩展性;它提供集中管理、集中可见性以及与超大规模企业更强的集成。
驱动因素
-
基于 Web 的应用程序和 API正在激增。现代软件开发已经从整体应用程序设计转向微服务架构。基于微服务的设计将单个整体应用程序分解为多个松散耦合的独立软件实例(通常是容器化的)。这些实例通过 API 相互通信,并通过 API 或基于 Web 的协议进行外部通信。
-
有证据表明,越来越多的第 7 层应用程序层拒绝服务 (DoS) 攻击需要强大的应用程序层安全性。
-
对手团体继续使用和改进自动撞库攻击。这些攻击中越来越多地利用机器人。
-
云原生架构的采用正在将买家从传统的设备模型转向云交付的服务。通过采用具有基于云的通用管理界面的云交付服务,可以减轻在每个物理位置部署和管理一组离散设备的负担。
障碍
-
隐私相关:合规性要求可能是组织面临的问题。有些人不信任云解密来记录应用程序流量和与主机相关的秘密。随着云的采用不断获得接受,这种情况可能会变得不那么明显。
-
复杂性:WAAP 的扩展功能集导致许多组织采用托管安全服务,这可能会增加成本。
-
成本:对于不想重新设计其解决方案的组织来说,作为现有 ADC 一部分的 WAAP 产品可能显得更便宜。
-
应用程序适合性:拥有本地应用程序的组织可能看不到云 WAAP 部署的价值,或者青睐统一的管理方法,在这种方法中,他们使用托管虚拟设备为本地和云托管应用程序保留相同的集中控制台。
-
地理存在:区域存在点 (POP) 密度不足可能会导致采用虚拟或本地设备。
处于启蒙爬坡期的技术
20、不可变的基础设施
效益评级:中等
市场渗透率:目标受众的 5% 至 20%
成熟度:早期主流
定义:
不可变基础设施是一种流程模式(而不是技术),其中系统和应用程序基础设施一旦部署,就永远不会就地更新。相反,当需要更改时,只需通过 CI/CD 管道更新和重新部署基础设施和应用程序。
为什么重要
不可变的基础设施可确保系统和应用程序环境在部署后保持在可预测的、已知良好的配置状态。它简化了变更管理,支持更快、更安全的升级,减少操作错误,提高安全性,并简化故障排除。它还支持快速复制环境以进行灾难恢复、地理冗余或测试。这种方法更容易在云原生应用程序中采用。
商业冲击
采用不可变的方法来管理工作负载和应用程序,通过将纠正措施的选项减少到基本上只有一个 - 修复开发管道中的应用程序或映像并重新发布,从而简化了自动化问题解决。其结果是改善了安全状况,减少了攻击面,减少了漏洞,并在发现新问题时加快了修复速度。
驱动因素
-
Linux 容器和 Kubernetes 正在被广泛采用。容器由于其轻量级特性,提高了实现不可变基础设施的实用性,支持快速部署和替换。
-
GitOps 部署模式强调将运行状态持续同步到软件存储库,已成为在基于 Kubernetes 的容器化环境中实现不可变基础设施的有效方法。
-
基础设施即代码 (IaC) 工具(包括第一方云提供商 IaC 工具)越来越多地集成配置偏差检测和纠正,提高了在应用程序的整个堆栈和环境中实现不可变基础设施的实用性。
-
对零信任和其他高级安全态势的兴趣,其中不可变的基础设施可用于主动从已知的良好状态(假设妥协)重新生成生产中的工作负载,这一概念称为“系统工作负载重新配置”。
-
对于云原生应用程序开发项目,不可变的基础设施可以简化变更管理,支持更快、更安全的升级,减少操作错误,提高安全性并简化故障排除。
障碍
-
使用不可变基础设施需要严格的操作纪律,许多组织尚未实现这一点,或者仅针对应用程序的一部分实现了这一点。
-
IT 管理员不愿意放弃直接修改或修补运行时系统的能力。
-
对于无状态组件来说,应用不可变基础设施模式是最容易完成的。有状态组件,尤其是数据存储,代表必须小心处理的特殊情况。
