2020年中国云主机安全市场报告.pdf

1 报告标签：自适应、云原生、人工智能、超速响应、架构适配沙利文市场研读 | 2020/12 报告提供的任何内容（包括但不限于数据、文字、图表、图像等）均系头豹研究院独有的高度机密性文件（在报告中另行标明出处者除外）。未经头豹研究院事先书面许可，任何人不得以任何方式擅自复制、再造、传播、出版、引用、改编、汇编本报告内容，若有违反上述约定的行为发生，头豹研究院保留采取法律措施、追究相关人员责任的权利。头豹研究院开展的所有商业活动均使用 “头豹研究院 ”或 “头豹 ”的商号、商标，头豹研究院无任何前述名称之外的其他分支机构，也未授权或聘用其他任何第三方代表头豹研究院开展商业活动。头豹研究院弗若斯特沙利文咨询（中国） 2020年中国云主机安全市场报告 2020 China Cloud Workload Protection Market Overview 2020年中国安全市場報告 2 2020 LeadLeo 中国：云安全系列沙利文市场研读 | 2020/12 报告说明沙利文谨此发布中国云安全系列报告之 2020年中国云主机安全市场报告年度报告。本报告旨在分析中国云主机安全产品发展现状、产品特点、技术动向及发展趋势，并识别中国云主机安全市场竞争态势，反映该细分市场领袖梯队品牌的差异化竞争优势。 2020年第四季度，沙利文联合头豹研究院对云安全领域核心产品进行了下游用户体验调查。受访者来自泛互联网、金融、医疗、教育、制造、物流等多个行业，所在公司规模不一，细分领域有别。本市场报告提供的云主机安全趋势分析亦反映出云安全行业整体的动向。报告最终对市场排名、领袖梯队的判断仅适用于本年度中国云主机安全发展周期。本报告所有图、表、文字中的数据均源自弗若斯特沙利文咨询（中国）及头豹研究院调查，数据均采用四舍五入，小数计一位。报告摘要功能横向拓展、纵向深化主流云主机安全品牌采取 “四合一 ”的产品形态，依托多引擎工具，横向拓展病毒查杀能力，纵向细化资产清点颗粒度，深化信息关联能力。合规基线一键部署能力和基线自定义功能或为用户潜在需求。安全能力精益演进技能细化是云主机安全价值提升的核心策略，多元技术集成有助于安全产品实现功能开放和一致性管理；未来 10年，中国将诞生一批专精于 1-3条产品线的中小型新锐云安全品牌。从零和游戏趋向合作共赢新型网络安全环境下，更多厂商从数据孤立、各自为营转向情报互通的数据合作，实现情报数据的最大化价值；此外，厂商可通过产品公测的形式间接实现与攻防领域优秀人才的合作，训练产品，树立品牌口碑。云原生技术实际应用用户业务多云部署趋势下，云主机安全能力与云原生技术架构适配的颗粒度将细化，推动多云架构、跨云架构下统一安全管控的实践，最终建成主动适配云原生各项技术的安全运营中心。沙利文市场研读 3 2020 LeadLeo 中国：云安全系列沙利文市场研读 | 2020/12 目录中国云主机安全市场综述 - 05 云主机安全基础能力 - 05 云主机风险简述 - 06 中国云主机安全价值链简析 - 07 云主机安全价值链 - 07 云主机安全能力拓展 - 08 中国云主机安全市场结构 - 09 云主机安全市场规模 - 09 云主机安全用户特征 - 10 中国云主机安全市场发展现状简析 - 11 云主机安全定价模式 - 11 云主机安全技术特点 - 12 中国云主机安全发展趋势 - 13 从零和竞争趋向合作共赢 - 13 云原生技术的实际应用 - 14 中国云主机安全市场竞争 - 16 中国市场非本土品牌简析 - 16 云主机安全竞争力评价维度 - 18 云主机安全综合竞争力表现 - 19 中国云主机安全领袖梯队 - 20 方法论 - 24 法律声明 - 25 4 2020 LeadLeo 中国：云安全系列沙利文市场研读 | 2020/12 China Cloud Workload Protection