隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入和云安全威脅的不斷增長(zhǎng)，企業(yè)對(duì)云安全技術(shù)的重視與日俱增，CNAPP(云原生應(yīng)用保護(hù)平臺(tái))解決方案市場(chǎng)未來(lái)五年將進(jìn)入高速發(fā)展期。

全球企業(yè)對(duì)云安全技術(shù)空前重視

隨著基于容器/Kubernetes和其他低代碼/無(wú)代碼平臺(tái)開發(fā)的云原生應(yīng)用的興起，越來(lái)越多的企業(yè)開始意識(shí)到使用這些技術(shù)和平臺(tái)的風(fēng)險(xiǎn)，對(duì)云原生平臺(tái)集成的安全方案的需求日益增長(zhǎng)，例如代碼到云基礎(chǔ)設(shè)施、云威脅檢測(cè)和響應(yīng)、威脅情報(bào)和機(jī)器學(xué)習(xí)等。

根據(jù)Frost&Sullivan對(duì)2360多位CISO和C級(jí)企業(yè)高管的最新研究，全球企業(yè)的云安全意識(shí)顯著提升，投資云安全解決方案主要原因包括：

• 預(yù)防攻擊(31%)
• 檢測(cè)和響應(yīng)云威脅(30%)
• 應(yīng)對(duì)未知威脅(24%)
• 合規(guī)性(12%)

CWPP云安全解決方案的市場(chǎng)現(xiàn)狀如下：

• 48%的企業(yè)已經(jīng)部署和使用
• 41%的企業(yè)計(jì)劃在未來(lái)24個(gè)月部署
• 10%的企業(yè)表示未來(lái)幾年沒(méi)有部署CWPP的計(jì)劃

CNAPP市場(chǎng)進(jìn)入高速增長(zhǎng)期

CNAPP是一個(gè)相對(duì)較新的云安全概念，涵蓋應(yīng)用安全測(cè)試、EDR、CSPM(云安全態(tài)勢(shì)管理)、CWPP(云工作負(fù)載保護(hù))、CIEM(云基礎(chǔ)設(shè)施實(shí)體和身份管理)等多個(gè)領(lǐng)域的安全解決方案。

根據(jù)Frost&Sullivan的預(yù)測(cè)，2023年全球CNAPP市場(chǎng)的收入為38.78億美元，同比增長(zhǎng)31.3%。Frost&Sullivan預(yù)測(cè)，從2023年到2028年，CNAPP市場(chǎng)未來(lái)五年將以22.8%的復(fù)合年增長(zhǎng)率持續(xù)高速增長(zhǎng)，預(yù)計(jì)2028年CNAPP市場(chǎng)的收入將達(dá)到108億美元。

全球一共有30家CNAPP廠商達(dá)到Frost的初選標(biāo)準(zhǔn)(CNAPP業(yè)務(wù)年收入不低于500萬(wàn)美元)，最終有17家排名靠前的公司(其中包含兩家中國(guó)企業(yè)：阿里云和綠盟科技)入圍了CNAPP市場(chǎng)雷達(dá)圖，這17家公司分別是：

阿里云、綠盟科技(NSFOCUS)、Aqua Security、Check Point、Caveonix、CrowdStrike、Lacework、微軟(安全業(yè)務(wù))、Orca Security、Palo Alto Networks、Runecast、Sonrai Security、Sysdig、Tenable、趨勢(shì)科技、Uptycs和Wiz。

