本文精選2023年業務發展勢頭預計仍然強勁的10家海外云安全廠商，簡要分析其代表產品的功能與優劣。原作者的劣勢分析寫得不痛不癢，但也可以理解。10家企業包括Fidelis（DevSecOps）、Skyhigh（安全服務邊緣）、Lacework（CNAP）、Qualys（合規）、Palo Alto（云工作負載保護）、Symantec（CASB）、Tenable（漏洞管理）、Trend Micro（混合云安全）、Netskop（整體云安全）、Zscaler（高級威脅防護）。

注：括號內為該企業最擅長的領域。

Fidelis Cybersecurity（DevSecOps）

Fidelis于2021年收購CloudPassage，并創建Fidelis CloudPassage Halo云安全平臺，為公有云、私有云、混合云提供自動化安全與合規監控，幫助安全團隊統一管理云基礎架構、IaaS、PaaS、服務器、容器應用及工作負載。該公司還提供一系列network安全解決方案，能夠滿足多樣化需求，但容器和PaaS安全最為突出。

Halo平臺支持集成SOC，實現云環境安全可視化，同時提供持續的合規性監控，保證云基礎設施和工作負載符合數據隱私法規。

關鍵功能：

• 三大模塊：Fidelis CloudPassage Halo是一個單一平臺，但包含3個模塊，包括Halo Cloud Secure、Halo Server Secure和Halo Container Secure，均按使用級別授權。
• 監控與合規功能：對本地、公有云、混合云環境中的工作負載進行監控并作合規檢查。
• 基礎安全功能：文件完整性監控、漏洞掃描與修復、基于日志的入侵檢測是其中比較突出的功能。
• 身份管控：自動識別給定工作負載或配置是否以及何時違反相應策略，這是一個很多同類產品不具備的差異化特點。
• 云平臺支持：支持在AWS、Azure和GCP等云環境中運作。

優點：

• 實時的可視化、安全掃描與管控
• 多種類型的客戶支持渠道（運營支持、客戶關懷、培訓教育、專業服務）
• 支持集成第三方解決方案，包括SIEM、SOAR、CI/CD pipeline、EDR、基于ICAP的產品與日志文件
• 降低合規成本、提高安全水平、采用DevSecOps最佳實踐
• 適用于大中小各類型企業

缺點：

• 報價不透明
• 學習成本高

Skyhigh Security（安全服務邊緣）

Skyhigh Security主營的是McAfee Enterprise和FireEye合并成Trellix后剝離出來的云安全業務。該公司提供針對云基礎設施、數據和用戶訪問的安全解決方案，包括安全web網關（SWG）、云訪問安全代理（CASB）和數據防泄露（DLP）。Skyhigh業務重點是SASE/SSE，并在與Trellix的聯合產品中提供DLP功能。

Skyhigh Security Dashboard

Skyhigh Security自稱是一家數據安全公司，為任何形態、處于任何位置的數據提供全方位的訪問控制。該公司旨在確保整個web、云（SaaS、PaaS和IaaS）和個人應用程序中的數據安全，降低使用云應用及服務的安全風險。

關鍵功能：

• 覆蓋面廣：安全策略豐富，可根據風險實現自適應運行
• 性能保證：提供99.999%的超低延遲保證以及80多個全球PoP
• 隔離：具備智能遠程瀏覽器隔離和實時模擬沙箱功能
• 日志記錄：記錄用戶和管理員每項操作的詳細日志，便于事后檢查與數字取證
• 風險管理：針對云服務的定制化風險評估，幫助用戶獲取全球最全面精確的云服務registry
• 加密：通過企業控制的密鑰保護敏感的結構化數據
• 統一管理：將Private Access、CASB、SWG和遠程瀏覽器隔離（RBI）合并為單一平臺，通過一個控制臺統一管理。

• 用戶反映性能穩定
• URL過濾能力高效
• 架構統一
• 威脅分析全面
• 支持與第三方工具（如Office 365和Salesforce）集成
• 支持事后的檢查和分析

