数世咨询创始人对话安全狗CEO：CWPP在国内市场需求的发展方向

近日，2020安全狗工作负载（主机）4.0产品线上发布会成功举办。在发布会的压轴环节，数世咨询创始人李少鹏与安全狗CEO陈奋、解决方案总监蒋竞阳进行了精彩的圆桌访谈，对话中不仅对本次发布会的主题“攻防在即，构建最后一道防线”作了解读，还比较详尽地就CWPP在国内市场需求的发展做了深入探讨。

圆桌会议文字原件

李：对于一个第三方机构而言，最关心的是市场，其次是技术，这个顺序与我们厂商不同。用户的视角是关心他的需求是否可以得到满足，厂商最关心的是他是否能够满足用户的需求，而我的视角是市场，用户是怎么想的，为什么这么想，厂商的技术水平如何？规模有多大？以及厂商如何去满足用户需求？那么我的第一个问题是这样，在CWPP这个市场，特别是在中国落地这个过程中，您对CWPP这个市场是怎么看的？

陈：大家好，我是安全狗创始人陈奋，现在我来谈一下，我对CWPP市场的一些看法。安全狗很早就进入服务器安全这个领域，当时我们的关注点是在服务器的攻防对抗上。为什么会关注到CWPP市场呢，如果说2014年是云在整个企业领域赢得认可的一年，那么2015年就是云产业成熟，称得上是一项主流技术的一年，同时，在这年，我们发现在云安全这块的需求量特别大，当时阿里云里有一半的用户是在用我们安全狗这个产品，这让我在当时打开了一个新的视角，未来这块技术是要往云上去迁移，而不是只在传统的服务器市场上。于是在2015年的时候，我们就往CWPP这个方向去发展，由于当时还没提出这个理念，所以我们的初代产品完全是处于这个场景下的用户需求层面去设计。在2017年的时候，CWPP的理念被正式的提出来，而且作为当年的十大技术榜单的榜首就是CWPP这个场景，它所提倡的概念和理念和安全狗为用户设计的产品和方向是非常贴近的，而且在运用场景上是不约而同的一致。当然，CWPP定义了一些事情，给安全狗一些重要的启发，有些可能我们有想到，有些可能我们没有想到的。因此基于这一块我们没有想到的思考，安全狗这几年，准确说我们从2016年到现在2020年，安全狗的产品一直在进化，像我们今天发布的云眼4.0这款产品，已经不单单只考虑CWPP这个场景，而是多维度多角度，及用户面临的工作负载的场景等，通过我们工作负载4.0的解决方案，把它落地化和产品化。安全狗围绕工作负载的有4款产品，产品形态完全和CWPP理念契合，就像少鹏老师说的现在运算计算的单元不在传统的服务器，甚至可能是在这个虚拟器，也可能是在这个容器，也可能是微服务，我们围绕着这样的一个新的场景去构建我们的产品线，这就给我们带来了一个全新的市场。因为在这个市场上，所有的探索都是新的，对于客户来说，他也感觉到了一个全新的产品体验。所以谈到CWPP这个市场：

第一点，从产品计和真实需求来说，它是具有真实需求存在的，而且随着云计算技术发展，这块市场的需求也会越来越明显。为什么这几年我们一直专注在这个市场上？在我们接触一些头部大型客户的时候，我们发现用户的场景往往不是一个单一的场景，它不是在单一公有云，或单在一私有云上，我把它定义在混合云的场景上。准确来说，中国的客户和国外的客户还是有明显的差异，中国的客户80%的IT是在内网。在内部，内网就会衍生出很多个不像公有云，单一的场景，他可能有传统的服务器，虚拟机，甚至有些进化到了容器阶段，所以这里我们把它定义到了混合云的工作负载场景，而且这几年我们发现，我们中国的头部客户的IT建设计划基本上都往这个场景上去延进，所以这样的场景下就给我们带来了强烈的市场需求，因此我们也一直专注在这个市场上。

