图片1:瑞星工程师王占涛
图片2:趋势科技全球高级副总裁暨大中华区总经理张伟钦
图片3:Websense技术顾问陈纲
核心提示:从2008年到2009年,安全市场对“云安全”的追捧可谓登峰造极。各种各样理念的“云安全”从天而降,再从概念快速演变成产品,“云安全”的市场化进程看似已经超越了以往任何一门IT技术。然而,“云”的光环反而让安全技术本身披上了太多神秘的面纱,“云安全”到底是什么?它真的成熟了吗?它又能带来何种商机?
从08年到09年,信息安全市场对“云安全”的追捧可谓登峰造极。各种各样说法的“云安全”从天而降,再从概念快速演变成各种产品,“云安全”的市场化进程看似已经超越了以往任何一门IT技术。然而,“云”的光环反而让安全技术本身披上了太多神秘的面纱,“云安全”到底是什么?它真的成熟了吗?它又能带来何种商机?就让我们褪去它的光环,看一看在噱头、炒作背后那个真实的“云安全”。
为何“云计算”这个名词在走出书本之后,一夜之间就变成了整个IT业空前一致的发展方向?这当然不是一个偶然,事实上我们今天已然耳熟能详的“云计算”在其诞生之前,IT行业中各类和“云”有关的技术储备和市场储备就已开始,只是有些被“养在深闺人未知”,而更多的则是被冠以了不同的名称或是没有被体系化的提炼出来。正如趋势科技大中华区副总裁张伟钦曾说过的,直到“云计算”概念被提出后,他们才发现原来趋势已经做了几年的技术储备可以被称为“云安全”。
换新装的老技术
2008年,因为瑞星、趋势科技两家公司几乎同时把他们当年所推出的新款防病毒产品与“云安全”结合到一起,“云安全”也由此开始迅速成为防病毒市场的一块“新招牌”。
其实,这块所谓的新招牌对大多目前已推出“云安全”产品的防病毒厂商而言,却是一个真真正正的“老技术”。瑞星技术专家王占涛告诉记者,早在2003年瑞星研发卡卡产品的时候,分布式计算、网络采集这些技术就已经开始被应用到新产品中了,而今天看来这些技术正是今天的“云安全”。早在几年前,几乎现在所有涉及“云安全”技术的厂商,就都对通过分布式计算去解决传统防病毒技术的瓶颈,有了相同的共识,并且成为他们参与市场竞争的重要储备。
“云安全最重要的技术特点在于其分部式运算的强大能力和客户端的安全配置精简化,也就是用户们经常谈到的瘦客户端发展趋势。而这点对于企业用户而言确实具有明显的安全性提升和降低客户端维护量的优势。本身云安全技术也提供了对未知威胁的评估和防御推送能力,因此在安全防御级别上无疑是明显的进步。”Fortinet中国区技术总监李宏凯曾经提出过的这一观点,直到现在依旧是信息安全界对“云安全”技术本身的共同认知。
可见,“云安全”并不神秘,它更称不上是什么新的技术。只不过因为“云计算”概念的出现,为分布式计算找到了一个恰当的诠释,所以那些早已开始在企业级市场中应用的基于分布式计算的安全架构和防御技术,也随之找到了一个更恰当的诠释方法。而这些安全技术在没人给他们重新命名之前,看上去也并没有什么特别之处,甚至包括趋势科技、Fortinet在内的很多安全厂商,都已经在研发、应用或是储备这样的技术,以便能增强他们在企业级市场产品的竞争力。
云安全标准缘何如此多变
自“云安全”概念被提出后,各种和“云安全”沾边的产品就迅速充斥了市场,而“云安全”的定义也随之出现了五花八门的版本。至今,业内关于真假“云安全”的口水战甚至还在继续。
但如果仔细观察不难发现,目前“云安全”标准的多变主要还是市场利益驱动的结果:一方面,在各种炒作之下,“云安全”几乎成了安全厂商能否跟上形势的标志,在各种市场利益的驱使下,“云安全”必然难免“变调”,就如当初软件领域人人皆SaaS一样,“云安全”走到今天,也开始在安全领域的各个角落被不断提及,而且自然会形成“公说公有理,婆说婆有理”的局面。另一方面,“云安全”又不仅仅只是技术,它既然已经进入了市场,就必然要考虑投入产出比的问题,当其去面对不同的层次的市场用户时,过去那套针对高端市场的标准化概念又该如何保持下去,所以在其市场化的进程中,“云安全”标准的多变似乎又是一种必然。
