當前，雲計算已經發展成為企業IT架構的基礎設施。而云主機安全始終是備受關注的領域，企業不再猶豫是否上雲，而是重點關注如何做好雲主機安全，守護好安全的最後一道防線。目前，市場上存在著琳琅滿目的雲主機安全產品，企業該如何選擇一款適合自己的產品呢？

近日，在國際增長諮詢機構沙利文釋出的《2022年中國雲主機安全市場報告》（完整版報告可進入青藤雲安全官網下載）中，青藤萬相憑藉深厚的技術實力，在產品能力、市場能力、服務能力三個維度均排名第一，綜合競爭力排名第一。青藤萬相，會是你的最佳選擇嗎？

圖1：青藤綜合競爭力排名第一

一、主機安全產品指的是什麼？

主機安全產品，顧名思義就是保護主機安全的產品。這是一種頗具歷史感的安全產品，在安全界與“防火牆”“DDoS高防”合稱“老三樣”，是保護主機的必備良藥。主機安全產品種類繁多、名目不一，但一般常見的有兩種：

l 一種是NIDS，全稱為Network Intrusion Detection System，即網路入侵檢測系統。NIDS透過測探進入主機的網路流量來判斷有沒有發生攻擊，但這種方式需要消耗的資源比較多，市面上較為少見，本文不做討論。

l 另一種是HIDS，全稱為Host-based Intrusion Detection System，即基於主機型入侵檢測系統。HIDS透過在主機裡安裝Agent來測探各種資訊以判斷是否有異常或者攻擊發生，這是最通用的一種主機安全產品。對雲上的使用者來說，雲主機安全產品主要是HIDS，例如，市場上比較有代表性的產品——青藤萬相·主機自適應安全平臺就是典型的HIDS。

形象地說，雲主機是個房子，而HIDS是一個體系，它首先把一個攝像頭（專業術語叫Agent或者代理）裝在房子裡，然後啟動攝像頭在雲主機系統裡東看看西看看，比如看看系統日誌、看看系統檔案、看看程序、看看系統配置，看誰在系統裡搞事情、有沒有留下什麼蛛絲馬跡，一旦發現有人搞事情，HIDS就會上報給遠端的伺服器併發出告警。

二、HIDS的組成是怎麼樣的？

上面說到的攝像頭，只是HIDS元件的一個部分，完整的HIDS產品架構圖如下：

圖2：HIDS產品架構圖

它主要由3大部分組成，包括Agent、Engine安全引擎、Console控制中心。其中：

1。 Agent：相當於主機裡的攝像頭，作用是檢測系統檔案變更、檢測伺服器狀態、上傳日誌、下發操作指令等。Agent只需要一條命令就能在主機上完成安裝，且自動適配各種物理機、虛擬機器和雲環境，執行穩定、消耗低，能夠持續收集主機程序、埠和賬號資訊，並實時監控程序、網路連線等行為，還能與Server端通訊，執行其下發的任務，主動發現主機問題。

2。 Engine安全引擎：作為核心平臺的資訊處理中樞，支援橫向擴充套件分散式部署，能夠持續分析檢測從各個Agent上接收到的資訊和行為並進行儲存，可從各個維度的資訊中發現漏洞、弱密碼等安全風險和Webshell寫入行為、異常登入行為、異常網路連線行為、異常命令呼叫等異常行為，從而實現對入侵行為實時預警。

3。 Console控制中心：用以給管理人員、運維人員執行防禦策略管理、資源管理、命令下發等。以Web控制檯的形式和使用者互動，清晰展示各項安全監測和分析結果，並對重大威脅進行實時告警，幫助使用者更好更快地處理問題，提供集中管理的安全工具，方便使用者進行系統配置和管理、安全響應等相關操作。

三者之間協調配合才能做到實時的分析系統狀態並及時下發防禦策略，並便於安全人員進行日常維護和運營。

HIDS是一款很典型的“雲安全”產品，它的Agent安裝在每個雲主機上，但大部分功能都在各種集群裡，這樣就使得使用者的計算資源開銷會變得很小，因為功能都在“雲”上，也就是在遠端的各種伺服器叢集上實現了大部分功能。

三、如何選擇一款合適的主機安全產品？

目前，隨著網路安全上升到國家戰略高度，國家日益加強對攻防實戰的重視程度，各個組織機構越來越重視主機安全能力建設。但如何在產品琳琅滿目、能力也稂莠不齊的主機安全市場上，選擇一款合適的產品呢？

1. 主機安全能力評估

企業在選擇主機安全產品時，首先需要結合行業和企業需求，明確主機安全平臺需具備的主機安全能力。隨著攻擊手段不斷演進，主機安全防護技術也在持續更新迭代，衍生出一系列不同細分類別的主機安全產品，其安全能力按照成熟度以及可匹配的使用者需求，可劃分為三個級別：基礎級、增強級和先進級。基礎級技術能力為資產清點、風險發現、入侵檢測、合規基線。增強級在基礎級能力之上，還包括病毒查殺、檔案完整性、記憶體馬檢測、主機型蜜罐能力。先進級則在增強級之上增加了供應鏈安全、微隔離和威脅狩獵能力。