-
实施不可变的基础设施需要成熟的自动化框架、最新的蓝图和物料清单,以及对任意重新创建组件的能力的信心,而不会对用户体验产生负面影响或状态丢失。
-
许多企业应用程序都是部署在虚拟机上的有状态应用程序。这些应用程序通常是现成的商业应用程序,并不是为重新部署时的全自动安装而设计的。
21、NDR
效益评级:中等
市场渗透率:目标受众的 20% 至 50%
成熟度:早期主流
定义:
网络检测和响应 (NDR) 产品通过对网络流量应用行为分析来检测异常系统行为。他们不断分析内部(东西向)和“公共”(南北向)网络的原始网络数据包或流量元数据。NDR 可以作为硬件和软件传感器、软件或越来越多的 SaaS 管理控制台提供。组织依靠 NDR 来检测和遏制泄露后活动,例如勒索软件或内部人员的恶意活动。
为什么重要
NDR侧重于检测异常行为,不太重视检测已知威胁的基于签名的控制。NDR 可有效检测网络流量中的微弱信号和先前未知的行为,例如横向移动或数据泄露。NDR 解决方案扩展到混合网络,添加新的检测。本地提供或通过集成提供的自动响应功能仍然很重要,但事件响应工作流程自动化成为越来越受关注的领域。
商业冲击
NDR 解决方案可让您了解网络活动以发现异常情况。作为许多NDR 产品核心的机器学习算法有助于检测其他检测技术经常遗漏的流量异常情况。自动响应功能有助于减轻事件响应人员的部分工作量。NDR 产品还通过提供有用的上下文和深入分析功能来帮助事件响应人员进行威胁搜寻。
驱动因素
-
检测违规后活动:NDR 通过根据与基线的偏差检测活动来补充传统的预防控制措施。这使得安全团队能够调查因违规而导致的内部人员活动,而无需依赖于先前观察到的相同活动。
-
低风险 — 高回报:实施 NDR 产品是一个低风险项目,因为传感器位于带外,因此它们不代表网络流量的故障点或“减速带”。将 NDR 产品作为概念验证 (POC) 实施的企业通常会表示非常满意,因为这些工具提供了急需的网络流量可视性,甚至使小型团队也能发现异常情况。
-
监控云流量:越来越多的 NDR 供应商通过利用云提供商提供的可用 API 提供监控 IaaS 流量和 M365 的能力。扩大云业务的组织使用 NDR 来避免监控系统之间交互的能力出现差距。
障碍
-
安全运营计划成熟度较低的企业可能很难证明一项技术的费用是合理的,因为这项技术不能简单地通过计算其触发的警报数量来评估。
-
由于存在误报风险,NDR 产品的响应功能很少部署或仅限于特定用例,例如勒索软件。许多组织推迟实施,直到他们了解如何更好地使用 NDR 工具。
-
NDR 正在扩展以支持云中的更多检测,但尚未证明它们是适合该用例的正确工具。
-
任何基于行为的检测工具都不可避免地会出现误报。NDR 工具可能需要对配置进行微调,以减少误报数量,尤其是在部署的早期。这解释了为什么最初很少部署响应能力。
-
NDR与SIEM 和扩展检测与响应 (XDR )等整合平台的预算竞争日益激烈。
22、ZTNA
效益评级:中等
市场渗透率:目标受众的 20% 至 50%
成熟度:早期主流
定义:
Gartner 将零信任网络访问 (ZTNA) 定义为创建基于身份和上下文的逻辑访问边界的产品和服务,该边界包含企业用户和内部托管的应用程序或应用程序集。这些应用程序是隐藏的,不被发现,并且通过信任代理将访问限制为一组命名实体,从而限制了网络中的横向移动。
为什么重要
ZTNA是一项关键技术,用于通过信任代理实现动态用户到应用程序分段,以实施安全策略,允许组织隐藏私有应用程序和服务,并为应用程序实施最低权限访问模型。它通过创建仅包含用户、设备和应用程序的个性化“虚拟边界”来减少攻击面。
商业冲击