缺點：

• 培訓資源有限
• 界面有待改進

Lacework（CNAP云原生應用保護）

Lacework是一個云原生應用保護平臺（CNAP或CNAPP），為云工作負載、容器和K8s集群提供自動化的安全和合規解決方案。目前已獲風投近20億美元，是一家估值極高的初創公司。

Lacework合規dashboard

Lacework平臺涵蓋云安全態勢（配置）管理（CSPM）、IaC掃描、云工作負載保護平臺（CWPP）和K8s安全，還提供云上安全事件監控（CIEM）功能，實現威脅快速檢測與應對。Lacework能夠幫助開發人員在構建大規模應用時，及時在本地、鏡像庫和CI/CD管道中發現安全問題。

• 上下文分析：Polygraph實現了賬戶角色、工作負載和API關系的可視化，上下文分析更加準確明了。
• 合規性：Lacework為云工作負載提供合規性與安全性監控。
• 入侵檢測：一大亮點是機器學習驅動的自動化工作負載入侵檢測。
• 部署和配置幫助：提供配置最佳實踐和指導也是亮點。
• 威脅檢測：通過機器學習和分析技術檢測云原生環境中的威脅。
• 漏洞管理：Lacework根據風險確定漏洞發現和修復的優先級，提高效率。

• 簡單易用
• Dashboard設計優秀
• 鏡像掃描、合規報告和AWS CloudTrail功能突出

缺點：

• 客戶支持有待提高
• 報表功能有待提高

Qualys（合規）

Qualys是一個云安全與合規平臺，幫助企業發現和保護數字資產，減少攻擊面，確保監管合規。

Qualys企業版dashboard

Qualys能夠幫助企業自動發現各類IT環境中所有已知和未知的資產，提供一個完整的并做好分類的資產清單，資產信息中還包括供應商生命周期等詳細信息。同時該平臺還提供持續安全監控、漏洞評估、惡意軟件檢測和修復功能。

Qualys云平臺有多個模塊，包括合規監控、漏洞掃描和云工作負載保護。

關鍵功能：

• 漏洞檢測：web應用掃描模塊能自動掃描web應用的安全漏洞并排序。
• 合規：Qualys具備多個合規模塊，例如PCI-DSS模塊能夠掃描所有設備并發現相應問題。
• 配置安全：策略合規模塊提供自動化的本地資產和云資產配置安全評估。
• 資產檢測：自動發現各類IT環境中所有已知和未知資產——本地、端點、云、容器、移動端、OT和IoT。
• DevOps：與CI/CD工具鏈集成，如Jenkins和Azure DevOps。
• 其它安全功能：Qualys平臺還涵蓋一系列的威脅檢測和響應、web應用防火墻、容器安全等功能。

優點：

• 補丁和漏洞管理
• 易用
• TotalCloud解決方案通過無代碼、拖拽式工作流實現快速漏洞修復
• 用戶反映可擴展性較強
• DevOps團隊能夠在開發周期內發現并處置漏洞
• 提供公共云基礎設施和工作負載清單

缺點：

• 有用戶反映誤報高
• 客戶支持有待提高

Palo Alto Networks（CWP云工作負載保護）

Palo Alto Networks產品線齊全，在云安全領域也是如此。

Palo Alto Networks SaaS安全dashboard

Palo Alto Networks的Prisma Cloud是市場上功能最全面的云原生安全平臺之一，幫助用戶深度管理工作負載安全，實現對應用、用戶與內容的可視與管控，降低數據泄露風險。

關鍵功能：

• 云原生：Palo Alto Networks專門將Prisma Cloud定義為云原生安全平臺（CNSP）。
• 功能全面：Prisma Cloud整合了Palo Alto近年來收購的多家公司的產品，包括 evident.io、RedLock、PureSec和Twistlock，提供針對容器和云工作負載的合規檢查、威脅檢測和管控能力。
• 可視化：云工作負載的全方位可視，其中serverless功能是一大亮點，為端到端云原生部署提供安全防護。
• 云應用保護：漏洞管理和運行時保護也是Prisma Cloud的關鍵功能。

