倍網資訊股份有限公司

2019 Gartner Magic Quadrant for Cloud Access Security Brokers

CASB已成為雲安全策略的基本要素，可幫助組織使用雲並保護其在雲中的敏感數據。與組織的雲使用有關的安全和風險管理領導者應評估CASB，並使用此研究評估市場。

市場定義/說明

Gartner將雲訪問安全代理（CASB）市場定義為可解決組織使用雲服務時存在安全漏洞的產品和服務。這項技術的結果是需要保護雲服務的安全（正在以顯著增加的速度被採用），並提供傳統企業範圍內外的用戶對雲服務的訪問，以及不斷增長的雲到雲直接訪問。它們提供了差異化的，特定於雲的功能，這些功能通常無法作為其他安全控件（例如Web應用程序防火牆（WAF），安全Web網關（SWG）和企業防火牆）中的功能使用。與那些針對場所的安全產品不同，CASB旨在識別和保護存儲在他人系統中的數據。

CASB的覆蓋範圍廣泛適用於軟件即服務（SaaS），平台即服務（PaaS）和基礎架構即服務（IaaS）雲服務交付模型。對於SaaS覆蓋，CASB通常與最受歡迎的內容協作平台（CCP），CRM系統，HR系統，ERP，服務台，辦公室生產力套件和企業社交網站一起使用。某些CASB通過自定義插件或自動學習應用程序行為，將支持擴展到不常見的SaaS應用程序。對於IaaS和PaaS覆蓋，幾個CASB可以管理流行的雲服務提供商（CSP）基於API的使用（包括控制台訪問），並將可見性和管理範圍擴展到這些雲中運行的應用程序。

現在，一些CASB提供了雲安全狀態管理（CSPM；請參閱“雲工作負載保護平台市場指南” ）功能，以評估和降低IaaS，PaaS和SaaS雲服務中的配置風險。這通常是通過直接在雲服務中直接重新配置本機安全控制來實現的。儘管IaaS和PaaS治理已不再是許多CASB的新功能，但成熟度水平卻有所不同，通常不如其對SaaS治理的功能得到充分發展，也沒有像CSPM產品那樣得到充分發展。可以在企業啟用Web的應用程序之前部署一些CASB，以將它們置於一致的雲服務管理框架下，儘管這種情況並不常見。

CASB通過四個支柱提供功能。

能見度

CASB提供影子IT發現，組織雲服務格局的合併視圖以及有關從任何設備或位置訪問云服務中數據的用戶的詳細信息。領先的CASB借助雲服務安全性評級數據庫進一步擴大了這一範圍，以提供對CSP的可信度及其可能帶來的相關風險的可見性。

數據安全

CASB能夠強制執行以數據為中心的安全策略，以防止基於數據分類，數據發現以及對敏感數據訪問或特權升級的用戶活動監視而進行的有害活動。策略僅通過控制來應用，例如審計，警報，阻止，隔離，刪除和查看。數據丟失防護（DLP）功能很普遍，並且是可見性之後最常用的控件之一。CASB DLP通過Internet內容自適應協議（ICAP）或RESTful API集成在本地運行，並與企業DLP產品結合使用。現在，一些供應商為其云和本地產品提供了通用的DLP引擎，從而消除了策略重複和重疊。某些CASB提供了在雲服務中的字段和文件級別對內容進行加密，標記或編輯的功能。

威脅防護

CASB通過提供自適應訪問控制（AAC）來防止有害的設備，用戶和應用程序版本訪問云服務。可以根據登錄期間和登錄之後觀察到的信號來更改雲應用程序功能。此類CASB功能的其他示例是用於識別異常行為的嵌入式用戶和實體行為分析（UEBA），以及威脅情報，網絡沙箱以及惡意軟件識別和補救的使用。大多數CASB供應商主要依靠現有企業級反惡意軟件和沙盒工具的OEM版本，而不是自己構建。在某些情況下，CASB供應商擁有自己的分析師團隊，他們專門研究針對雲的攻擊和針對雲的攻擊。

合規

CASB幫助組織證明他們正在管理雲服務的使用。他們提供信息以確定雲風險偏好並建立雲風險承受能力。通過各種可見性，控制和報告功能，CASB有助於努力滿足數據駐留和法規遵從性要求。許多CASB供應商已在其產品中添加了CSPM功能。CSPM評估和管理雲控制平面的安全狀況，主要是針對IaaS以及越來越多的SaaS。更好的產品可以跨多個公共雲提供商提供此功能，以實現一致的策略實施。