第二点， 也就是我们今天的主题，攻防对抗演练。提到攻防对抗，大家都知道我们的边界，防火墙已经有很成熟的技术，但为什么在这种高强度的实战对抗下，还是防不住？这里面就给我们带来了一个重要的警示。我们需要清楚，黑客攻进后做了什么动作，偷了什么东西，留了什么文件；其实在过去几年，准确说是在近两年之前的攻防演练之前，大家并不是很关注这个问题，就像我们之前参加ISC大会中一直提及的问题，我可能自己都不清楚自己已经被入侵了，这从根本上来看就是缺乏很多有效的手防护手段。从谈到CWWP市场这个问题来看，就正好切合我们今天的主题，基于在攻防对抗下，在最后一道防线上，云眼4.0可以很好弥补原来在安全体系里面，最后一道关卡的缺失。在国内，我们发现大部分的客户对这一个方面或者说相对过去来说基本上还没有考虑到这一个环节。而在近几年兴起的攻防推动下，这块需求也在不断的增长，所以这两点是很好的解释了这几年我们一直专注在这个CWWP市场，同时通过深度剖析CWPP这个概念后，结合了实际运用场景与客户需求，也有了一个属于安全狗的全新认知。

李：等于是您们在刚做的时候是没有这个概念，但是在做到一定阶段的时候，您们会发现原来这个市场上，原来真是有这样一个方向的，而且还当作重点提出来的，再往后又发现，通过产品的进化和迭代，市场的需求开始爆发，快速增长了。那么我想问下竞阳，因为您是负责解决方案的，与用户打交道比较多，那么我们知道的产品方向和产品需求是明确的，实际上，如果主机要做保护，要做阻断的话，在用户方面其实还是有很大的阻力的，尤其是在兼容性，实施性，这些东西，它的业务是不能中断的，那么在这种情况下，其实就是安全技术产品与业务之间平衡的问题，我每次和别人聊天的时候都会发现这样的一个问题，你又要保证业务，又要保证安全。所以，当您遇到具体问题的时候，除了这种疑虑，还有哪些是我们CWPP落地的难点，就是用户担心什么，以及我们怎么去解决这些问题事情的。

蒋：我这边确实跟很多客户做了很多现场的交流，对客户而言的话，他们内心潜意识也非常的清楚，他们需要这一块的安全的能力，但是客户最担忧主要有几个方面的问题：

第一个方面，简单说就是如果把这样的一个东西放在他们的业务服务器上，会不会对他们造成影响。

第二个方面，服务器上客户可能已经也装了很多其它的东西，比如说他们运维的一些应用、一些业务的应用、管理的应用等，那么对这块安全产品的兼容性怎么去做一个保证。

第三个方面，对他们而言，他们更加希望有一种安全的形态，就是主机层面的安全可以通过一个东西，能够兼顾到全面，这个方面也是他们考虑非常多的。

其实我在跟很多客户交流的过程中，他们对我们安全狗主机层面的方案是非常满意的，为什么这样说呢，第一个层面，安全狗是国内最开始做主机安全这一块的厂商，基本上在这块的能力、技术积累时间已经是非常长。所以的话，在很多产品的兼容性，甚至是适配方面，我们基本上算是国内一流的、兼容性最强的厂商。第二个层面，安全狗在产品设计之初，对Agent这块设计也是花了心思的，回到刚刚客户最关注的三个方面，第一个方面刚刚4.0发布会上也介绍了，我们采用全新一个动态插件式的这种模式去构造，对于方式这种资源的消耗，性能的消耗，基本上是非常非常的低，不会影响到业务，我们也采用自适应的这种模式，比如说当我们的Agent能监测到您的服务器上的CPU内存的占用达到了某样的一个值，那么对这样的一个值，我们可以做自动的降级，来保证我们的业务，或者说对安全的业务起到一个平衡。

第二个方面，我们是国内做这块时间最长的厂商，基本上兼容性和适配性称得上是最强的厂商。

第三个方面，刚刚奋总也介绍到基于我们Agent这样的产品形态，延展了各项不同的这种能力，比如说，基于容器，基于动态的微隔离等等这一系列的能力都可以通过我们一个Agent去做一个延展。对客户而言的话，只要采用了我们这样的一个产品，后续主机层面的安全，他就可以做到百分百的放心。因为后续都可以基于这样的一个产品的能力去做一个横向的扩展。