ZTNA 在逻辑上将源用户/设备与目标应用程序分开,以减轻完整的网络访问并减少组织内的攻击面。这改善了用户体验 (UX)和远程访问灵活性,同时通过简化的策略管理实现动态、精细的用户到应用程序分段。基于云的 ZTNA 产品提高了安全远程访问的可扩展性和易于采用性。
驱动因素
-
组织内零信任计划的兴起导致需要在本地和云应用程序中进行更精确的访问和会话控制。
-
人们越来越需要现代化和简化传统的 VPN 部署,这些部署针对连接到数据中心环境的静态用户位置而不是位于企业外部的应用程序、服务和数据进行了优化。
-
当混合工作需求超过硬件容量时,需要基于云的 ZTNA 服务来增强本地远程访问方法,以卸载基于硬件的解决方案。
-
一些组织需要在实施精细控制之前获得观察应用程序访问模式的能力。
-
一些组织需要将供应商、销售商和承包商等第三方安全地连接到应用程序,而无需通过 VPN 暴露其整个网络,或者需要将应用程序连接到互联网进行访问。
-
进行并购的组织需要能够将应用程序访问扩展到被收购的公司,而无需部署端点或互连其公司网络。
障碍
-
成本:ZTNA 通常按每个用户/每年按指定用户进行许可,价格大约是传统 VPN 的两倍或三倍。
-
有限支持:并非所有产品都支持所有应用程序。例如,一些基于客户端的 ZTNA 解决方案不支持 UDP 应用程序,无客户端 ZTNA 解决方案通常仅支持 Web、远程桌面协议 ( RDP) 和安全外壳 (SSH ) 协议。一些供应商将 VPN 即服务 (VPNaaS) 称为 ZTNA,但缺乏对某些零信任状态功能的支持。
-
采用仅限于 VPN 替代:基于云的信任代理可能无法在本地扩展策略执行点,与通用 ZTNA 产品相比,使用案例受到限制。
-
访问策略的粒度:组织必须映射用户的应用程序访问权限,但许多组织缺乏这种理解,最终导致访问规则要么太细粒度,要么不够细粒度。
23、微分段
效益评级:高
市场渗透率:目标受众的 5% 至 20%
成熟度:早期主流
定义:
微分段(也称为基于身份的分段或零信任网络分段)可以创建比传统网络分段更精细和动态的访问策略,传统网络分段仅限于互联网协议/虚拟 LAN (IP/VLAN) 电路。
为什么重要
一旦系统遭到破坏,攻击者就会横向移动(包括勒索软件攻击),这可能会造成严重损害。微分段旨在限制此类攻击的传播。它还可以大大减少初始攻击面。
商业冲击
微分段可以减轻网络攻击的风险和影响。它是零信任网络的一种形式,可控制工作负载之间的访问,并用于在攻击者破坏企业网络时限制横向移动。微分段还使企业能够跨本地和基于云的工作负载(包括托管容器的工作负载)实施一致的分段策略。
驱动因素
-
随着服务器虚拟化、容器化或迁移到基础设施即服务 (IaaS),传统防火墙、入侵防御解决方案和防病毒软件等现有防护措施难以跟上新资产的快速部署步伐。这使得企业很容易受到攻击者的攻击,攻击者获得立足点,然后在企业网络内横向移动。这引起了人们对现代数据中心中应用程序、服务器和服务之间东西向流量的可见性和粒度分段的兴趣日益浓厚。
-
零信任正在成为数据中心设计的要求,而微分段是实现这一目标的实用方法。
-
数据中心工作负载日益动态的特性使得传统的以网络为中心的分段策略即使不是不可能应用,也难以大规模管理。
-
一些微分段产品提供丰富的应用程序通信映射和可视化,使数据中心团队能够识别哪些通信路径有效且安全。
-
应用程序向微服务容器架构的转变也增加了东西向流量,并进一步限制了以网络为中心的防火墙提供这种分段的能力。
-
数据中心向 IaaS 的扩展将重点放在基于软件的分段方法上——在许多情况下,使用云提供商的内置分段功能。
-