CASB功能主要作為SaaS應用程序提供，有時還附帶一個本地虛擬或物理設備。在大多數用例中，SaaS交付明顯更受歡迎。但是，可能需要內部部署設備才能符合某些法規或數據主權規則，尤其是在執行在線加密或令牌化或需要內部部署日誌聚合的情況下。

魔力像限

圖1. 雲訪問安全代理的魔力像限

資料來源：Gartner（2019年10月）

供應商優勢和注意事項

位玻璃

Bitglass成立於2013年1月，並於2014年1月開始交付CASB。CASB產品側重於敏感數據的發現，分類和保護，還包括多種文檔管理和保護功能，例如支持搜索和搜索的水印和加密方法。 SaaS應用程序中的排序功能。它使用無代理的AJAX虛擬機（VM）抽象層，該抽象層透明地推送到用戶的瀏覽器，以在包括不受管理的設備在內的特定情況下支持實時數據保護。此功能是Bitglass獨有的功能，可以繼續為依賴較少見的SaaS應用程序的客戶增加價值。AJAX VM檢測到潛在的SaaS應用程序中的更改並對更改做出反應，否則可能會繞過傳統的基於網絡的反向代理。Bitglass在所有四個CASB支柱上都提供了完善的功能。它支持瀏覽器和手機上的反向代理；Windows和Macs代理的轉發代理，任何操作系統的PAC文件的轉發代理，以及對更多SaaS應用程序的API檢查支持。

Bitglass還提供了無代理移動設備管理（MDM）功能以及基本身份和訪問管理即服務（IDaaS）功能。Bitglass從雲本地運行，也可以部署為Docker容器，以供客戶託管本地。

長處

策略可以在線處理文檔時將水印應用於文檔。水印支持對所有設備的內容以及與所有託管雲服務之間的內容遍歷進行細化跟踪，並且可以優化其他策略制定的決策。
DLP策略可以包括企業數字版權管理（EDRM）操作，該操作將保護範圍擴展到SaaS應用程序外部存儲的數據，作為指向需要身份驗證的只讀HTML文件的鏈接或作為本地加密對象。
上載到結構化應用程序中的數據可以標記有可用於定義自適應訪問規則的屬性。例如，位置標籤可以限制訪問，以便只有特定位置的那些用戶才能訪問數據以強制執行數據主權要求。
Bitglass為任何啟用了API的雲應用程序提供了API網關，從而使組織可以控制誰可以調用哪種API，以及在什麼情況下調用。

注意事項

除了撤銷OAuth令牌以授予第三方對SaaS應用程序的訪問權限外，Bitglass的CSPM功能還沒有擴展到直接修改SaaS應用程序本機安全性控件。其針對IaaS的CSPM針對多個框架評估了Amazon Web Services（AWS）和Azure，但是兩個CSP之間可用的自動修復選項不一致，並且不如某些其他供應商那麼全面。
儘管與去年相比，Bitglass在市場上的知名度有所提高，但在客戶查詢期間，Bitglass並不像CASB市場中的其他同類產品那樣被頻繁提及。
安全訪問服務邊緣（SASE）市場的出現以及少數供應商提供這種功能的能力可能會使Bitglass在幾年內相對於其競爭對手處於劣勢。客戶應與Bitglass代表討論Bitglass的路線圖，以確定供應商的計劃是否符合組織的目標。

密碼雲

CipherCloud成立於2010年10月，自2011年3月以來一直在銷售CASB產品。CipherCloud最初強調通過本地設備在流行的企業雲服務中進行字段級加密和結構化數據的令牌化。

從那時起，它就將該產品開發為功能齊全的CASB，主要以基於雲的服務形式提供，並為發現，數據安全，威脅防護和合規性的所有四個CASB功能支柱提供了有用而有效的功能。它是用於管理廣泛的SaaS應用程序和IaaS服務的成熟產品，並提供本機CSPM，AAC和UEBA功能。CipherCloud可以掃描存儲在結構化和非結構化應用程序中的數據，以自動應用分類標籤。此外，它可以與第三方密鑰管理，DLP和數據分類產品集成。

CipherCloud是少數幾個將其CASB功能擴展到Office 365和G Suite中的電子郵件的供應商之一，這可能使CipherCloud吸引對單個供應商感興趣的SaaS治理和電子郵件安全的客戶。在其主要實現中，它為流行的SaaS應用程序提供反向代理支持和API檢查。它還支持正向代理實現，從而實現更完整的多模式覆蓋。