Market Overview - 05 Common Attacks on Cloud Workload - 05 Basic Function of Cloud Workload Protection - 06 China Cloud Workload Protection Value Chain Analysis - 07 Cloud Workload Protection Value Chain - 07 Core Technology of Cloud Workload Protection - 08 China Cloud Workload Protection Market Structure - 09 Cloud Workload Protection Market Size - 09 Cloud Workload Protection User Feature - 10 China Cloud Workload Protection Market Status - 11 Cloud Workload Protection Pricing Mechanism - 11 Cloud Workload Protection Technical Feature - 12 China Cloud Workload Protection Market Outlook - 13 Zero-sum Competition to Win-win Cooperation - 13 Practical Application of Cloud Native Technology - 14 China Cloud Workload Protection Market Landscape - 16 Non-local CWP Brands in Chinese Market - 16 Cloud Workload Protection Brand Rating Index - 18 China Cloud Workload Protection Competitive Landscape - 19 China Cloud Workload Protection Leadership - 20 Methodology - 24 Legal Statement - 25 Contents 5 2020 LeadLeo 中国：云安全系列沙利文市场研读 | 2020/12 当前云主机安全基础防护功能以监测、检测、告警为主要目的，资产清点、入侵检测 2大功能是决定品牌竞争力的核心模块，云主机安全功能颗粒度和稳健性决定用户粘性中国云主机安全市场综述云主机安全基础能力资产清点、入侵检测构成核心模块资产清点是云主机安全的核心功能模块，不同品牌资产清点的内核能力呈现较大差异，主要在细粒度、准确度、速度三个维度拉开差距。以青藤云安全为例，其资产清点功能具备出众的向下钻取能力和数据点关联能力，受到下游用户依赖，并推动安全工具向安全管理工具进阶。入侵检测功能对应黑客攻击行为的颗粒度（检测锚点分类设置）决定检出能力高低。成功的黑客入侵行为平均需要 5至 8个步骤完成，入侵检测模块对攻击流程设定的检测维度、检测指标颗粒度越细，越能够帮助用户在恶意入侵事件早期实现检出，采取阻断措施。基于 “四合一 ”主流形态，推动功能演进当前，主流云主机安全品牌采取 “四合一 ”的产品形态，并逐步于资产清点、风险分析、入侵检测、合规基线四项模块基础上，结合开源引擎、自研引擎、第三方引擎等，横向拓展病毒查杀能力。在纵向层面，厂商可通过细化资产清点细粒度，提高信息关联度的途经构建安全运营能力。此外，合规基线模块升级配备一键部署能力和基线自定义能力是下游用户潜在需求所在。