隨著企業數字化轉型的深入和云安全威脅的不斷增長，企業對云安全技術的重視與日俱增，CNAPP(云原生應用保護平臺)解決方案市場未來五年將進入高速發展期。

全球企業對云安全技術空前重視

隨著基于容器/Kubernetes和其他低代碼/無代碼平臺開發的云原生應用的興起，越來越多的企業開始意識到使用這些技術和平臺的風險，對云原生平臺集成的安全方案的需求日益增長，例如代碼到云基礎設施、云威脅檢測和響應、威脅情報和機器學習等。

根據Frost&Sullivan對2360多位CISO和C級企業高管的最新研究，全球企業的云安全意識顯著提升，投資云安全解決方案主要原因包括：

• 預防攻擊(31%)
• 檢測和響應云威脅(30%)
• 應對未知威脅(24%)
• 合規性(12%)

CWPP云安全解決方案的市場現狀如下：

• 48%的企業已經部署和使用
• 41%的企業計劃在未來24個月部署
• 10%的企業表示未來幾年沒有部署CWPP的計劃

CNAPP市場進入高速增長期

CNAPP是一個相對較新的云安全概念，涵蓋應用安全測試、EDR、CSPM(云安全態勢管理)、CWPP(云工作負載保護)、CIEM(云基礎設施實體和身份管理)等多個領域的安全解決方案。

根據Frost&Sullivan的預測，2023年全球CNAPP市場的收入為38.78億美元，同比增長31.3%。Frost&Sullivan預測，從2023年到2028年，CNAPP市場未來五年將以22.8%的復合年增長率持續高速增長，預計2028年CNAPP市場的收入將達到108億美元。

全球一共有30家CNAPP廠商達到Frost的初選標準(CNAPP業務年收入不低于500萬美元)，最終有17家排名靠前的公司(其中包含兩家中國企業：阿里云和綠盟科技)入圍了CNAPP市場雷達圖，這17家公司分別是：

阿里云、綠盟科技(NSFOCUS)、Aqua Security、Check Point、Caveonix、CrowdStrike、Lacework、微軟(安全業務)、Orca Security、Palo Alto Networks、Runecast、Sonrai Security、Sysdig、Tenable、趨勢科技、Uptycs和Wiz。

2023年全球CNAPP市場雷達圖

企業選擇CNAPP的六大優先考量因素：

• 支持無代理和基于代理的掃描：獲得實時可見性并快速評估云環境，同時為工作負載和應用提供動態運行時保護能力。
• 統一和集成平臺：提供全面覆蓋和情境意識，實現風險的無縫關聯和工具整合。集成安全功能如云工作負載保護(CWPP)、云安全態勢管理(CSPM)、云基礎設施實體和身份管理(CIEM)和基礎設施即代碼(IaC)安全是客戶的重點關注。這種方法簡化了操作，提高了情境風險評估，增強了整體安全態勢，并降低了采購和管理成本。
• 支持安全左移(shift-left)：客戶優先考慮支持安全左移的CNAPP，在開發階段就能識別風險。此外，將CNAPP檢查整合到基礎設施即代碼(IaC)模板和軟件制品的持續集成/持續交付(CI/CD)管道中有助于在生產前識別漏洞和配置錯誤。
• 提供代碼至云的情境/情報的統一平臺：幫助組織在整個應用和云生命周期中識別、優先考慮和修復威脅。
• 風險優先排序和開發者賦能：用戶更看重能準確識別對業務有影響的風險、減少干擾并提高操作效率的能力。隨著開發者承擔越來越多的安全責任，他們需要具備能力、情境優先排序和直觀圖表，以有效排除風險。
• 易用性和較低的總擁有成本(TCO)：面對專業人才和技能短缺的現狀，客戶尋求用戶友好、直觀的CNAPP解決方案，以便能輕松部署和使用。在許多對價格敏感的地區，總擁有成本仍然是影響CNAPP投資決策的重要因素。

CISO面臨的主要云安全挑戰

2023年CISO面臨云安全的復雜挑戰，包括：云環境的動態性、多云架構、快速可擴展性和持續創新導致云擴展的速度與安全程序的可擴展性之間存在顯著差異。這種不匹配導致CISO們擔憂安全團隊經常因日常任務而不堪重負，從而無法應對關鍵風險。這不僅會對安全團隊造成壓力，增加忽視漏洞的風險，還會阻礙創新，影響安全和開發團隊之間的關系。

此外，CISO很難平衡工具蔓延和預算短缺的矛盾，因此迫切需要通過整合工具、自動化流程來提升安全運營效率。

CISO還需要解決安全團隊與開發者之間的摩擦和不信任。這可能導致對CNAPP的投資產生猶豫，因為安全被視為會阻礙DevOps的開發速度。此外，很多企業的DevOps團隊對安全責任仍然不熟悉，對云服務、K8s、容器、CI/CD及其相關安全風險和對策的了解也很有限，這導致對傳統應用架構和過時安全解決方案的依賴，而這些解決方案往往會導致警報疲勞和誤報，阻礙團隊之間的有效協作，也無法對真正的風險進行有效的優先排序。

最后，俄烏和以色列戰爭對全球網絡安全預算也產生了負面影響。Frost&Sullivan的《2023年安全領域客戶之聲》報告顯示，62%的企業認為戰爭影響了他們的安全預算。