在王占涛看来,当前“云安全”概念的不统一正是其市场化的必然结果。不同的厂商具有不同的市场优势,而不同性质的用户又会有不同的应用,不管是这个安全技术被如何定义,它归根结底还是要基于用户的应用特点去展开,所以在不同的市场,大家对云安全的理解和投入方式必然会产生不同的看法。“有些厂商的市场优势在企业级用户,这类用户的网络应用特点和个人用户的网络应用特点自然是完全不同的,不同的应用所对应的有效的安全技术自然也是完全不同的,所以对云安全进行刻板的定义是毫无价值的。不管是什么样的安全技术,客户看的是效果,而不是你采用什么技术。另外,务实的商业行为是,不能光考虑舆论,还要考虑性价比,需要理性的投入。针对不同的市场,这种投入自然也不会是相同的。”同时他还表示,就个人用户这个市场而言,虽然“云安全”目前看似百家争鸣,但实际上主流厂商都是在按照相类似的发展轨迹前行。
目前,“云安全”技术也仅仅处于起步阶段,我们不如把它看作是一种新的安全服务模式,本身不同产品防御范畴的定义就不尽相同,所以各种“云安全”产品的实际防御效果和用户的体验自然也是不一样的。不管当前“云安全”的定义如何幻化,一个个“云安全”被包装的又是如何华丽,其最终都必须接受市场的评判。当然,也会在其被市场化的过程中逐渐实现规范化。
是否被市场低估
在热闹的炒作中,渠道和用户反而对“云安全”日趋麻木,很多渠道商都曾反应,感觉“云安全”越来越概念化,它的市场价值似乎也并不突出。那么,在概念背后,云安全到底又有多少实质价值呢?
从技术层面来看,“云安全”之所以热度高,主要因为这个技术本身联合了两个领域:云计算和基于网络的威胁防御。但是这两年来,防病毒市场之所以无人不谈“云安全”,更多的还是因为云计算可以解决爆炸式增长的网络威胁问题,并且把过去在客户端的巨大防御压力转移到网络中。对防病毒市场而言,“云”技术的应用实际意义重大,它不仅是目前化解传统技术瓶颈的最佳方法,应用“云”技术的防病毒产品带给用户的实际体验也出现了巨大的改观。但是正如业内一位技术专家所说的那样,这种变化在渠道或者用户层面或许还不容易被理解,因为毕竟“云”技术的应用目前依旧要受限于以往的安全体系,而体现到某个产品之上,大多用户也只能刚刚感觉到病毒或者木马好像变少了。所以,目前“云安全”的价值被市场低估也在所难免。
所以,就目前的市场而言,“云安全”并没有真正释放出它的能量,但从今年年初的一些市场变化来看,“云安全”的处境或许有望改变。因为自09年下半年开始,企业级市场的云计算热开始出现了很多变化。同之前几年相比,云计算开始确确实实收获到一些在用户端的发展,甚至IBM的云计算平台也已经在石化、政府等行业获得了实际的突破。而VMware公司大中华区总裁宋家瑜也曾经表示,从其在2009年接触到的用户对虚拟化和云计算的接受度及应用模式来看,2010年将是云计算的爆发期。另一个明显的改变则是,前几年在市场上还稍显疲软的虚拟化技术的应用,已经出现了逆转式的变化。对安全市场来说,这个被视为构建云计算架构基础的技术,正在衍生出一个全新的安全课题,而它的进一步扩展正是“云计算”系统的安全问题,这也是当初被大多业内人士一致看好的更有意义的“云安全”发力的契机。
市场能量正在释放
从这个概念被市场关注到它真正走入市场,“云安全”只用了一年多的时间就完成了这一进程。而且,从目前的市场反应来看,大多数在产品中引入“云安全”技术的厂商,都已经开始获得了市场的回报。这似乎说明,用户与渠道反馈的迷惑,可能大多还是来源于市场对“云安全”概念的过度宣讲,而“云安全”产品本身还是受到了市场的认可。
据悉,从2008年提出“云安全”战略以来,趋势科技去年60%的销售额就都来源于他们的云安全产品了,张伟钦告诉记者,大多渠道和用户看的是安全产品的效果,所以他们可能并不那么重视产品背后所应用的技术,所以与“云安全”相关的产品能在这么短的时间内被客户认可的原因:一个是成本,一个就是效果。