云主机安全基础能力：以资产识别、入侵检测为核心当前全球范围和中国市场，云主机安全资产清点模块兼具资产运维管理能力的品牌占比不足 10% 高级威胁平均检测周期资产识别：搭建完整、细粒度主机资产清单风险识别：专业风险评估入侵检测：强化多渠道检测，强化快速响应能力持续检测攻击防御合规基线设置资产运维资产清点威胁情报多引擎检出持续检测合规自定义 10% 0% 60%30% 中度资产清点服务对云主机安全整体服务营收贡献约为 20%，具备管理能力的资产清点功能对营收贡献可达约 30% 20%-30% 高度提权检测横向移动检测主要入侵事件发生频度应用场景对检测能力需求强度漏洞弱密码应用风险账号风险低度 0% 100% 凭据检测持久攻击检测 50% 实现方式：伪代码入侵事件 /检测能力发生频度或需求强度 Day1 Day200 高级威胁缓解周期系统恢复周期威胁持续检测周期 Day170 Day39 Day43 云主机安全产品可根据威胁特征及行业属性设立安全基线，消除攻防地位不对等的问题 6 2020 LeadLeo 中国：云安全系列沙利文市场研读 | 2020/12 随 IT产业和云服务市场快速升级扩容，云端主机、设备端主机面临的攻击面扩大， AI算法的应用显著提高安全产品风险对抗能力，但变种攻击和未知威胁的预测仍为难点中国云主机安全市场综述云主机风险简述身份认证及权限许可漏洞注入配置错误漏洞链接后置错误漏洞授权错误漏洞未充分验证数据漏洞路径遍历漏洞缓冲区错误配置漏洞加密不当漏洞信任机制漏洞政府机构金融服务领域电信领域教育领域大健康领域制造业领域科技领域交通与旅游领域传媒娱乐领域其他专业服务 Linu x 默认 SSH 远程连接端口 W ind ow s 远程桌面服务端口 W ebL og ic 默认服务端口 SS DP Di sco ve ry 服务端口 445 端口弱口令危险主机账号病毒感染云主机安全应用于下游各类场景面临风险类型及频度由浅至深对应风险发生频率多云、跨云（公有云、私有云、混合云）网络环境日趋复杂，云主机攻击面持续扩大多云环境下，云主机系统遭受恶意攻击的频率上升，云主机被成功入侵平均时长缩短至约 20小时。带有开放端口和漏洞的云端主机成为黑客攻击的首要对象。云主机面临的安全漏洞包括资源管理问题、代码失误、配置错误、代码注入等，补丁修复缺失的资产漏洞成为入侵突破口。云主机端存在大量易受攻击的资产端口（包括远程连接服务端口、远程桌面服务端口、数据库端口、邮件服务端口等），亦面临较高的勒索病毒及病毒变种攻击风险。此外，云主机软件弱密码、高危账号（开放 Root权限）、补丁修复不及时等问题使得恶意网络攻击行为潜在控制面持续扩大。高危端口类型高危漏洞类型其他 7 2020 LeadLeo 中国：云安全系列沙利文市场研读 | 2020/12 传统边界安全防护理念已无法满足安全产业下游复杂业务场景的网络安全运维需求，基于云主机安全构建完整的全端、全场景计算安全产业成为网络安全人的共同目标中国云主机安全价值链简析云主机安全价值链多渠道扩容威胁情报数据库，挖掘产业链上游价值安全情报数据库是云安全产业价值链上游的 “活水之源 ”，在网络安全厂商独立维护安全数据库之余，第三方安全情报平台的出现丰富了产业链上游的竞争形态，安全厂商情报数据互换的合作方式则让安全数据资产的价值得到最大发挥。构建完整的计算安全产业链，实现网络层、文件层、应用层全面可信未来，网络安全厂商将打造更加丰富的大云主机安全产品形态。鉴于开发场景和真实应用场景存在差异，云主机安全需要实现全端全场景覆盖（传统 PC、 Serverless PC、 IoT等）。传统被动防护模式（特征匹配、发现病毒）将由具备主动防御能力的多云主机安全模式替代，在主机网络层依托微隔离、 IP账户防爆破封禁等机制实现网络级别可信，通过文件完整性保护机制、文件防篡改机制实现文件级别的可信，另外可结合 RAAS应用层保护机制实现应用级别的可信，最终构建从网络到到操作系统、文件和应用的全面可信。此外，中游安全闭环需扩大智能运维能力的覆盖面，以应对高级形态的网络攻击（如 APT等），降低下游业务场景的安全运维成本。