2023年全球CNAPP市場(chǎng)雷達(dá)圖

企業(yè)選擇CNAPP的六大優(yōu)先考量因素：

• 支持無(wú)代理和基于代理的掃描：獲得實(shí)時(shí)可見(jiàn)性并快速評(píng)估云環(huán)境，同時(shí)為工作負(fù)載和應(yīng)用提供動(dòng)態(tài)運(yùn)行時(shí)保護(hù)能力。
• 統(tǒng)一和集成平臺(tái)：提供全面覆蓋和情境意識(shí)，實(shí)現(xiàn)風(fēng)險(xiǎn)的無(wú)縫關(guān)聯(lián)和工具整合。集成安全功能如云工作負(fù)載保護(hù)(CWPP)、云安全態(tài)勢(shì)管理(CSPM)、云基礎(chǔ)設(shè)施實(shí)體和身份管理(CIEM)和基礎(chǔ)設(shè)施即代碼(IaC)安全是客戶的重點(diǎn)關(guān)注。這種方法簡(jiǎn)化了操作，提高了情境風(fēng)險(xiǎn)評(píng)估，增強(qiáng)了整體安全態(tài)勢(shì)，并降低了采購(gòu)和管理成本。
• 支持安全左移(shift-left)：客戶優(yōu)先考慮支持安全左移的CNAPP，在開發(fā)階段就能識(shí)別風(fēng)險(xiǎn)。此外，將CNAPP檢查整合到基礎(chǔ)設(shè)施即代碼(IaC)模板和軟件制品的持續(xù)集成/持續(xù)交付(CI/CD)管道中有助于在生產(chǎn)前識(shí)別漏洞和配置錯(cuò)誤。
• 提供代碼至云的情境/情報(bào)的統(tǒng)一平臺(tái)：幫助組織在整個(gè)應(yīng)用和云生命周期中識(shí)別、優(yōu)先考慮和修復(fù)威脅。
• 風(fēng)險(xiǎn)優(yōu)先排序和開發(fā)者賦能：用戶更看重能準(zhǔn)確識(shí)別對(duì)業(yè)務(wù)有影響的風(fēng)險(xiǎn)、減少干擾并提高操作效率的能力。隨著開發(fā)者承擔(dān)越來(lái)越多的安全責(zé)任，他們需要具備能力、情境優(yōu)先排序和直觀圖表，以有效排除風(fēng)險(xiǎn)。
• 易用性和較低的總擁有成本(TCO)：面對(duì)專業(yè)人才和技能短缺的現(xiàn)狀，客戶尋求用戶友好、直觀的CNAPP解決方案，以便能輕松部署和使用。在許多對(duì)價(jià)格敏感的地區(qū)，總擁有成本仍然是影響CNAPP投資決策的重要因素。

CISO面臨的主要云安全挑戰(zhàn)

2023年CISO面臨云安全的復(fù)雜挑戰(zhàn)，包括：云環(huán)境的動(dòng)態(tài)性、多云架構(gòu)、快速可擴(kuò)展性和持續(xù)創(chuàng)新導(dǎo)致云擴(kuò)展的速度與安全程序的可擴(kuò)展性之間存在顯著差異。這種不匹配導(dǎo)致CISO們擔(dān)憂安全團(tuán)隊(duì)經(jīng)常因日常任務(wù)而不堪重負(fù)，從而無(wú)法應(yīng)對(duì)關(guān)鍵風(fēng)險(xiǎn)。這不僅會(huì)對(duì)安全團(tuán)隊(duì)造成壓力，增加忽視漏洞的風(fēng)險(xiǎn)，還會(huì)阻礙創(chuàng)新，影響安全和開發(fā)團(tuán)隊(duì)之間的關(guān)系。

此外，CISO很難平衡工具蔓延和預(yù)算短缺的矛盾，因此迫切需要通過(guò)整合工具、自動(dòng)化流程來(lái)提升安全運(yùn)營(yíng)效率。

CISO還需要解決安全團(tuán)隊(duì)與開發(fā)者之間的摩擦和不信任。這可能導(dǎo)致對(duì)CNAPP的投資產(chǎn)生猶豫，因?yàn)榘踩灰暈闀?huì)阻礙DevOps的開發(fā)速度。此外，很多企業(yè)的DevOps團(tuán)隊(duì)對(duì)安全責(zé)任仍然不熟悉，對(duì)云服務(wù)、K8s、容器、CI/CD及其相關(guān)安全風(fēng)險(xiǎn)和對(duì)策的了解也很有限，這導(dǎo)致對(duì)傳統(tǒng)應(yīng)用架構(gòu)和過(guò)時(shí)安全解決方案的依賴，而這些解決方案往往會(huì)導(dǎo)致警報(bào)疲勞和誤報(bào)，阻礙團(tuán)隊(duì)之間的有效協(xié)作，也無(wú)法對(duì)真正的風(fēng)險(xiǎn)進(jìn)行有效的優(yōu)先排序。

最后，俄烏和以色列戰(zhàn)爭(zhēng)對(duì)全球網(wǎng)絡(luò)安全預(yù)算也產(chǎn)生了負(fù)面影響。Frost&Sullivan的《2023年安全領(lǐng)域客戶之聲》報(bào)告顯示，62%的企業(yè)認(rèn)為戰(zhàn)爭(zhēng)影響了他們的安全預(yù)算。