長處

CipherCloud DLP包括用於精確數據匹配的選擇器，通過上傳內容的語料庫和圖像中的光學字符識別（OCR）進行文檔指紋識別的選擇器。敏感信息可以從違規日誌中屏蔽。對DLP違規的響應可以包括多個步驟。
除了在交付給SaaS應用程序之前對數據進行加密之外，在保留部分應用程序功能的同時，CipherCloud還可以管理SaaS本機加密機制的密鑰。這些可以存儲在CipherCloud或兼容密鑰管理互操作協議（KMIP）的密鑰管理服務器上。
界面整潔，創建新策略的工作流易於理解和管理。管理員可以快速掌握并快速創建有效的策略。
與去年相比，CSPM有了顯著改善，現在是CipherCloud自己的技術（相對於OEM）。它支持我們今天看到的Gartner客戶要求的主要用例。多個框架（例如CIS）可用於評估AWS，Azure和GCP中的工作負載。
用戶行為的圖形可視化設計得很好。研究人員可以為UEBA遙測添加新屬性，以從歷史數據中獲得新見解。此外，然後可以在CASB中的其他策略（例如定義AAC的策略）中使用用戶對UEBA組的分配。

注意事項

CipherCloud不具備其他領先的CASB供應商所享有的市場份額和客戶知名度，而且在競爭性入圍名單或Gartner客戶查詢中它的出現頻率較低。
CipherCloud仍然專注於CASB市場，在未來幾年中，SASE可能會破壞它。儘管CipherCloud提供的SASE功能有限，但其最近發布的Secure Workplace正在朝著這個方向發展，其路線圖指向了根據SASE標準執行的未來。
CipherCloud將CSPM應用於SaaS應用程序的能力僅限於Salesforce和Office365。當前沒有其他SaaS的CSPM。

力點

2017年2月，Imperva將其Skyfence CASB出售給Forcepoint，該公司現在將其更深入地整合到其產品組合中。這與其他一系列收購一起構成了廣泛的安全產品和服務組合，包括SWG，電子郵件安全，UEBA，DLP和數據安全以及網絡防火牆。

Forcepoint CASB主要作為雲服務運行，但需要其他組件（內部部署或從IaaS雲提供商運行）才能通過日誌提取和高級DLP進行雲發現。對於大多數入門級DLP用例，基於雲的DLP具有足夠的功能。同樣在2017年，Forcepoint同意從Lastline獲得許可證的沙箱技術，該技術與Forcepoint CASB捆綁在一起，對最終用戶透明地運行，從而增強了威脅防護功能。CASB是多模式的，支持正向和反向代理以及API檢查。

長處

策略引擎提供了明確的工作人員，身份，方式，地點，時間。策略包含使用分析得出的“典型”和“不尋常”謂詞。典型的謂詞是從CASB隨時間學習的行為，它們不需要進一步完善。可以明確定義異常謂詞。
Forcepoint CASB分析行為（用戶的行為）和影響（用戶可以訪問的行為），以計算單個用戶的風險評分。這些分數是針對安全實施的風險優先級。
對於以用戶為中心的事件處理，該界面佈局合理，它顯示了用戶上下文中的所有云活動，這使管理員可以輕鬆地調查用戶的整體和詳細行為。
其云服務發現功能務實地專注於業務應用程序，並排除了多餘的服務，例如旅行預訂網站和Wiki。
Forcepoint SWG客戶可以將SWG和CASB策略結合起來，以阻止對風險太大的雲服務的訪問。同樣，Forcepoint DLP客戶可以擴展Forcepoint CASB的策略。

注意事項

儘管Forcepoint的本地DLP與CASB DLP之間的集成已得到改進，但是Forcepoint仍然依靠其單獨的DLP產品（本地或IaaS雲）來配置更為複雜的策略。這些包括指紋識別，針對語料庫和OCR的匹配。可以在雲中的CASB上執行。
為自定義SaaS應用程序添加AAC要求Forcepoint創建一個架構文件，該文件將應用程序中的操作映射到可以通過CASB控制的用戶行為。
對於針對Microsoft RMS的ERDM策略實施，Forcepoint依賴於安裝在設備上的終結點代理。CASB本身無法做到這一點。
CSPM主要用於報告和合規性，而不是策略實施和修改配置。

邁克菲

McAfee在2018年1月完成了對Skyhigh Networks的收購，從而擴大了其DLP，SWG，網絡沙箱等安全性產品組合.McAfee MVISION Cloud（現稱為）是首批提高影子IT意識的CASB產品之一。該產品進行了擴展，可以涵蓋廣泛的雲服務中所有四個CASB支柱，並且現在包括重要的CSPM功能。提供了幾種完善的控件，包括結構化和非結構化數據的加密和令牌化，UEBA，以及具有廣泛選擇器的綜合DLP引擎。CASB主要用於具有某些反向代理模式功能的API檢查。轉發代理也是可能的，但不太常見。本地虛擬設備可用於需要它的客戶。McAfee調整了價格並簡化了許可。MVISION Cloud於2017年11月獲得了中等影響級別的FedRAMP授權，並且即將接受高影響級別的授權。