云主机安全形态持续演进，融合云原生能力构建产业链生态高级形态强调主动防御、病毒查杀能力，云原生环境下动态防御云原生工作负载平台安全适应物联网、云计算等新 IT架构，逐步实现云主机安全与云原生技术的全景融合查杀型云主机安全云主机安全基于四项基本功能，依托病毒数据库展开威胁狩猎，提高安全自动化程度防御型云主机安全主动防御型安全服务重点在于降低云主机面临的攻击面，支持用户行为级别的检测初级形态持续优化基本监测、监测能力，以查为主检测型云主机安全检测型安全防护主动出击，从预防恶意行为入侵的加固行为拓展至检测和快速响应应用型云主机安全应用型主机安全服务支持漏洞补丁管理、漏洞数据管理等防护工具的使用，应用实效增强基础云主机安全支持基础云端主机加固功能，防止核心资产被篡改、盗窃、破坏、删除，保证系统基础安全价值链影响云主机安全产品形态的持续演进意味着更高成本的产品性能和服务，多元技术集成将推动产业链效应形成，有助于实现安全产品长链价值云主机安全服务成本变动：以检测型及防御型成本为基准进行加减平均成本 +1 平均成本 -1 -1 -1 3 2 +1 +1 单位 1代表浮动区间为 30%-50% 8 2020 LeadLeo 中国：云安全系列沙利文市场研读 | 2020/12 云主机安全功能演进呈现出以安全管控、稳健部署、用户灵活自定义为导向的特点，且在底层与云原生融合深化、与多云架构全面适配，在应用层呈现态势可视的交互效果中国云主机安全价值链简析云主机安全能力拓展追查攻击外联路径的溯源能力超过 80%的勒索行为利用弱密码、系统漏洞等完成入侵，勒索行为恶意脚本在云主机中隐藏并横向扩散，云主机安全基于 ATT&CK检测模型形成勒索追踪能力，溯源链路延伸至勒索行为外联路径。防容器逃逸检测能力容器部署环境下，攻击行为从容器逃逸到底层承载节点、宿主机或逃逸到其他容器和节点的行为更为常见，部分高级攻击行为甚至能够穿破多租户，影响所有虚拟机用户。容器逃逸防范工具依赖规模化检测能力和底层 I/O数据检测能力。对非云原生安全厂商而言，容器逃逸防范能力实现难度更高。自定义基线检查能力当前，各大厂商云主机安全基线检查功能基本满足用户遵循等保 2.0、 CIS等安全规范的需求。对于单一的、带有行业属性的自定义基线需求，厂商可根据用户所属行业政策规定，提供定制化服务。未来，更强的差异化基线检查能力或体现在云主机内置安全规则与安全等级规范匹配的细化程度，高颗粒度的规则自定义部署或耗费安全团队大量时间成本和人力成本。基于安全防护的安全管理能力安全运营管理能力是安全防护能力的升级与集成，云主机安全的资产清点功能天然具备管理属性，高级形态的资产清点将帮助用户更加明确网络安全产品与资产的对应关系，提高安全运维性价比。以云原生技术应用为导向的云工作负载平台能力拓展在实现容器环境软、硬件平台基础设施安全的前提下构建容器技术全栈安全，彻底防范容器逃逸用户自主设定符合行业特性的基线配置规则最大化降低安全合规管理成本外联路径溯源基线自定义云原生安全中心容器安全云主机安全能力拓展预期最短成熟时间预期最长成熟时间 10年0年 20% 营收贡献预期技术随产品成型而快速成熟实现周期较长快速嵌入其他安全模块，持续发展实现难度高，铺排周期长 50% 10% 15% 捕获攻击源并有效应对溯源反制手段，最终形成全场景攻击者画像，云上多端点画像同步发挥云动态调度、自动伸缩特性，服务多云环境高频安全防护场景，保证平台层与租户层体验一致性 9 2020 LeadLeo 中国：云安全系列沙利文市场研读 | 2020/12 2019 2020 2021 2022 2023 2024 病毒查杀资产清点风险识别入侵检测合规基线网络安全市场整体呈现较强的碎片化特征，云主机安全细分市场或成为网络安全领域第二个防火墙赛道，未来 5年，云主机安全细分市场规模年复合增长率将保持在约 30%的水平中国云主机安全市场结构云主机安全市场规模云主机安全市场规模处于上升增长期云主机安全构成云安全市场的核心。 