未来已来 云上安全SaaS化势不可挡

就在前几天，笔者看到一则新闻，摩根斯坦利分析师 Robert Lin 认为，阿里巴巴已经成功地从一家电子商务公司转型为一家数据公司，理应获得更高的估值，就像美国的亚马逊一样。在这个看似平常的结论背后，业界可能已经感受阿里云二次飞跃的种种征兆。

数据从企业传统的数据中心流向云端，这是大势所趋，谁拥有数据，谁就统治市场，这是IT规律，而最值钱的就是数据，那么保护云上业务和数据安全就成了每家CSP在安全方面的头等大事。

就像所有人都知道安全SaaS化时代来临是理所应当一样，伴随着各类安全SaaS战略合作的开始，安全领域值得浓墨重彩书写的变革已经悄然而至。

安全SaaS，你可以理解成Security Software as a Service，亦可以是Security as a Service，两种理解虽有差别，但是对最终用户而言，交付的都是持续安全。

狼真的来了

搁在三年前，人们对安全SaaS的态度差不多还是爱理不理，安全SaaS喊了很多年，但始终处在“只听楼梯响，不见人下来”的阶段，大部分传统安全厂商听多了“狼来了”的喊声后，耳朵里茧子都老长老长，索性两耳不闻窗外事，一心只干传统活。

有人提及，正如淘宝把中国的零售业搬到线上一样，云计算未来会把整个中国的IT采购搬到线上，这其实是一个很大胆的想法，SMB行业将IT采购搬到线上是没有太大阻力的，但是政府机构和大型企业要做到这点，其实还有很长的路要走。当然笔者也同意云计算替代IDC这个说法，正是因为这个替代关系，使得传统硬件设备无路可走，所以对于安全厂商而言，将安全设备虚拟化或者SaaS化就成了它们的最佳选择。

安全产品及服务从On-Premise开始，有钱有资源的大甲方，比如传统领域的全球500强以及互联网巨头，他们的安全建设通常就是On-Premise模式。再到IaaS，国内一些行业主管机构，比如电子政务办，统一建设数据中心并统一部署边界安全防护设备和基础安全设备，如防火墙、抗D等等，这种模式可以算IaaS模式。然后就是PaaS，像一些单位的信息中心，各业务部门申请计算资源时，信息中心会按需提供已进行安全加固的OS系统，业务部门只需要在上面部署自己的业务应用就OK了。

而云安全的归途之一就是安全SaaS，将安全软硬件变成服务，你不用再买软硬件调策略，一键带你走向人生巅峰。当SaaS成为网红时，可以想象得到安全细分领域的各路美女也会纷至沓来，FWaaS、SIEMaaS、IDSaaS、ScanaaS，你认识的不认识的，具体画面大家自己脑补一下，安全SaaS真要好好感谢软件即服务培育的用户认知和市场基础。

当然传统安全厂商里边也有听风者，作为传统安全Vendor的三驾马车之一，绿盟科技在SaaS领域发力迅速，在云平台上已经上线漏扫和网站安全两款SaaS产品。

狼真的来了，安全SaaS化一定会迎来一个爆发式的黄金时期，是2016年还是2017年，我们不得而知，但我们知道去盒子化的浪潮已经来领。

X因素

安全市场经过近20年的发展，传统硬件盒子堆砌起来的壁垒是相当之高，相信绝大多数安全厂商更愿意卖盒子而不是服务，出货量大，利润高，人力成本低，而且采购盒子可被企业视为固定资产，服务则没有这些优势，特别是安全服务，在自动化程度相对来说没那么高的时候，一个坑里埋一个萝卜是最普遍的现象，盒子建立的产品模式壁垒需要慢慢地推倒。

去盒子化的第一大动力是是IT架构的变迁，传统IT架构云化也带来了安全模式的变迁。云计算环境下，边界不再明晰，传统安全防护体系需要革新，纯硬件模式显然无法适应云环境，这使得受宠二十年的盒子大军突然意识到自己廉颇老矣饭量差劲。

经过SaaS浪潮的洗礼，大部分客户已经开始认同这种拧开水龙头就能用水的SaaS服务，部分将业务部署到云端的传统巨头企业也尝试着购买SaaS服务，当然安全SaaS也在其中。云上用户数量的大幅增长，势必会刺激到传统安全厂商进行自我革新，于是我们便能见到On-Premise和SaaS并存的Mixed模式，用户通过购买安全SaaS服务一键开通，从此再也不用安排一个女汉子扛个盒子楼上蹿楼下挥汗如雨了。

