青藤云安全：2023年，如何为自己选择一款合适的云主机安全产品？

当前，云计算已经发展成为企业IT架构的基础设施。而云主机安全始终是备受关注的领域，企业不再犹豫是否上云，而是重点关注如何做好云主机安全，守护好安全的最后一道防线。目前，市场上存在着琳琅满目的云主机安全产品，企业该如何选择一款适合自己的产品呢？

近日，在国际增长咨询机构沙利文发布的《2022年中国云主机安全市场报告》（完整版报告可进入青藤云安全官网下载）中，青藤万相凭借深厚的技术实力，在产品能力、市场能力、服务能力三个维度均排名第一，综合竞争力排名第一。青藤万相，会是你的最佳选择吗？

图1：青藤综合竞争力排名第一

一、主机安全产品指的是什么？

主机安全产品，顾名思义就是保护主机安全的产品。这是一种颇具历史感的安全产品，在安全界与“防火墙”“DDoS高防”合称“老三样”，是保护主机的必备良药。主机安全产品种类繁多、名目不一，但一般常见的有两种：

l 一种是NIDS，全称为Network Intrusion Detection System，即网络入侵检测系统。NIDS通过测探进入主机的网络流量来判断有没有发生攻击，但这种方式需要消耗的资源比较多，市面上较为少见，本文不做讨论。

l 另一种是HIDS，全称为Host-based Intrusion Detection System，即基于主机型入侵检测系统。HIDS通过在主机里安装Agent来测探各种信息以判断是否有异常或者攻击发生，这是最通用的一种主机安全产品。对云上的用户来说，云主机安全产品主要是HIDS，例如，市场上比较有代表性的产品——青藤万相·主机自适应安全平台就是典型的HIDS。

形象地说，云主机是个房子，而HIDS是一个体系，它首先把一个摄像头（专业术语叫Agent或者代理）装在房子里，然后启动摄像头在云主机系统里东看看西看看，比如看看系统日志、看看系统文件、看看进程、看看系统配置，看谁在系统里搞事情、有没有留下什么蛛丝马迹，一旦发现有人搞事情，HIDS就会上报给远端的服务器并发出告警。

二、HIDS的组成是怎么样的？

上面说到的摄像头，只是HIDS组件的一个部分，完整的HIDS产品架构图如下：

图2：HIDS产品架构图

它主要由3大部分组成，包括Agent、Engine安全引擎、Console控制中心。其中：

1.Agent：相当于主机里的摄像头，作用是检测系统文件变更、检测服务器状态、上传日志、下发操作指令等。Agent只需要一条命令就能在主机上完成安装，且自动适配各种物理机、虚拟机和云环境，运行稳定、消耗低，能够持续收集主机进程、端口和账号信息，并实时监控进程、网络连接等行为，还能与Server端通信，执行其下发的任务，主动发现主机问题。

2.Engine安全引擎：作为核心平台的信息处理中枢，支持横向扩展分布式部署，能够持续分析检测从各个Agent上接收到的信息和行为并进行保存，可从各个维度的信息中发现漏洞、弱密码等安全风险和Webshell写入行为、异常登录行为、异常网络连接行为、异常命令调用等异常行为，从而实现对入侵行为实时预警。

3.Console控制中心：用以给管理人员、运维人员执行防御策略管理、资源管理、命令下发等。以Web控制台的形式和用户交互，清晰展示各项安全监测和分析结果，并对重大威胁进行实时告警，帮助用户更好更快地处理问题，提供集中管理的安全工具，方便用户进行系统配置和管理、安全响应等相关操作。

三者之间协调配合才能做到实时的分析系统状态并及时下发防御策略，并便于安全人员进行日常维护和运营。

HIDS是一款很典型的“云安全”产品，它的Agent安装在每个云主机上，但大部分功能都在各种集群里，这样就使得用户的计算资源开销会变得很小，因为功能都在“云”上，也就是在远端的各种服务器集群上实现了大部分功能。

三、如何选择一款合适的主机安全产品？

目前，随着网络安全上升到国家战略高度，国家日益加强对攻防实战的重视程度，各个组织机构越来越重视主机安全能力建设。但如何在产品琳琅满目、能力也稂莠不齐的主机安全市场上，选择一款合适的产品呢？

1. 主机安全能力评估

企业在选择主机安全产品时，首先需要结合行业和企业需求，明确主机安全平台需具备的主机安全能力。随着攻击手段不断演进，主机安全防护技术也在持续更新迭代，衍生出一系列不同细分类别的主机安全产品，其安全能力按照成熟度以及可匹配的用户需求，可划分为三个级别：基础级、增强级和先进级。基础级技术能力为资产清点、风险发现、入侵检测、合规基线。增强级在基础级能力之上，还包括病毒查杀、文件完整性、内存马检测、主机型蜜罐能力。先进级则在增强级之上增加了供应链安全、微隔离和威胁狩猎能力。