2019年起，更多厂商加入云主机安全赛道，推动该细分市场快速扩容，云主机安全将成为网络安全领域第二道防火墙。沙利文数据显示， 2020年上半年，云主机安全市场规模在云安全市场整体规模中的占比达到 40%以上。未来 5年，预计该细分市场将实现约 30%的年复合增长率。下游市场刚性需求显著，云主机安全市场增长潜力高云主机安全市场增长迅速，具备可观的潜在扩容空间。当前，多数下游用户仅在核心资产完成云主机安全的部署，多数用户亦选择层层递进的模式铺排云主机安全能力。未来随 IT架构升级和云服务环境更加成熟，中小型企业对更多付费功能的需求将逐步凸显。整体而言，云主机安全市场的增长空间存在于：下游用户品牌推荐行为和背书效应带来新生用户增长；用户更多核心业务将完成在云上的部署，核心资产对安全需求升级；云主机安全模块能力升级，新功能打开新的议价空间；网络安全等级保护升级，政策层面对安全国产化的引导利好市场份额的保有和提升。中国云主机安全市场规模构成及衍生功能营收贡献， 2019-2024年衍生功能营收贡献预期约 32亿元基础合规基线中国云主机安全市场规模（按营收计）年复合增长率 2019-2024年 28.7% 中国云主机安全市场具备增量扩容空间，商业机会存在于新生用户增长、 License付费模式被动收益、运营商合作推广等方面基础资产清点自定义合规基线资产管理 15.2% 37.2% 12.6% 23.8% 11.2% 2024云主机安全营收结构预期（ %） 11.0% 53.6% 10.7% 21.5% 3.0% 合规基线模块衍生基线自定义能力，成本费用较高，需求量有限资产清点模块衍生资产管理能力，升级成本低，需求增量大 50% 病毒查杀 2019云主机安全营收结构（ %） 10 2020 LeadLeo 中国：云安全系列沙利文市场研读 | 2020/12 数字化转型背景下，中国市场将出现更多高安全属性、高产品性能需求的政企用户，随着下游业务上云、多云部署并于云上迁徙，用户对安全产品兼容能力的要求或成为核心中国云主机安全市场结构云主机安全用户特征云主机安全用户共性及特性下游用户基于行业安全规范、业务安全需求部署云主机安全产品。鉴于主机、云主机承载大量核心业务资产，用户普遍对产品安全性能要求较高。大型企业用户业务场景复杂且实力雄厚，偏好轻量级 Agent模式的云主机安全形态，用以应对中上层复杂攻击问题。对中小型企业而言，云厂商提供的云主机自带基础安全功能已基本满足日常业务需求，故而更偏好安全配置管理加固服务。此外，部分行业数字化转型需求更高，对安全属性要求高，是云主机安全服务天然适合铺排的领域。中国云安全用户应用场景复杂度居全球高位当前，低成本的恶意攻击行为已形成黑色产业链，并随应用场景持续衍生变种。中国政企机构在遭受各类恶意网络行为攻击后，愈发意识到网络安全范畴的重要性。从安全 4层墙至 7层墙，后起的中国用户对安全工具的应用复杂度远高于境外市场。同类型交易平台、社交平台面临的安全挑战在中国市场和海外市场不可同日而语。基于应用场景差异，以色列网络安全厂商 Check Point将中国网络安全市场定义为高增长性、高复杂度市场。基于应用层纷繁复杂的安全需求，厂商需更加注重在研发阶段考虑云主机安全解决方案的适配性，融入 DevSecOps的理念。取长补短，为私有云用户提供完整安全解决方案未来 10-20年，网络安全必是 IT领域需求增长最显著的领域。随下游用户核心业务接续上云，利用 AI 能力完成安全自动化部署将成为下游用户刚需。用户关键敏感业务在云上的防护必为关注重点，未来，云厂商可取长补短，以集成商的角色为用户提供完整安全解决方案。