对零信任网络方法日益增长的兴趣也增加了人们对使用应用程序和服务身份作为自适应应用程序分段策略的基础的兴趣。这对于在基于容器的环境中使用的动态网络环境中实施分段策略至关重要。
障碍
-
复杂性- 如果没有正确规划和确定范围,微分段项目可能会在完成之前失去组织支持。
-
缺乏知识——安全和风险领导者不知道哪些应用程序应该与其他应用程序通信,从而对自动生成的保护规则产生怀疑。
-
传统网络防火墙——一些数据中心拥有网络防火墙,用于更广泛的东西向流量分段,这对于某些组织来说已经足够了。当策略重叠或冲突时,传统防火墙还会给某些基于身份的分段解决方案带来操作挑战。
-
组织动态——采用 DevOps 的以云为中心的组织可能更看重敏捷性而不是安全性,认为任何额外的安全控制都会带来操作摩擦。
-
费用——完全微分段的成本可能很高。许多组织认为微分段是一个全新的预算项目。
24、容器安全
效益评级:中等
市场渗透率:目标受众的 20% 至 50%
成熟度:早期主流
定义:
容器安全是指基于容器的环境中的技术和流程、测试和控制。全生命周期容器安全性从开发开始,评估容器内容、机密管理和容器实例配置的风险或信任。这通过运行时容器分段、威胁防护和访问控制扩展到生产中。
为什么重要
通过提高速度和敏捷性来简化开发,基于容器的应用程序已成为主流。编排平台(例如 Kubernetes)的快速采用使得传统供应商和一些安全团队没有适当的工具来确保安全的应用程序部署。容器安全需要生命周期方法,从开发中扫描容器和运行时保护容器开始。
商业冲击
容器本质上并不是不安全的,但它们的部署不安全,存在已知的漏洞和配置问题。如果没有适当的控制,开发人员可能会将漏洞引入开发以及随后的生产环境中。这可能会使组织面临可避免的风险。此外,安全部门在采用安全容器开发实践和工具方面进展缓慢,导致组织没有意识到潜在风险,也没有准备好应对攻击。
驱动因素
-
开发人员采用容器和 Kubernetes 已将威胁从传统环境转移到容器化环境,迫使安全团队使用不同的工具和方法来应对这些新威胁。
-
容器即服务 (CaaS) 产品,例如 Amazon Elastic Kubernetes Service (EKS)、Azure Kubernetes Service (AKS) 和 Google Kubernetes Engine (GKE) 正在兴起。这些需要安全集成来覆盖它们托管的集群和容器。
-
随着容器的采用不断增加,安全和风险管理领导者需要解决与容器相关的漏洞、可见性、妥协和合规性安全问题。这将有助于满足数字业务和应用现代化的需求。
-
多点解决方案现在可以透明地集成到持续集成/持续交付管道和 DevOps 实践中,以主动扫描容器以查找安全性和合规性问题。然而,组织必须仔细管理这些单点解决方案,以尽量减少它们引入的复杂性。
-
微服务架构正在激增并推动 DevOps 流程中的容器部署,这导致保护环境的部分责任转移给了开发人员。DevOps 管道集成提供了防范这些环境中的供应链和其他开发风险的机会。
障碍
-
容器安全必须从开发开始,但许多安全供应商和企业将容器安全视为仅运行时的问题。更糟糕的是,一些供应商只是在容器上放置一个代理,转发日志并称之为“容器安全”。
-
如果不尽早引入容器镜像治理策略,随着不同的软件产品团队开始实施自己的容器镜像构建流程,应用标准就会变得越来越困难。
-
组织和团队可能会因为担心破坏应用程序和业务而拒绝使用主动运行时容器安全性。
25、远程浏览器隔离
效益评级:低
市场渗透率:目标受众的 20% 至 50%
成熟度:早期主流
定义:
远程浏览器隔离 (RBI) 将不受信任的内容(通常来自互联网)的呈现与用户及其设备分开,或将敏感应用程序和数据与不受信任的设备分开。当用于防御不受信任的内容时,RBI 可以显着降低泄露的可能性,因为大量攻击已转移到用户和端点。当用于保护敏感数据和应用程序免受非托管设备的影响时,RBI 有助于降低与 BYOD 相关的风险。