圖3：不同等級的主機安全能力

理想條件下，企業具備的主機安全能力越完善，覆蓋基礎級、增強級、先進級中更多的能力，越能為主機及其承載業務提供更好的安全保護。但在企業實際運營中，不同行業進行安全建設的驅動因素有所不同，且業務關係面臨的風險程度存在差異，綜合建設成本、人才技術基礎等因素，企業對各主機安全能力建設的優先順序也不盡相同，應在人力、財力有限的條件下，優先完成最迫切需要的、與業務安全要求最匹配的能力建設。

圖4：不同行業對主機安全能力的需求優先順序

2. 平臺效能評估

企業在選擇主機安全平臺時，還需要綜合考慮平臺總體效能，主要包括如下因素：

l 功能豐富性：隨著駭客攻擊方式的不斷迭代，主機安全產品應具有豐富的功能以有效檢測攻擊者，能夠做到事前防禦，事中實時監控，事後進行溯源和研判分析，透過全面覆蓋攻擊全階段，提供專業化安全保障。青藤萬相採用自適應安全架構，充分運用雲、大資料、AI等技術，打造集“預測、防禦、監控和響應”一體的安全閉環。

l 穩定性：安全裝置的穩定性至關重要，不能因為安全產品的不穩定造成業務中斷，讓企業業務遭受損失。輕Agent形態的主機安全產品則無須修改核心、不裝驅動，透過實時監控與分析來發現威脅，為企業使用者提供告警。青藤萬相採用輕Agent形式，穩定性高達99。9999%，正常的系統負載情況下，CPU佔用率<1%，記憶體佔用<40M，在系統負載過高時，Agent會主動降級執行，不影響正常業務。

l 相容性：企業在進行主機安全產品選型時，需要考慮到該產品是否支援物理主機、雲主機，是否支援不同的作業系統，是否能夠適用於虛擬機器、容器環境等不同架構。青藤萬相透過自主研發與創新實現對國產作業系統的支援，包括arm、x86全系列國產作業系統，更能夠透過一個Agent，實現主機與容器的全面防護。

l 易用性：無論產品的功能如何強大，若企業中的相關人員無法熟練使用，將限制產品價值發揮。主機安全產品應該能夠確保使用者操作和控制軟體系統，完成預期或指定任務。青藤萬相功能完備，介面簡潔，使用便捷。

l 可維護性：主機安全產品的可維護性直接影響到對產品的使用體驗和安全人員的工作效率，因此，在選擇主機安全產品時，需要將可維護性考慮在內。

3. 權威認可

在主機安全產品選型過程中，企業除了需要關注企業是否具有相應產品的銷售許可資質外，還需要關注產品獲得的權威認可。獲得的權威認可越多、權威性越大，在一定程度上表明產品的可靠性及技術性能越高。青藤萬相作為主機安全領域的領跑者，多年來，獲得了諸多機構的認可：

l 在2020-2022年，沙利文釋出的雲主機安全市場報告中，連續三年入圍領導者象限，綜合競爭力第一，持續領跑主機安全領域

l 在IDC釋出的《中國雲工作負載安全市場份額，2021》報告中排名第二

l 連續6年入圍Gartner CWPP報告

l 在賽迪釋出的《中國雲主機安全市場研究報告（2021）》報告中，市場份額排名第一

l 在國內數字化產業第三方調研與諮詢機構數世諮詢正式釋出的《主機檢測與響應（HDR）能力指南》及HDR能力指南點陣圖中，青藤獲得應用創新力和綜合能力“雙料第一”

4. 技術積澱

對於主機安全產品，技術積澱的時間越長，功能會越豐富，技術能力越有深度。在青藤萬相推出8年多的時間裡，始終引領國內安全領域的創新方向：全面參與行業頂層設計，參與6項國標、20餘項行業標準編寫工作，獲得50餘項發明專利、80餘項軟體著作。同時，青藤在10餘家中文核心期刊，發表了30餘項安全研究論文，並編寫出版多本網安專著，包括全球首部ATT&CK專著《ATT&CK框架實踐指南》，以及雲原生安全專著《雲原生安全技術實踐指南》，在主機安全能力的深度與廣度方面進行了廣泛的探索與研究。

寫在最後

目前市場上有很多安全產品宣稱可以解決主機側的安全問題，但大部分都是由其他產品改裝而來的，很難滿足主機側“安全與穩定兼顧”的需求，比如針對PC等終端的EDR等。最有效的主機安全防護產品應該是針對主機專門研發的，充分考慮了主機側穩定需求>安全需求的特性，既能對主機側的威脅做到及時、有效的檢測，又能保證業務的連續性，結合相應的人工介入來對威脅進行響應，以實現對業務影響的最小化，建議企業在進行主機安全產品選型時，能夠參照以上標準。有關如何選擇主機安全產品的更多資訊，您可以可進入青藤雲安全官網下載《主機安全能力建設指南》。

圖5：主機安全能力建設指南

青藤雲安全主要聚焦於關鍵資訊基礎設施領域的安全建設，為政企客戶提供新一代的安全產品和服務，覆蓋雲安全、資料安全、供應鏈安全、流量安全等眾多領域。公司擁有數百人的專業安全服務團隊，為100+國家重大活動提供安保服務支撐，全部實現安全0事故。目前，青藤已為來自政府、金融、運營商、能源、電力、製造、網際網路等行業的1000+大型客戶，600萬+臺核心伺服器提供穩定、高效的安全防護。