中国云主机安全用户结构及用户云主机安全预算占比中国云主机安全私有云场景节点部署占比中国云主机安全公有云场景节点部署占比私有云场景构成云主机安全用户多数（以节点计）公有云场景云主机安全用户（以节点计）稳步快速增长 60% 40% 各领域占比（ %）云主机安全预算占安全总预算比重， 2020H1 ，（ %）2019 政府金融教育制造医疗 2020E 24.9 各领域占比（ %）云主机安全预算占安全总预算比重， 2020H1 ，（ %）2019 2020E 泛互联网游戏传媒 30.3 19.8 8.1 10.9 23.5 28.1 20.5 10.3 12.6 35.3 31.6 15.1 私有云公有云 35 40 40 10 15 39.3 33.8 17.9 25 35 15 其他 11 2020 LeadLeo 中国：云安全系列沙利文市场研读 | 2020/12 云主机安全支持多元计费模式，不同品牌计费灵活度差异较大；提高产品性价比、开放度、兼容性和自定义水平是赢得潜在用户、实现用户转化、保持用户粘性的关键中国云主机安全市场发展现状简析云主机安全定价模式厂商定价模式颗粒度不同，用户友好水平显差异当前，常见的云主机安全计费模式包括使用周期计费、按需付费、 License付费、订阅付费等，不同厂商在云主机安全配置规则、数量、版本等维度也存在计费方式的差异。就使用周期维度而言，目前腾讯云和华为云支持更加用户友好的付费方案，腾讯云主机安全最小时间颗粒度细化至天，华为云推出的按需付费模式则支持以小时为计费单位。此外，用户是否有权自定义云主机安全配置的范围也体现出厂商计费灵活度的差异。基本模块保持稳定计费，云原生化功能模块或具有更高溢价空间根据下游实际情况分析，按套购买模式更能为用户创造成本效应。而 License模式、订阅模式则有利于厂商实现持续盈利，获得被动销售保障。沙利文判断未来 3至 5年，用户将初步实现云上灵活迁徙，安全产品多形态定价策略有助于吸引多云用户、跨云用户，收割多云环境下用户迁徙红利。远期，为持续提高用户转化率，厂商之间需要加深合作。沙利文判断，厂商云主机安全套餐与其他云环境兼容越高，盈利机会越大。此外，根据用户在既有云上的安全配置方案，厂商可提供客制化兼容分析服务，为用户规划性价比最优且能对既有云主机安全方案实现补短的方案，为用户节省成本，取得规划付费收益及潜在用户转化收益。云主机安全定价：定价灵活度升级路径仅提供付费服务灵活度升级：支持试用，部分检测功能免费开放试用功能灵活度付费周期灵活度免费版（检测） + 付费服务免费版（检测 +防护） +付费服务方案强制全部资产部署安全服务，欠缺对用户资产属性的考虑试用服务按时间计算，在低频度使用场景中不具备优势试用服务更加贴合下游业务场景，按检测条数核算的方式更人性化支持用户自定义核心资产部署云主机安全，提升服务性价比采用按需计费模式，时间周期细化至小时级别；试用版服务提供部分防护功能；支持定向、单项功能选择，按功能模块计费试用条数 +按需计费（小时）自选核心资产部署试用周期 +按天计费全部资产部署灵活度升级方案：免费版在提供基础检测能力之余免费支持部分核心防护功能灵活度升级方案：在周期、部署范围、功能选择等方面采取差异化定价措施试用条数 +按天计费自选核心资产部署云主机安全定价方案灵活度变化 12 2020 LeadLeo 中国：云安全系列沙利文市场研读 | 2020/12 技术细化是云主机安全核心价值提升的关键所在，多元技术集成有助于安全产品实现功能开放和一致管理；未来 10年，中国将诞生一批专精于 1-3条产品线的新锐安全品牌中国云主机安全市场发展现状简析云主机安全技术特点综合化能力与专业化能力的两级分化安全技术的精细化、多样化和技术集成三因素驱动下，云安全产业的发展呈现出综合化和专业化两端极化的趋势，并与此同时趋于标准化。综合化意味着云安全产品形式和种类愈加丰富，专业化意味着单个产品、应用能力的细化，功能更加专一，云平台本身将集成和固化更加广泛的基础安全配置。