李：好的，这里我再稍微延展一个技术细节，在需求往上走的层面，我们也知道现在很多用户都开始做微服务、容器这块的技术。在容器这一层面，我这边感觉安全狗不会继续采用Agent的模式，容器层面，很有可能在宿主机上启一个安全容器再管其它容器的安全，那么有没有可能容器层面也可以通过一个Agent去实现？这种方式有没有可能性，或者是值不值得去考虑。

奋：我们探索过容器安全技术的发展，跟很多客户交流过容器安全的需求，接触过这种技术不同形态。Agent的形式，往往在容器的宿主机这一层考虑，比如说我有没有可能监测到容器逃逸的问题。再往上走，在容器本身的安全这一块怎么做呢，习惯性思路是在容器里面去做Agent，但是容器里面有2个很重要的特点：

1. 它的动态性很强，它可能一个小时就没有了。

2. 因为在资源上，容器是精减模式，它把其它资源都去掉了，不希望占用太多的资源，所以说如果都在一个容器里面布Agent，技术上是可行的，但从实施角度上来说，它并不是那么的合理。

李：那么Agent的形式，是否可以在您进行容器编排的时候就加载进去。比如说在编排之后启动容器的时候，就自动把Agent部署在里面了，后续操作都可以在Kubernetes里面直接编辑。

奋：少鹏老师说这个是可行的，我们也考虑到如何充分利用Kubernetes这种编排的特点，所以现在我们开始着手研发安全容器的产品。它具有一些新的特点，比如它可以调到一些Kubernetes内置的一些接口，不单单采用了传统的Agent的这种模式，而传统的模式本身存在一些入侵风险无法被检测出来。那么从这几个角度来思考，我们选择了在容器和Agent这二者之间做有机结合的综合性的技术。

李：也就是说，在技术上是可行的，只是因为各种因素，所以我们选择了现在这种更合理的布局方式。好的，我们刚才一直在谈论CWPP，那么CWPP这个小金字塔其实有很多东西，从最底下的物理层到最尖端的微服务，那么所有的这些东西，至少我现在见到的做主机安全的，或是说是所有做CWPP的云主机安全厂商，几乎还没有涉及到内存安全。因为这个是硬件厂商所擅长的。我想，它既然是这么一个很多功能**的东西，那么CWPP是否也需要不同做CWPP厂商之间的配合，比如有些做无代理方式的这些厂商，那么他们可能做的又和你们的不一样，比如说他们是在操作系统上去做，而不是在虚拟机底层上去做，还有刚才我说的内存安全，软件安全厂商很少做到内存安全，但又必须对这一些硬件内核级别有些了解才可以，那么你们怎么考虑这种CWPP的完善程度呢？

奋：CWPP按我们理解它是一个综合解决方案的产品，我们目前的做法就是专注在运行负载的上面的这一层。您刚才说的无代理，甚至于在虚拟机下面一层或是在硬件，内存，内存安全这一层的话，我们也在寻找一些这方面的合作伙伴。比如说一些用户在做整个云计算平台安全等保建设的时候，他会考虑到下面物理层的安全问题，这个时候就需要融入到虚拟化更底层的这块安全的考虑。等保2.0，在云计算安全里面，也提到这方面能力的要求。就像我们参与过的这类综合性的云等保2.0的项目，最后也是引入这些合作伙伴的技术。

李：有没有一些客户提出来，您得把整个金字塔都给我做了？

奋：比较少，现在我们看到下面这一层，在偏更底层方面，其实很多客户没有完全考虑到。大部分客户更多关注在等保建设相关上。我们做的工作负载这一层是现实的业务应用这一层，这一层关注点会多些。目前，我们提供方案是在这个运行负载的这一层的解决方案，基本能够完整的覆盖，就像刚才竞阳说的，我们一个Agent技术是可以覆盖所有场景的需求，这是我们一个比较重要的特色。

李： CWPP之前是EDR，我们知道微软，之前没有单独做这一方面的，但是你会发现一旦它开始做EDR就会很快到达最一流的程度，这是因为它操作系统的天然优势；但是它的系统不只是Windows，还有Linux等等，所以我想用EDR这个方向再套CWPP。微软它如果做Agent，可能很快就成为一个CWPP市场的很牛的厂商，因为它的兼容性原因，可以什么都不用管，类似安全它都可以弄起来。但是在其它的云，阿里云，Google云，私有云等等，在这个地方就可能需要联合了。除了像微软这种比较特殊的，其它的，我们就需要其它厂商之间生态的联合，即使CWPP只是一个主机安全，也是需要大家伙的互相促进的。