長處

McAfee提供了一個全面的儀表板，其中包含有關雲安全性分析和修復建議的多個視圖，其中一些視圖可以自動化。
補救措施可以配置網絡防火牆，SWG和端點安全產品中的操作。
McAfee提供了有用的CSPM功能，用於審核，控制和修復雲配置問題-不僅適用於IaaS，而且適用於流行的SaaS應用程序。
Lightning Link功能可以鉤住共享事件，並在觸發器完成之前將操作應用於觸發器，這使基於API的共享控制幾乎實時。
該產品提供了多種選項，可使用本機和第三方分類機制在受制裁和未經制裁的雲服務中檢測，標記和響應託管和非託管設備上的敏感信息。
可以配置多種策略，這些策略可以充分利用API檢查，正向代理重定向和反向代理插入的功能，並由將流量定向到McAfee CASB或SWG的單個代理提供幫助。
為自定義應用程序創建DLP策略不需要編碼。錄製擴展會觀察應用程序運行時的行為，並找到可在DLP選擇器中使用的應用程序元素（例如，字段，變量和文件）。
McAfee為IaaS / PaaS和SaaS提供了超越某些純粹CSPM供應商的廣泛CSPM功能。它包括強大的審核和合規性掃描，以及用於自動和指導性手動修復的多個選項。

注意事項

McAfee客戶必須在MVISION結構中使用兩個DLP引擎。使用DLP時，不清楚哪個引擎將執行掃描和執行。但是，兩者之間的同步是可行的，並且在大多數情況下對於大多數客戶來說都是可以接受的。
UEBA對動態分組的支持僅限於系統定義的組；客戶定義的組成員身份是靜態的。
邁克菲的立場是，應允許以可預測方式交互的受管設備直接訪問SaaS應用程序，而不是通過正向或反向代理傳遞。客戶將需要評估這種立場是否符合其支持的企業安全策略。
儘管McAfee繼續調整其產品線來滿足雲安全購買者的需求，但其龐大的傳統終端，服務器保護以及安全信息和事件管理（SIEM）產品仍然在Gartner客戶之間佔據主導地位。

微軟

2015年9月，Microsoft完成了對Adallom的收購，Adallom是自2013年初開始發售的CASB。MicrosoftCloud App Security（MCAS）是反向代理+ API CASB，可以獨立使用，也可以作為Microsoft Enterprise Mobility +的一部分提供安全（EMS）E5套件。但是，大多數客戶將其作為EMS E3套件的附件購買或作為Microsoft 365 E5的一部分接收，Microsoft 365 E5是Office 365 E5，EMS E5和Windows 10 Enterprise E5的捆綁包。MCAS為CASB的四個支柱提供了功能，並且與任何EMS套件結合使用時，都可以提供更完整的功能。尋求完整功能的Microsoft客戶應評估EMS E3和MCAS的組合。MCAS現在可以反向代理Office 365流量，提供實時的在線檢查。

儘管Gartner客戶經常詢問他們是否需要更大的Microsoft套件，但對於Microsoft整體而言，捆綁已經成功。MCAS在部署的客戶和座位數量上經歷了大幅度的增長，並且在本研究中擁有最大的安裝量。此外，Microsoft現在證明有足夠的證據表明它致力於對Microsoft和非Microsoft雲服務進行等效治理。

某些Office 365訂閱包括Office 365雲應用安全性（OCAS），它是MCAS的子集，具有較少的功能，旨在僅保護Office 365租戶（不保護其他SaaS應用程序）。

長處

MCAS用戶界面非常直觀，其中包含許多有關創建有效策略的提示和建議。複雜的策略可以完全在無需編程或編寫腳本的可視化編輯器中構建。
對於受支持的CCP服務，MCAS在管理控制台中提供了文件歷史記錄跟踪和多版本控制。
Azure信息保護（AIP）策略是文檔分類規則和DLP規則的基礎。動作包括應用訪問控制，限制打印和轉發，應用水印或加密。已經在AIP上進行數據分類的投資的組織將讚賞與MCAS的這種集成。
MCAS匯總來自Office 365，Azure安全中心（對所有Azure客戶免費；需要啟用），許多雲服務和本地產品的事件和配置詳細信息，以提供綜合的風險視圖。
Microsoft Flow為客戶提供跨Microsoft的雲服務和其他服務（包括競爭的IaaS供應商）的類似於SOAR的基本功能。
Microsoft已將完全不同的分類機制合併為一種在MCAS，Office 365，AIP和Windows信息保護（WIP）之間共享的機制。DLP行動非常全面，甚至可以在團隊中發送違規的實時通知（帶有超越業務理由的請求）。免費提供DLP中的OCR。常見敏感數據類型的列表會經常更新。
UEBA界面顯示了跨多個受管雲服務的單個帳戶活動的有用的合併視圖。