当前，安全产业仍然以面向大 B企业用户开发综合型产品为主，传统边界网络安全厂商多数遵循大产品路线，但未来随更多 SME业务上云，多云环境下的专业化安全产品将成为主流，更多新锐网络安全厂商将着眼于 1至 3个产品线进行深耕。精益：安全防护技能颗粒度细化随网络安全业务走向成熟，云主机安全防护技能呈现出由粗粒度向细粒度演进的特点。传统防护模式下，安全工具基于 IP进行扫描检测，而随零信任理念的推行，在最小信任原则下，云主机安全从每流、每 IP“一检查、一授权 ”升级为每数据包 “一检查、一授权 ”。此外，基线检查从软件检查发展为版本检查，升级为每版本漏洞检查。在授权层面，使用权限的定义由指定人变为指定时间，再细化至当前 “定人 +定时 +定职 ”的机制，最大限度发挥身份认证工具的有效性。多元：技术手段趋于全面 IP用户对云端和设备端主机安全防护技术手段升级的要求较为明确和显著。云主机安全不断嵌入更加丰富和完善的技术能力。以漏洞扫描为例，传统漏扫行为在主动模式下完成，云主机安全则具备被动扫描手段，在云上实时监控、捕捉网络流量，通过流量识别提高漏洞扫描和监控的效率。再如，云主机安全支持代理扫描技术，支持通过客户端代理扫描流量、发送报告报文，或通过主动发送嗅探包，伪造 P2P传输协议等方式主动探索、识别恶意流量。进阶：防范技术向管控技术过渡管控能力是基础安全防护能力的集成和升级。云主机安全可通过将资产清点模块升级为资产安全管理模块的方式实现防范向管控的过渡。多数产品在资产识别层面的能力仅限于判断软、硬件资产的性质，而管控意味着出具全景可视的资产地图（如特定 IP区域装载的虚拟机、数据库数量和类别等），对资产损坏率、折旧率、更新率等出具定期报告，在资产盘点环节即可实现对恶意网络行为的防范，最大程度提升安全管理功能在技术层面和用户层面的体验一致性、不同平台安全管配的统一性，加深云安全在不同平面的联动防护。文件安全配置、无文件恶意软件识别、事件 +情报高级取证、容器安全、内存攻击检测阻断、微服务安全等专业化极化：深耕方向 20 综合化极化：覆盖下游行业 10 多区域云环境安全管理基于态势感知的大屏安全中心 13 2020 LeadLeo 中国：云安全系列沙利文市场研读 | 2020/12 新型网络安全环境下，更多厂商从数据孤立、各自为营转向情报互通的数据合作；此外，厂商可通过产品公测的形式间接实现与攻防领域优秀人才的合作，训练产品，树立口碑中国云主机安全发展趋势从零和竞争趋向合作共赢多渠道联动协作：安全情报价值最大化沙利文数据显示， 2020年上半年，全球范围网络安全厂商获取威胁情报的渠道以公开情报源、专业威胁情报供应商为主（超 70%的安全团队采用前述两种方案）；采集开源情报的安全厂商占比接近 60%；与其他安全厂商达成威胁情报战略互换关系的安全团队、独立构建威胁情报数据库的安全团队数量相较 2019年上半年分别有近 10%和约 5%的提升。安全厂商通过与各类安全情报供应商（专业情报团队、同业安全团队）能力结合，可助力下游用户间接获取更多威胁情报，实现情报数据价值最大化。此外，在中国网络安全市场，更多本土与非本土安全厂商之间展开合作，非本土厂商加快情报数据库在中国的落地。以色列知名防火墙厂商 Check Point认为： “零和竞争在网络安全行业不再是战略导向，厂商之间达成战略合作成为常态，情报库多渠道实时更新将显著提升云上和云下终端的智慧程度 ”。 “众人拾柴 ”：通过公测集成多形态样本，实现品牌效应 IT行业面临更加复杂的需求，下游应用场景纷繁复杂，网络攻击及其变种形态快速迭代，与此对应，安全厂商的实时防护能力需要更快速地晋升。安全厂商核心产品能力公测以青藤云安全为例， 2020年 3月，青藤云安全以自研雷火引擎（基于反混淆等价回归算法的 Webshell检测引擎）为测试对象，设置 100万奖金池，开展为期 1个月的公测活动。作为安全防护领域的顽疾， Webshell网页后门形式简单且易于变形，黑客使用成本低，但难以彻底防护。