此外,在趋势科技今年的渠道大会上,他也坦言,“云安全”战略的实施,已经为趋势科技挽回了不少核心渠道,而在没有提出“云安全”这个概念时,防病毒市场的渠道流失现象要远高于现在的情况。“有一些曾经离开了趋势的行业渠道商,在我们提出‘云安全’战略后,又找了回来,希望可以和趋势继续合作。而导致这些渠道回归的根本原因,正是他们看到了身边经销‘云安全’产品的其他渠道,都在赚钱,而且业绩越来越大越好。”
他强调,特别是在趋势提出云安全3.0的战略之后,趋势又为渠道打开了一扇通往虚拟化市场的大门,现在不仅已经陆续有新型的高端市场合作伙伴正在和趋势接触,其渠道的业务,也在这个领域同步进展着。
同样因为“云安全”技术的应用而获得巨大市场进展的,还有像Websense这样一直关注Web安全及内容安全的厂商。
Websense技术顾问陈纲表示,因为“云安全“技术完全不同于传统软、硬件解决方案,所以Websense的“云安全”产品在投入市场后,产品的易用性和云端特性,已经让Websense的市场合作伙伴发生了新的变化,由于一些新类型的合作伙伴不断加入。Websense在二、三级城市的影响力已经开始因“云安全”产品的上市而逐渐加大。
此外,Websense2009在SaaS上取得的成功也在证明“云安全”策略的成功。它不仅帮其收获了数百万活跃的最终用户,近期其SaaS服务的市场份额也迅速上升,在Web安全SaaS市场排名前六位的供应商中,Websense的增长速度已经居于榜首。
“云安全”的市场推力来源于“云”技术本身的优势。目前,业内看好云安全模式的原因,也是因为它对用户而言实现方便、运维成本低廉,但却可以在拥有这两种收益的同时,获得更好的体验。在技术日新月异,竞争也异常激烈的安全市场,目前“云安全”产品为渠道提升用户信任度和拓展商机方面的能量正在被释放出来。
厂商开始避虚就实
或许是看到了市场热炒“云安全”后带来的不良影响,2010年的“云安全”市场也在发生很多积极的变化。一开年,不少安全厂商已经明显表现出了对“云安全”避虚就实的态度,意图转变“云安全”过于虚幻的市场印象。
据王占涛透露,瑞星在2010版中应用的全新虚拟机技术,和过去的虚拟机技术相比,确实有巨大的突破,否则瑞星也不敢声称它是世界上最快的专业反病毒虚拟机,而这背后也凝结了瑞星四、五年的技术积累。所以,在其2010版“云安全”产品的发布会上,瑞星对其后台技术的宣传显然已经盖过了“云安全”。
Websense对“云安全”的态度也开始务实起来。他们的看法是,在涉足“云安全”市场的过程中,“云安全”的实体化进程更为关键。陈纲告诉记者,“云安全”技术的应用必须建立在充分考虑客户需求的基础之上才能不虚幻。所以,面对中大型客户的需求,Websense正在开始为客户提供与边界防护融合的“云安全”产品,让用户对“云安全”技术的应用变的更加方便。他表示,目前Websense的客户甚至可以将云安全的管理与企业边界现有的Websense产品管理进行融合,使得管理策略、告警、报告等可以统一实现。“我们更看重未来客户在享受Websense Web安全保护时可以得到一种新的选择,一种效果相同却投入更少的选择。Websense目前在做的事,并不是去宣讲云安全概念,而是让渠道和客户进一步去了解传统软、硬件产品及解决方案与‘云安全’产品的优势对比,如它们的防护效果、实施成本、维护成本等,以便让渠道和客户可以更简单的做出选择。”
除此之外,趋势科技在“云安全”领域的投入规模和投入力度也一点不“虚”。09年其发布云安全2.0战略时,当时对“云安全”的总投入已经达到4亿多美金,也是业内首家投入了34000台服务器组成庞大云端的安全厂商。
由此可见,一些厂商已经意识到,“云安全”这个噱头在运作市场的过程中已经不那么重要,能否保持其“云安全”的竞争力,最终还要看技术上的积累和投入这些更有份量的砝码。
企业级市场进入变革期
据权威机构的调查显示,企业级市场在云计算和虚拟化方面的需求将会在2010年呈现出大幅度的增长趋势,而“云”的安全问题则更是已经成为排名在第二位的市场焦点。企业级市场发生的这些变化,是否能让“云安全”技术的应用现状出现新的转机呢?