優點：

• Palo Alto多年來在傳統安全領域中積累的創新經驗很好地為SASE、CNAPP、云交付的安全服務等解決方案提供幫助
• 保護所有云平臺上的主機、容器和serverless環境
• 支持20多個合規框架
• 提供700多個預構建的云安全策略

缺點：：

• 價格昂貴
• 客戶支持有待提高

賽門鐵克（CASB）

賽門鐵克在2019年被芯片制造商博通收購，主營以數據為中心的混合安全平臺，幫助企業保護數據、網絡、應用程序和設備免受威脅。

賽門鐵克端點保護管理器登錄界面

賽門鐵克提供端點安全、云安全、電子郵件安全解決方案和威脅情報服務，也提供多種云安全功能，包括工作負載保護和CloudSOC CASB。

關鍵功能：

• 工作負載保護：云工作負載保護套件能夠發現和評估在公共云中運行工作負載所面臨的安全風險。
• 合規：Cloud Workload Assurance能夠自動報告合規情況、提供補救措施，包括對特定配置開展基準測試。
• CASB：據Forrester和Gartner稱，CloudSOC CASB是國際領先的云訪問安全代理技術之一。
• 端點安全：支持檢測、攔截和修復筆記本電腦、臺式電腦、平板、手機、服務器和云工作負載中已知和未知的安全威脅。

優點：

• 安全管理簡化、集中化
• 阻止web威脅
• 為IaaS提供自動化的報告輸出、合規檢查和修復
• 根據CIS、NIST、SOC2、ISO/IEC、PCI和HIPAA等標準對安全態勢和配置進行基準測試

缺點：

• 技術支持有待提高
• 用戶界面有待改進

Tenable（漏洞管理）

Tenable提供漏洞管理、合規檢查和文件完整性監控等安全解決方案，目前也已將漏洞管理業務延伸至云計算。

Tenable數據展示界面

Tenable的產品包括：

• Tenable.io——云安全風險管理
• Tenable.sc——云安全可視化與威脅響應中心
• Tenable.ot——自動資產發現和分類
• Tenable.cs——持續監控云基礎設施的統一云安全平臺

Tenable是漏洞管理領域的“老玩家”，現在業務觸角伸至云計算，幫助各個規模的單位保護云工作負載。

關鍵功能：

• 云安全防護：tenable.io平臺上有多種服務，包括Web應用掃描、容器安全和資產管理。
• 漏洞管理：tenable.io的一大功能亮點是識別資產和漏洞，幫助用戶精準掌握云上風險。
• 配置管理：發現潛在的錯誤配置也是其中一個重要功能。
• 漏洞覆蓋廣、插件豐富：Tenable已經評估超72000個漏洞和147000個插件。

優點：

• 易部署
• Dashboard易用、界面友好度高
• 價格透明（例如Tenable.io漏洞管理計劃的最低資產數為65，1年65項資產總價為 2934.75美元，2年5722.76，3年8364.04）

缺點：

• 報告功能有待改進
• 客戶支持有待提高

趨勢科技（混合云安全）

趨勢科技是混合云安全的全球領導者，能夠為任何IT環境中的數據、用戶、應用提供全面自動的防護。

趨勢科技Deep Security儀表板

趨勢科技具備云工作負載保護、network安全、文件存儲保護、應用安全和開源安全等產品和服務。同時能夠監控整個IT環境，及時發現、評估和修復安全威脅，是混合云安全領域的佼佼者，能夠幫助用戶在本地和公有云的部署中實現統一的安全策略。

關鍵功能：

• 功能全面：趨勢科技Cloud One平臺集成了工作負載安全、存儲安全、network安全以及合規監控等功能。
• 混合工作負載安全防護：同一安全策略可應用于本地、私有云、公有云等不同部署環境，是相較于同類產品的差異化特點。
• 修復：支持漏洞虛擬修復，盡早降低風險。
• 提供安全模板：根據主要的安全標準提供安全模板，用戶只需部署AWS CloudFormation模板。