图3：不同等级的主机安全能力

理想条件下，企业具备的主机安全能力越完善，覆盖基础级、增强级、先进级中更多的能力，越能为主机及其承载业务提供更好的安全保护。但在企业实际运营中，不同行业进行安全建设的驱动因素有所不同，且业务关系面临的风险程度存在差异，综合建设成本、人才技术基础等因素，企业对各主机安全能力建设的优先级也不尽相同，应在人力、财力有限的条件下，优先完成最迫切需要的、与业务安全要求最匹配的能力建设。

图4：不同行业对主机安全能力的需求优先级

2. 平台性能评估

企业在选择主机安全平台时，还需要综合考虑平台总体性能，主要包括如下因素：

l功能丰富性：随着黑客攻击方式的不断迭代，主机安全产品应具有丰富的功能以有效检测攻击者，能够做到事前防御，事中实时监控，事后进行溯源和研判分析，通过全面覆盖攻击全阶段，提供专业化安全保障。青藤万相采用自适应安全架构，充分运用云、大数据、AI等技术，打造集“预测、防御、监控和响应”一体的安全闭环。

l稳定性：安全设备的稳定性至关重要，不能因为安全产品的不稳定造成业务中断，让企业业务遭受损失。轻Agent形态的主机安全产品则无须修改内核、不装驱动，通过实时监控与分析来发现威胁，为企业用户提供告警。青藤万相采用轻Agent形式，稳定性高达99.9999%，正常的系统负载情况下，CPU占用率<1%，内存占用<40m，在系统负载过高时，agent会主动降级运行，不影响正常业务。trong>

l兼容性：企业在进行主机安全产品选型时，需要考虑到该产品是否支持物理主机、云主机，是否支持不同的操作系统，是否能够适用于虚拟机、容器环境等不同架构。青藤万相通过自主研发与创新实现对国产操作系统的支持，包括arm、x86全系列国产操作系统，更能够通过一个Agent，实现主机与容器的全面防护。

l易用性：无论产品的功能如何强大，若企业中的相关人员无法熟练使用，将限制产品价值发挥。主机安全产品应该能够确保用户操作和控制软件系统，完成预期或指定任务。青藤万相功能完备，界面简洁，使用便捷。

l可维护性：主机安全产品的可维护性直接影响到对产品的使用体验和安全人员的工作效率，因此，在选择主机安全产品时，需要将可维护性考虑在内。

3. 权威认可

在主机安全产品选型过程中，企业除了需要关注企业是否具有相应产品的销售许可资质外，还需要关注产品获得的权威认可。获得的权威认可越多、权威性越大，在一定程度上表明产品的可靠性及技术性能越高。青藤万相作为主机安全领域的领跑者，多年来，获得了诸多机构的认可：

l在2020-2022年，沙利文发布的云主机安全市场报告中，连续三年入围领导者象限，综合竞争力第一，持续领跑主机安全领域

l在IDC发布的《中国云工作负载安全市场份额，2021》报告中排名第二

l连续6年入围Gartner CWPP报告

l在赛迪发布的《中国云主机安全市场研究报告（2021)》报告中，市场份额排名第一

l在国内数字化产业第三方调研与咨询机构数世咨询正式发布的《主机检测与响应（HDR）能力指南》及HDR能力指南点阵图中，青藤获得应用创新力和综合能力“双料第一”

4. 技术积淀

对于主机安全产品，技术积淀的时间越长，功能会越丰富，技术能力越有深度。在青藤万相推出8年多的时间里，始终引领国内安全领域的创新方向：全面参与行业顶层设计，参与6项国标、20余项行业标准编写工作，获得50余项发明专利、80余项软件著作。同时，青藤在10余家中文核心期刊，发表了30余项安全研究论文，并编写出版多本网安专著，包括全球首部ATT&CK专著《ATT&CK框架实践指南》，以及云原生安全专著《云原生安全技术实践指南》，在主机安全能力的深度与广度方面进行了广泛的探索与研究。

写在最后

目前市场上有很多安全产品宣称可以解决主机侧的安全问题，但大部分都是由其他产品改装而来的，很难满足主机侧“安全与稳定兼顾”的需求，比如针对PC等终端的EDR等。最有效的主机安全防护产品应该是针对主机专门研发的，充分考虑了主机侧稳定需求>安全需求的特性，既能对主机侧的威胁做到及时、有效的检测，又能保证业务的连续性，结合相应的人工介入来对威胁进行响应，以实现对业务影响的最小化，建议企业在进行主机安全产品选型时，能够参照以上标准。有关如何选择主机安全产品的更多信息，您可以可进入青藤云安全官网下载《主机安全能力建设指南》。

图5：主机安全能力建设指南

青藤云安全主要聚焦于关键信息基础设施领域的安全建设，为政企客户提供新一代的安全产品和服务，覆盖云安全、数据安全、供应链安全、流量安全等众多领域。公司拥有数百人的专业安全服务团队，为100+国家重大活动提供安保服务支撑，全部实现安全0事故。目前，青藤已为来自政府、金融、运营商、能源、电力、制造、互联网等行业的1000+大型客户，600万+台核心服务器提供稳定、高效的安全防护。