由于今天我们时间也比较短的原因，我们再讨论一个最后一个主题。这个主题，我们往大里看，往远里看。从这个CWPP，我们来看整个云安全市场。我这里面大概有个统计：2019年，我们这个云安全市场大概是占到50亿***左右，这里指的是国内。我们知道国内的云环境与国外的云环境是非常的不同，国外的公有云占一大块，私有云只占百分之十几，但是我们国内的私有云会占到接近70%，剩下的才是公有云。但是不管是公有云也好，私有云也好，未来方向是万有云时代，或是混合云时代是非常明显的。那在这样的一个情况下，我们会发现在云里面有几大市场，我之前统计的是五大市场，前四大都不是安全的，有PASS层，有SAAS层，也有技术设施的，然后，最后一个我发现是安全上的，它是结合了管理层面，大概是5%左右的这样的一个比例。5%的话，像是国内的云，公有云，私有云这样的应该有个200亿左右，这是没有问题的，但我们国内的安全又比国外的占得少，在这样子的估算下是大概是50亿左右的这样一个规模，那么您对云安全的这个市场，它未来的发展是怎样的？当然，它会越来越大，甚至可能会形成我们自己厂商独立的安全云，是安全云，而不是云安全，所有的安全功能**在一个云里面提供，那么这个云做的就是提供安全，这是我当时的一个想法，那么您怎么看呢？

奋：云安全市场这两年，应该说是中国网络安全市场增长比较快的细分方向，当然这里面其实有个挺大的方向：

第一，就是传统的硬件设备把它虚拟化，这是传统的硬件安全厂商的强项。

第二，就是我们重点做的工作负载这个方向。

第三，我们认为目前需求比较大的是现在云租户对安全的需求。我们都知道，云上是责任共担的。像在这个国家网络安全法，或等保里面提的：谁建设谁负责，谁运营谁负责，其实也是一样的道理。哪怕你在云上租了一个空间，云厂商底层可能都做得非常好，但云下应用的安全，还是需要我们租户负责的，所以我认为云租户这一层的全部安全都需要兼顾到。一个方面是帮他做整体的安全体系建设，第二个方面是帮他做云等保的合规建设，这在未来这几年的趋势增长会越来越快，这是除了工作负载外，我们比较关注的的。

正如您刚提及的安全云，安全狗从2015年就开始运营自己的云安全的SaaS平台，帮租户托管他整个云上的安全，特别是在一些比较大的重保事件，我们通过这个平台上为很多租户提供了很多强有力的全面保护。像2017年的金砖，当时有很多的网站是处于关闭状态，像最重要的厦门政府的门户网，就在我们云安全的平台上，因为他已经上了当年的政务云，上面的所有的整体的应用安全都在我们的平台上。这个就给了我一个很好的启示，在云时代，云租户的安全是另外一种形态，不再是完全是基于硬件， 而是基于云产品交互的模式。把安全服务变成一个云上运营的模式，这是一个我非常看好的一个方向。

李：好，那么竞阳，如果您要是从解决方案的角度，有没有发现，现在的安全运营，有哪些东西是安全云里是做不了的，只能是采用传统模式做的呢？

蒋：我接触过很多像云安全的客户需求，客户自己有私有云，混合云。基本上，搭建自己的私有云这种场景的话，像云安全的所有的问题都可以通过刚刚奋总所说的这种方式去解决。另外一种场景下，传统的有一部分需要自己管理，然后云的还有一部分需要自己管理，这种混合云的情况下面，很有可能还是会依赖于这种传统的硬件去做。其实云提出这样的一个概念也就是说，我的平台底层安全，或是对外的网络安全，或是基础的安全可能会交与平台自身来做这块的安全，但是搭建云之后，作为租户自身的安全，是不会让云平台本身来做，往往都是租户自己负责，这块其实也跟刚刚奋总提到的这种的租户安全也是有关联性的。