为什么重要
B rower 隔离将端点与其正在访问的 Web 服务之间的会话保持隔离,从而降低恶意软件和数据丢失的风险。当端点访问 Web 内容时,RBI 会阻止 Web 传播的恶意软件直接传递到端点。RBI 也可以反向发挥作用。在通过云访问安全代理 (CASB) 进行 SaaS 访问或通过零信任网络访问 ( ZTNA )进行内部应用程序访问等使用案例中,它可以保护敏感数据和应用程序免受不受管理和可能受感染的设备的攻击。
商业冲击
如今,大多数攻击都是通过公共互联网进行的,要么通过网页浏览提供的漏洞利用,要么通过电子邮件链接诱骗用户访问恶意网站。将浏览器从最终用户的桌面连接到在单独位置运行的另一个浏览器可以提高现有安全工具的效率。RBI 保护还可以扩展到保护从非托管设备访问的私有和 SaaS 应用程序,从而减少数据泄露的威胁。
驱动因素
-
许多组织希望通过使用隔离作为安全服务边缘 (SSE) 内的正向代理、反向代理和私有应用程序的策略操作来建立自适应零信任状态。
-
通常需要对托管和非托管设备应用恶意软件防护和数据保护。
-
与依靠缓慢的静态阻止列表来阻止有针对性的攻击相比,隔离网站是提高安全性的更有效方法。
-
允许隔离访问未分类的网站,而不是阻止它们,可以减少用户摩擦。
-
可以隔离外部解析的基于电子邮件的 URL,以防止针对员工的网络钓鱼攻击。
障碍
-
最终用户经常提到,当为所有站点部署 RBI 时,体验很差,导致一些组织将 RBI 限制为仅针对某些类别的站点。
-
市场上几乎没有独立的 RBI 供应商,这限制了选择,因为大多数 RBI 选项现在都作为安全访问服务边缘 (SASE) 和 SSE 平台的功能包含在内。
-
本地化基于云的多租户 RBI 的浏览体验需要将 IP 地址分配与 VPN 出口点或本地存在点进行区域性组合。
-
RBI 是额外的防御层,需要额外的成本,因为它很少完全取代其他安全控制。
-
大多数 RBI 产品都是基于软件和云交付的,这限制了寻求本地、基于硬件的隔离选项的组织的选择。
-
RBI 无法防止允许下载到端点的受感染内容。需要文件防病毒和沙箱、PDF 转换、远程查看器以及内容解除和重建 (CDR) 等机制。
进入高原期的技术
26、CSPM
效益评级:高
市场渗透率:目标受众的 20% 至 50%
成熟度:早期主流
定义:
云安全态势管理 (CSPM) 产品通过预防、检测和响应云基础设施风险来持续管理 IaaS 和 PaaS 安全态势。CSPM 产品的核心应用通用合规框架、监管要求和企业策略来主动和被动地发现和评估云服务配置和安全设置的风险/信任。如果发现问题,则会提供修复选项(自动或人工驱动)。
为什么重要
现代IaaS/PaaS环境的复杂性使得验证安全配置变得极其困难。即使是简单的错误配置问题(例如开放存储对象)也会带来重大且通常无法识别的风险。现代云部署的速度和规模加剧了配置错误的影响,如果没有自动化,就不可能有效地解决云风险。这是一个紧迫的问题,也是推动这一类别快速增长和成熟的一个问题。
商业冲击
尽管 IaaS 和 PaaS 部署的速度、复杂性、动态性和规模很大,CSPM 产品仍可为业务和安全领导者提供保证,确保他们的云服务以安全且合规的方式实施。对于拥有多云战略的企业,CSPM 产品提供了一种跨多个 IaaS 和 PaaS 提供商实施和监控安全性与合规性护栏的单一方法。
驱动因素
-
成熟的供应商现在提供多种成熟的产品。
-
超大规模企业提供内置 CSPM 功能,适用于具有有限多云支持的单云部署。