優點：

• 支持虛擬機、本地、云和容器工作負載的運行時保護
• 可擴展性強
• 客戶支持高效
• 具備云文件和對象存儲服務的保護能力

缺點：；

• 方案價格高昂
• 報告功能待提高

Netskope（整體云安全）

Netskope擁有一套全面的云安全解決方案，發展勢頭迅猛。核心產品有SSE（安全服務邊緣）、SWG（下一代web網關）、CASB、零信任、數據防泄露（DLP）、遠程瀏覽器隔離、SaaS安全態勢管理、IoT安全。Netskope的分析引擎能夠監控云環境中的用戶行為和可疑活動。

Netskope dashboard

關鍵功能：；

• 智能SSE：Netskope整合了SWG、CASB和ZTNA的能力，全面保護web、SaaS和公共云及數據中心的安全。
• 分析能力：支持對云資源使用情況的持續監控并發現潛在安全風險。
• 合規能力：通過數據防泄露、訪問策略和敏感數據加密，幫助企業滿足合規要求。
• 性能保證：99.999% 的正常運行時間和可用性保證，以及用于流量處理的延遲服務協議。
• 物聯網安全：能夠實現對所有連接設備的可視與監控，并通過基于上下文的分類、風險評估、分段和訪問控制進行保護。
• SSL/TLS 檢查：監控加密的網絡流量和云服務，發現潛在的數據盜竊、惡意軟件以及云釣魚、payload托管等高級威脅。

優點：

• 具備對云應用程序和風險的可視化
• Netskope 零信任使遠程員工安全訪問網絡、云和個人應用程序
• 持續監控，及時發現異常用戶行為、應用程序風險和可疑的數據移動
• 減少了攻擊面
• SASE產品強大

缺點：

• 客戶支持流程有待改進
• 方案價格較高

Zscaler（高級威脅防護）

Zscaler業務涵蓋廣泛，包括network安全、web應用防火墻、入侵防御、惡意軟件防護、零信任和數據防泄露，確保遠程用戶的安全訪問并滿足行業安全規范。Zscaler提供SWG、ATP、云沙箱和CASB服務，其威脅檢測能力、欺騙技術和易用性被用戶廣為稱贊。

關鍵功能：；

• 提供上下文信息的告警：告警內容還包括威脅評分、受影響資產和威脅嚴重程度。
• AI驅動的釣魚檢測：采用AI檢測技術發現首次出現的釣魚頁面。
• 瀏覽器隔離：Zscaler internet access（互聯網接入）能夠在用戶、網絡和SaaS之間建立一個虛擬間隔，降低web攻擊風險、防止數據丟失。
• 分段：Zscaler的private access（私人接入）通過用戶身份認證和訪問策略，將用戶直接連接到私人應用程序、服務和OT系統，還支持遠程操作員和管理員直連到IIoT/OT設備。

優點：

• AI驅動的高級威脅防護
• 云安全功能全面
• 欺騙技術強大
• 易于使用

缺點：

• 報告功能有待改進
• 方案價格貴

總結

目前市面上主要的云安全解決方案包括CASB、云工作負載保護平臺（CWPP）、云原生平臺（CNAP或CNAPP）、SaaS安全等，公共云供應商（亞馬遜、谷歌云平臺和微軟Azure）也有自己的云安全服務，了解產品是安全團隊的首要功課之一。面對多樣化的供應商和產品選擇，以下有幾個關鍵的考慮因素：

• 保護對象：首先需要明確哪些資產面臨風險、需要保護。
• 支持集成、統一管理：確保新的云安全解決方案能夠與現有框架整合，協同工作。
• 支持多云環境：該方案是否適用于不同的云廠商環境和不同的部署模式（一個企業往往需要用到多家云廠商的服務）。