事实上,部分业内厂商确实认为“云安全”真正的市场时机已经到来,并且纷纷加快了他们行动的步伐。新年伊始,趋势科技就提出了“云安全3.0”的战略,声明其“云安全”技术的重点已经开始转向虚拟化系统的安全问题,EMC的安全部门RSA更是宣布已经将其众多核心安全技术内嵌入虚拟化系统中。
张伟钦认为,虚拟化技术的广泛应用,意味着“云安全”技术可以走入一个更有前景的发展空间。“长久以来,安全产品都是在旧有的安全体系上去进行叠加,虽然趋势的云安全1.0和2.0,在背后都有很好的技术在支持,但是所能体现出来的效果还是有局限性的。而虚拟化和云计算的出现,带来的是一个可以重新去构建一个新的安全体系的契机。这正是让‘云安全’能量爆发的机会。”
而EMC信息安全事业部RSA全球总裁亚瑟.W.科维洛对此也有类似的看法,在他看来虚拟化技术为“云安全”提供了一个全新的应用起点。“云安全”在市场层面的意义,主要是为用户节约安全的成本,而现在因为虚拟化技术还处在一个成长期,它的安全体系还未真正成形,所以如果在其“执行和诞生的同时”,就把安全策略的管理框架内嵌在虚拟操作系统中,用户可以感受到的安全的成本及效率将会与当前完全不同,而“云安全”的市场价值也会随之改变。“我们和VMware虚拟机制的内嵌集成工作已经开始了,不仅包括现有的控制节点的安全技术,还有安全策略的执行框架,以及我们的SIEM安全信息和事件管理的技术,都已经开始和VMware的虚拟化产品在进行集成。”
正如业内一位专家所言:“谁先进入云计算这个市场,谁就将在未来有更多的话语权”。在全球市场,“云计算”都还仅仅处在一个起步阶段,而虚拟化技术在国内市场也才刚刚走出市场培育期,但这对所有投身到“云安全”中的安全厂商来说,却可能成为一个改写格局的机会。因为真正的“云安全”论战,必然将在虚拟化这个战场中展开。
渠道操盘“云安全”
在“云安全”产品刚刚进入市场的时候,渠道层面的反响其实并不强烈。很多人对这个概念还有疑惑,特别是在企业级市场,很多渠道也不太敢拿自己的用户去为这些“新技术”试水。不少厂商反应,当时一些有技术能力也相对更有远见的渠道,对把“云安全”产品引入市场确实起到了关键的作用。当然,这些渠道自然也是最先尝到“云安全”产品甜头的人。
“用户其实并不看重你产品背后的理念或者是你采用了什么样的新技术,因为只需要上线测试,看看效果就能比出谁高谁低。当时,我们只是把采用‘云安全’技术的设备送过去进行测试,而用户一看实际的病毒日志,就马上理解了云安全技术的效果。”一位来自黑龙江的渠道告诉记者,如果去和用户强调产品的先进理念,用户只会把你“挡在门外”。对于客户还不了解的产品,没有什么营销手段能比让他去实际体验更好的了。
思路由公司总经理许罡对此也持相同的看法,只是和一些渠道不同,他很早就看好两个概念:一个是云计算;一个是虚拟化。他认为虽然“云安全”是云计算的延伸,但当时早期炒作中的“云安全”,还只是停留在软件上,这样的产品会过于概念化,而如果“云安全”应用在硬件上,才能体现出其产品化的价值。
当然,虽然是第一个吃螃蟹的人,但开拓市场还得以稳健为原则。思路由的第一个“云安全”项目特意选择了一个老用户进行测试。许罡坦言:“刚开始时工程师心里也没底,怕影响网速,没有将‘云安全’功能打开,后来发现这种顾虑完全是多余的,打开‘云安全’功能后网速反而更快了,因为将Web信誉计算放在‘云’端,大大节省了本地网络开销。”
不少渠道其实是和用户一起,通过亲身体验才意识到“云安全”价值的。所以,张伟钦也表示,每一次“云安全”战略的升级,确实都会让渠道对新技术的应用再次产生困惑,这也是“云安全”技术快速发展的必然,但每一个升级带来的同样也是全新的市场机会。比如其3.0战略中对虚拟化系统安全的布局,就会把其渠道的市场引入一个更广阔的领域,占领未来“云计算”市场的先机。当然,渠道的投入也必不可少。
在“云安全”市场的成长阶段,“云安全”为渠道所带来的商机其实不仅仅只限于一些更有效的软、硬件安全产品,它还可能是更多的合作模式,更多进入某些高端行业市场的契机。当然,在“云安全”时代,渠道还需要具备一定的魄力和勇气,因为“有投入才能有产出”将成为“云安全”渠道操盘的不二法则。而对于目前市场上鱼龙混杂的“云安全”产品,渠道商在选择合作伙伴时同样要擦亮眼睛,运行效果重于任何先进理念。