这几年关于安全认知最大的改变其实是防护地位的变化，以前绝大多数的安全资源都投入在防护层面，各家各户都试图从攻防对抗角度去消除风险，但事与愿违，安全投入事倍功半效果不理想，摔得鼻青脸肿才意识到自己被攻防对抗带进了坑里，再牛的团队也无法保证自己能扛住所有的攻击。

既然这样，只能是加大安全检测和响应的投入了，这也正是Gartner预测的在未来几年，安全监测和响应类的产品和服务增速会提升，企业的安全预算会从防护慢慢倾斜到检测和响应上来。那么讲到这里，大家都明白了去盒子化的另一个驱动力是用户对监测和响应能力需求的提高，而传统的封闭盒子无法满足要求。

笔者认为去盒子化会促使安全SaaS愈演愈烈，而CSP应该是最早感受到安全SaaS时代来临的那一批人。

Consolidation

还有观点认为单纯地将安全设备虚拟化可能脱离了整个云计算的生态，笔者的理解是未来的云上安全应该是通过整体的一站式虚拟管理平台进行控制，简单的虚拟化确实会带来糟糕的用户体验，而安全SaaS的最终归宿应该是CSP提供给用户的管理平台。

摩根斯坦利有一个观点，它认为Consolidation是未来5年安全趋势的一个关键词，Consolidation提了很多年，没想到最终会先在云上实现。Consolidation包含安全集成、协同和统一的意思，云安全SaaS化正是通过和CSP进行高效的集成来实现Consolidation，而这次集成整合的载体则是CSP。

Consolidation还意味着更少的安全厂商做更多的事情。

一个更少，意味着CSP能够提供为基础设施提供部分安全功能和服务，另外可以选择更全面更合适的安全生态合作伙伴，在这里CSP可以把握安全生态合作伙伴的准入门槛，更少也意味着更优质，也表示协同云上安全架构的管理和运营成本更少。

一个更多，希望CSP本身与更少的安全生态合作伙伴能够展开更深入的协同和集成，通过Consolidation化来提升安全管理效率。多个安全功能通过CSP平台进行融合集成之后，安全效率会得到更大的提升，跨功能间的信息共享和自动化处理会更顺畅。

安全SaaS的新趋势

正如CSP所强调，云上客户的业务和数据安全保障是CSP安全团队的首要目标，但凭一己之力来解决所有的安全问题无疑是一个巨大的挑战，说白了是一个不可能完成的任务，因此建设安全生态成了CSP不二之选，这同样也是CSP巨头关于安全的战略性选择。

之前读过朋友圈转发的一篇文章《基础设施软件已死》，标题虽然有些吓人，但文章算是看清了产品和服务本质区别，CSP到底算产品公司还是服务公司，在云计算逐步替代传统IDC的今天，相信大家心里都有了答案。Gartner的分析师Sid Deshpande等人也基于调查写了一篇市场分析文章：《Market Trends：Are Cloud Providers Becoming Security Vendors?》，其实文中观点和《基础设施软件已死》相互呼应。

用户不关心云环境的基础设施基于什么软件搭建和运行，他们更在乎服务高质量交付，而基础设施安全也是交付的一部分，CSP在交付云计算服务的同时，基础设施安全是它们必须正面面对的一个领域，而安全作为云服务的基因，需要融入到云计算基础设施的生命周期，从这个角度来看，云计算基础设施安全只有CSP自己才能搞定，依靠外力始终会有欠缺，这正是Gartner抛出这个观点的依据之一。

在成都的云栖大会上笔者看到阿里云对安全生态界线进行了定义，更多基础的共性安全需求由平台提供，而垂直的个性化、行业性安全需求则由生态合作伙伴提供，这个观点与Gartner不谋而合，其实也是当前云计算环境下最有效的安全解决途径，最终受益的还是客户。

结尾

IT架构变迁驱使安全产品革新，经过云计算浪潮的洗礼和冲击，市场安全需求正逐步从产品形态切换到服务形态，这意味着更多的安全厂商会从封闭的盒子思维里挣脱出来，投身到安全SaaS的革新大军中。安全SaaS时代已然降临，希望持续交付的安全SaaS服务会普惠云上用户，也希望未来的云上环境会更加美好。

====================================分割线================================

本文转自d1net（转载）