青藤云安全于此次公测汇集 22个漏洞响应平台、超 1,000名顶级白帽子，完成与超过 32,000个 Webshell样本的动态对抗，最终检出率为 99.54%。出色的检出成绩树立青藤云安全在未知威胁对抗领域的品牌标杆形象。通过公测，厂商收获形态丰富的样本，其安全引擎核心算法（推理运算、虚拟运算等）得到新一轮深度训练，应对攻击样本变形和混淆问题的能力迅速强化。对安全产业整体而言，公测活动带动的行业新风范或倒逼更多的安全厂商专注磨练产品核心技术。相对第三方评测机构的静态样本检测模式 ,公测活动营造的安全对抗环境更能凸显 “动态对抗 ”价值。公测活动在助力厂商扩大品牌影响力、获得行业认可的同时，与攻防领域专业人才对抗的实战场景对产品表现带来挑战。 14 2020 LeadLeo 中国：云安全系列沙利文市场研读 | 2020/12 中国云主机安全发展趋势云原生技术的实际应用用户业务多云部署趋势下，云主机安全能力与云原生技术架构适配的颗粒度将细化，推动多云架构、跨云架构下统一安全管控的实践，安全产品将主动适配云原生技术云主机安全从技术演进、技术环境两个维度适配云原生架构云主机安全与云原生架构适配主要体现在两个维度：首先在于技术演进的适配。随着终端服务器向虚拟机过渡，虚拟机升级为 Serverless容器，大主机架构持续演进，传统安全管控模式和系统思维不足以支撑云上安全运维系统的全面构建。面对新的基础架构，云安全产品是否能够主动适配并且细化适配颗粒度将成为考量云安全产品性能的指标。其次在于技术环境的适配。中国国产化操作系统开发取得可见进展，国产化芯片（鲲鹏、昇腾等）快速迭代，相关行业政策更加强调安全自主可控。为适应国产化大趋势下的安全合规要求，满足国产操作系统和芯片深层的安全需求，网络安全产品线要与技术环境全面适配。云主机安全技术演进，推动云原生安全运维中心的构建云原生统一安全中心的构建需要安全左移、自动化维护、安全数据同步等能力的支撑，云主机安全产品轻量化 Agent自动化部署能力、情报数据汇聚形成的资源池、资产清点模块自带的安全运营属性将对云原生安全运维中心的构建起到对标支持作用。在此基础上，云主机安全协同镜像安全、运行时安全、编排安全等容器解决方案，可全面应对多云架构、跨云架构下的新型安全挑战，主动适配更加复杂的云上、云下业务环境。云主机安全应用：可实现商用的云原生技术 /功能成熟度云原生安全运营中心云工作负载平台保护容器安全解决方案 20%0% 40% 60% 80% 100% 20%0% 40% 60% 80% 100% 微服务应用软件持续快速集成、快速交付自动化编排、响应 DevOps 宿主机 Agent技术 API自动化响应 DevSecOps 平行容器技术数据驱动：云上情报数据湖注：色块长度代表该项技术从初级到成熟所需花费的周期，长度越短，成熟越快多云、跨云安全统一管控 15 2020 LeadLeo 中国：云安全系列沙利文市场研读 | 2020/12 16 2020 LeadLeo 中国：云安全系列沙利文市场研读 | 2020/12 1-2 境外网络安全品牌：深化与中国市场的融合策略，调整在安全产业链中扮演的角色全球范围内，北美地区云计算业务头部品牌如亚马逊、微软、 IBM等依托自身在云原生领域的技术积累和先发优势，快速渗透云安全产品线，意图领导服务器安全、容器安全产业发展路线。头部云厂商的安全战略对全球云主机安全产品形态和发展方式具有参考价值。全球化趋势演进的背景下，中国云安全市场重要性不可同日而语，中国本土边界安全品牌的进步、中国云厂商的渗透以及新锐优秀品牌的竞争不断挤压境外品牌在中国的网络安全市场份额。境外厂商遵循中国网络安全规则的程度、与中国本土市场融合的策略，以及境外厂商在中国云安全产业链中扮演的角色将决定其品牌是否可在日趋激烈的竞争中取得一席之地。传统竞争模式下，境外品牌集中关注中国网络安全产业链的中游市场，未来，中国国