-
大多数云原生应用程序保护平台 (CNAPP)、云工作负载保护平台 (CWPP) 和安全服务边缘 (SSE) 供应商现在通过收购或开源集成提供 CSPM 功能。
-
CSPM 工具提供了一个抽象层,允许跨多个云进行一致的策略管理。
-
有多种开源软件可供选择,也有企业级产品可供选择。
-
大多数新兴的 CSPM 平台都利用图形和关系映射技术来实现丰富的风险优先级、攻击路径模拟、检测和取证用例。
-
现在,大多数供应商都提供全栈风险可见性,并了解工作负载本身的漏洞,这通常是通过拍摄正在运行的工作负载的快照来实现的。
障碍
-
CSPM 市场正在成熟和整合。
-
新兴的 CNAPP 产品包含 CSPM 功能,并提供更长期、更集成的方法。
-
市场越来越多地寻找左移并提供基础设施即代码扫描功能的工具。并非所有供应商都提供此功能,或者他们仅提供一组有限的基础设施即代码脚本语言。
-
许多邻近市场都提供 CSPM 功能,这使得最终用户很难选择最佳方法。
-
没有标准的方法来修复已发现的问题,并且方法各不相同。
-
组织不愿意从基于 SaaS 的 CSPM 产品(需要读/写访问权限)启用自动修复,而更喜欢在自己的云服务提供商租赁的上下文和控制范围内进行修复。
附录
技术成熟度曲线阶段、效益评级和成熟度水平
表2 :技术成熟度曲线阶段
| 阶段 |
定义 |
| 创新触发点 |
突破、公开演示、产品发布或其他活动会引起媒体和行业的极大兴趣。 |
| 期望过高的顶峰 |
在这个过度热情和不切实际的预测阶段,技术领导者进行的一系列广为人知的活动带来了一些成功,但随着创新被推向极限,也带来了更多的失败。唯一赚钱的企业是会议组织者和内容出版商。 |
| 幻灭的低谷 |
由于创新没有达到其过度夸大的期望,它很快就变得过时了。除了一些警示故事外,媒体的兴趣逐渐减弱。 |
| 启蒙斜坡 |
越来越多样化的组织进行集中的实验和扎实的努力,使人们真正了解创新的适用性、风险和收益。商业现成的方法和工具简化了开发过程。 |
| 生产力高原 |
创新的现实好处得到了证明和接受。随着工具和方法进入第二代和第三代,它们变得越来越稳定。越来越多的组织对风险水平的降低感到满意;采用的快速增长阶段开始了。当该技术进入此阶段时,大约 20% 的目标受众已经采用或正在采用该技术。 |
| 主流采用的时间 |
创新达到生产力高原所需的时间。 |
资料来源:Gartner(2023 年 8 月)
表3 :效益评级
| 效益评级 |
定义 |
| 变革性的 |
实现跨行业开展业务的新方式,从而导致行业动态发生重大转变 |
| 高的 |
支持执行水平或垂直流程的新方法,从而显着增加企业的收入或节省成本 |
| 缓和 |
对已建立的流程进行渐进式改进,从而增加企业的收入或节省成本 |
| 低的 |
稍微改进难以转化为增加收入或节省成本的流程(例如,改进用户体验) |
资料来源:Gartner(2023 年 8 月)
表4 :成熟度级别
| 成熟度级别 |
地位 |
产品/供应商 |
| 胚胎 |
在实验室 |
没有任何 |
| 新兴 |
供应商的商业化 行业领导者的试点和部署 |
第一代 高价 大量定制 |
| 成长期 |
成熟的技术能力和流程理解 超越早期采用者的采用 |
第二代 减少定制 |
| 早期主流 |
成熟的技术 供应商、技术和采用迅速发展 |
第三代 更多开箱即用的方法 |
| 成熟主流 |
强大的技术 供应商或技术没有太大发展 |
几家占主导地位的供应商 |
| 遗产 |
不适合新开发 迁移成本限制了替代 |
维护收入重点 |
| 过时的 |
几乎没有使用过 |
仅限二手/转售市场 |
资料来源:Gartner(2023 年 8 月)