隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入和云安全威脅的不斷增長，企業(yè)對云安全技術(shù)的重視與日俱增，CNAPP(云原生應(yīng)用保護平臺)解決方案市場未來五年將進入高速發(fā)展期。

全球企業(yè)對云安全技術(shù)空前重視

隨著基于容器/Kubernetes和其他低代碼/無代碼平臺開發(fā)的云原生應(yīng)用的興起，越來越多的企業(yè)開始意識到使用這些技術(shù)和平臺的風(fēng)險，對云原生平臺集成的安全方案的需求日益增長，例如代碼到云基礎(chǔ)設(shè)施、云威脅檢測和響應(yīng)、威脅情報和機器學(xué)習(xí)等。

根據(jù)Frost&Sullivan對2360多位CISO和C級企業(yè)高管的最新研究，全球企業(yè)的云安全意識顯著提升，投資云安全解決方案主要原因包括：

• 預(yù)防攻擊(31%)
• 檢測和響應(yīng)云威脅(30%)
• 應(yīng)對未知威脅(24%)
• 合規(guī)性(12%)

CWPP云安全解決方案的市場現(xiàn)狀如下：

• 48%的企業(yè)已經(jīng)部署和使用
• 41%的企業(yè)計劃在未來24個月部署
• 10%的企業(yè)表示未來幾年沒有部署CWPP的計劃

CNAPP市場進入高速增長期

CNAPP是一個相對較新的云安全概念，涵蓋應(yīng)用安全測試、EDR、CSPM(云安全態(tài)勢管理)、CWPP(云工作負(fù)載保護)、CIEM(云基礎(chǔ)設(shè)施實體和身份管理)等多個領(lǐng)域的安全解決方案。

根據(jù)Frost&Sullivan的預(yù)測，2023年全球CNAPP市場的收入為38.78億美元，同比增長31.3%。Frost&Sullivan預(yù)測，從2023年到2028年，CNAPP市場未來五年將以22.8%的復(fù)合年增長率持續(xù)高速增長，預(yù)計2028年CNAPP市場的收入將達(dá)到108億美元。

全球一共有30家CNAPP廠商達(dá)到Frost的初選標(biāo)準(zhǔn)(CNAPP業(yè)務(wù)年收入不低于500萬美元)，最終有17家排名靠前的公司(其中包含兩家中國企業(yè)：阿里云和綠盟科技)入圍了CNAPP市場雷達(dá)圖，這17家公司分別是：

阿里云、綠盟科技(NSFOCUS)、Aqua Security、Check Point、Caveonix、CrowdStrike、Lacework、微軟(安全業(yè)務(wù))、Orca Security、Palo Alto Networks、Runecast、Sonrai Security、Sysdig、Tenable、趨勢科技、Uptycs和Wiz。

2023年全球CNAPP市場雷達(dá)圖

企業(yè)選擇CNAPP的六大優(yōu)先考量因素：

• 支持無代理和基于代理的掃描：獲得實時可見性并快速評估云環(huán)境，同時為工作負(fù)載和應(yīng)用提供動態(tài)運行時保護能力。
• 統(tǒng)一和集成平臺：提供全面覆蓋和情境意識，實現(xiàn)風(fēng)險的無縫關(guān)聯(lián)和工具整合。集成安全功能如云工作負(fù)載保護(CWPP)、云安全態(tài)勢管理(CSPM)、云基礎(chǔ)設(shè)施實體和身份管理(CIEM)和基礎(chǔ)設(shè)施即代碼(IaC)安全是客戶的重點關(guān)注。這種方法簡化了操作，提高了情境風(fēng)險評估，增強了整體安全態(tài)勢，并降低了采購和管理成本。
• 支持安全左移(shift-left)：客戶優(yōu)先考慮支持安全左移的CNAPP，在開發(fā)階段就能識別風(fēng)險。此外，將CNAPP檢查整合到基礎(chǔ)設(shè)施即代碼(IaC)模板和軟件制品的持續(xù)集成/持續(xù)交付(CI/CD)管道中有助于在生產(chǎn)前識別漏洞和配置錯誤。
• 提供代碼至云的情境/情報的統(tǒng)一平臺：幫助組織在整個應(yīng)用和云生命周期中識別、優(yōu)先考慮和修復(fù)威脅。
• 風(fēng)險優(yōu)先排序和開發(fā)者賦能：用戶更看重能準(zhǔn)確識別對業(yè)務(wù)有影響的風(fēng)險、減少干擾并提高操作效率的能力。隨著開發(fā)者承擔(dān)越來越多的安全責(zé)任，他們需要具備能力、情境優(yōu)先排序和直觀圖表，以有效排除風(fēng)險。
• 易用性和較低的總擁有成本(TCO)：面對專業(yè)人才和技能短缺的現(xiàn)狀，客戶尋求用戶友好、直觀的CNAPP解決方案，以便能輕松部署和使用。在許多對價格敏感的地區(qū)，總擁有成本仍然是影響CNAPP投資決策的重要因素。

CISO面臨的主要云安全挑戰(zhàn)

2023年CISO面臨云安全的復(fù)雜挑戰(zhàn)，包括：云環(huán)境的動態(tài)性、多云架構(gòu)、快速可擴展性和持續(xù)創(chuàng)新導(dǎo)致云擴展的速度與安全程序的可擴展性之間存在顯著差異。這種不匹配導(dǎo)致CISO們擔(dān)憂安全團隊經(jīng)常因日常任務(wù)而不堪重負(fù)，從而無法應(yīng)對關(guān)鍵風(fēng)險。這不僅會對安全團隊造成壓力，增加忽視漏洞的風(fēng)險，還會阻礙創(chuàng)新，影響安全和開發(fā)團隊之間的關(guān)系。

此外，CISO很難平衡工具蔓延和預(yù)算短缺的矛盾，因此迫切需要通過整合工具、自動化流程來提升安全運營效率。

CISO還需要解決安全團隊與開發(fā)者之間的摩擦和不信任。這可能導(dǎo)致對CNAPP的投資產(chǎn)生猶豫，因為安全被視為會阻礙DevOps的開發(fā)速度。此外，很多企業(yè)的DevOps團隊對安全責(zé)任仍然不熟悉，對云服務(wù)、K8s、容器、CI/CD及其相關(guān)安全風(fēng)險和對策的了解也很有限，這導(dǎo)致對傳統(tǒng)應(yīng)用架構(gòu)和過時安全解決方案的依賴，而這些解決方案往往會導(dǎo)致警報疲勞和誤報，阻礙團隊之間的有效協(xié)作，也無法對真正的風(fēng)險進行有效的優(yōu)先排序。

最后，俄烏和以色列戰(zhàn)爭對全球網(wǎng)絡(luò)安全預(yù)算也產(chǎn)生了負(fù)面影響。Frost&Sullivan的《2023年安全領(lǐng)域客戶之聲》報告顯示，62%的企業(yè)認(rèn)為戰(zhàn)爭影響了他們的安全預(yù)算。