gartner|对话Gartner：如何理解《2022年中国安全技术成熟度曲线》？高峰|sase|vpn|网络安全

作者｜真梓
36氪获悉， Gartner近期发布《2022年中国安全技术成熟度曲线》。据了解，这是Gartner首次发布针对中国市场的安全技术成熟度曲线。
Gartner表示，随着国内数字化转型的推进，尤其是云计算、大数据、人工智能、物联网和电子商务的发展，企业机构数字资产保护已成为安全和风险管理领导者的关键任务。在更重要的推动力上，国内法规日趋严格，也让安全的重要性更甚以往。综上， Gartner表示这篇报告是全新行业语境下的、中国安全创新领域技术成熟度曲线。
《2022年中国安全技术成熟度曲线》
在近期的一次分享会上， 36氪等媒体也对Gartner高级研究总监高峰进行了采访，对这一技术成熟度曲线背后的逻辑进行了剖析。
高峰表示，由于法律法规、人才环境和企业使用工具的特点不同，中国安全市场对比其他国家存在独特性。因此这篇研究报告，希望依据国内特点，针对筛选一批安全创新产品和服务，帮助大家进一步了解中国本地的安全趋势。
整体来看，本次在成熟度曲线中被提及的方向包括云安全、数据安全、零信任、应用安全、身份等。在分享会上，高峰也选取了一些技术进行解读。
比如，他介绍由于国内企业采用“云技术”的速度非常快，对“云”工作负载的保护也变得非常重要。基于此Gartner认为， “云”工作负载保护平台，是唯一一个在成熟度曲线中有望在两年内走向成熟并迅速扩大采用面的技术。而多数其它技术，则均需2-5年或者是5-10年才能发展成熟。
另谈及处于“期望膨胀期”的创新技术。高峰介绍， SASE（安全访问服务边缘）针对多种边缘的访问场景提供融合性的广域网、边缘的安全访问能力。通常来说，企业对边缘的保护有很多种工具（如VPN、SWG）。但这些技术其实都是一个个单点，且它们在部署形式、提供的功能上有很多重合。高峰表示， Gartner认为SASE作为一个融合型的平台产品，能够把这些单独工作的边缘保护工具整合起来，减少企业的运维复杂度。
他进一步介绍， SASE在国内外的落地存在一些差别。比如，国外的SASE多以按需付费的模式定价，并且部署基于云的低延时网络，让用户以更低的延时去访问资源。但在中国，许多客户希望数据留在本地，不放在公有云或者第三方处。而且完整的SASE实施，也需要安全和网络团队一起协作，国内的SASE产品，也还需时间来提升成熟度。
而在技术萌芽区间，高峰重点谈及了云安全资源池、智慧城市信息物理系统安全和ASM（攻击面管理）。
在介绍ASM时，他表示，现在企业的资产太过庞大，不少数字资产分布在各个地方（如用户的家里、“云”上或国外），而ASM可以通过合理配置人员、流程技术和服务，持续发现企业所有的资产，并把资产存储记录并管理起来。 \"了解资产的存在，发现它的脆弱性是至关重要的，这也是我们为什么认为攻击面管理可以受到更多企业的关注。 \"高峰说。
另在分享后的交流环节，高峰就零信任、数据安全平台、隐私计算技术和参会媒体进行了讨论。
在零信任方面，他认为零信任并不是过度防御，而是帮助企业用已验证过、并还在持续验证的信任，代替一些并不安全“隐性信任” 。而在数据安全平台上，他表示，在部署单点的数据安全工具之外，企业客户也愈发需要平台型产品，从而以全局视角帮助了解自己的数据泄露、数据防护情况。但另一方面，厂商之间数据安全功能和平台的打通依然还在路上。