注意事項

典型的Microsoft雲安全策略將需要多個Microsoft產品，而不僅僅是CASB。例如，AAC（Azure Active Directory條件訪問）和EDRM（Azure信息保護）需要EMS套件之一。當客戶部署整個套件時，Microsoft的雲安全產品效果最佳。獨立部署或單點部署會減少功能。
通過Azure AD條件訪問來啟用SaaS應用程序以使用反向代理。需要實時代理檢查的客戶還必須使用Azure AD來利用條件訪問功能。
第三方威脅情報集成僅評估傳入連接的IP地址。第三方UEM集成僅限於檢查設備是否擁有數字證書。進一步的設備或應用程序控制需要Intune。

內斯科普

Netskope成立於2012年10月，並於2013年10月開始交付CASB。Netskope是早期的CASB供應商之一，其強調雲應用程序發現和SaaS安全狀態評估。它包括在託管和非託管SaaS應用程序中完善的行為分析和警報。Netskope已獲得中等影響級別的FedRAMP授權，並且是本魔力像限中唯一適合需要此類授權的機構的其他CASB供應商。

Netskope最常見的實現模型是API檢查和正向代理。可以通過多種機制將流量控製到轉發代理，包括端點客戶端，網絡配置（例如GRE或IPSEC），本地設備（安全轉發器或代理鏈）以及第三方SD-WAN集成。反向代理也可用。該代理允許監視和控製本地移動應用程序並同步客戶端，並用於將流量引導到Netskope的雲（其主要功能）中。Netskope通過添加在線代理和基於API的惡意軟件內容檢查，進一步擴展了其威脅防護功能。為了擴大對更多購買者的吸引力，Netskope提供了SWG和零信任網絡訪問（ZTNA）服務，以補充先前對CSPM和事件響應的收購（Sift Security）。

長處

Netskope的願景清楚地表明了對新興SASE市場重要性的認可，並且在這一方向上比任何其他CASB供應商都更進一步。
Netskope的雲信心指數（CCI）雲風險數據庫是全面的，可以根據許多標準來衡量大量服務，這些標準包括有關定價，業務風險和監管就緒程度的詳細信息。
Netskope的DLP引擎可與許多本地工具相媲美，並且被Gartner客戶經常引用作為選擇該產品的原因。
訪問控制策略在各種情況下為用戶提供了許多機會，其中包括帶有適當應用程序鏈接的建議。設備狀態策略可以向端點保護工具（例如，被VMware收購的Carbon Black）發出信號，以採取各種措施，包括與受管SaaS應用程序隔離。
Netskope提供了多個內置的和特定於租戶的威脅情報源，並提供了內部開發的有效威脅防護功能，並從多個OEM處獲得了威脅防護功能。
Netskope為受管設備訪問受管和不受管的雲應用程序提供了廣泛的AAC。該代理還支持檢查移動原生應用程序上的操作。
結構化數據的加密和令牌化支持常見應用程序功能的搜索和部分保留。
今年擴展的CSPM功能現在涵蓋了SaaS和IaaS。

注意事項

UEBA功能是基本的。缺少分析圖限制了可用於建模用戶行為的複雜程度。動態分組不可用，而是依靠SIEM配方。
Netskope撤消第三方對SaaS應用程序的訪問的能力僅限於G Suite（此“魔力像限”發布之時）。
一些Gartner客戶對需要安裝代理程序以從產品中獲取最大價值表示擔憂。
儘管今年的流行程度低於過去，但查詢趨勢繼續顯示出與安裝挑戰，技術支持質量和服務性能有關的少量投訴。

帕洛阿爾托網絡

2015年5月，Palo Alto Networks收購了成立於2013年7月的供應商CirroSecure。PaloAlto Networks將以前分散的產品合併為一個名為Prisma的品牌。Prisma SaaS（以前稱為Aperture）是用於管理SaaS應用程序的基於API的工具。Prisma Access（以前稱為GlobalProtect Cloud Service）是SaaS交付的Palo Alto Networks防火牆版本，並添加了基於代理的SaaS流量檢查。Prisma Cloud是其CSPM產品，最初源自2018年對RedLock的收購。在此之前，Palo Alto Networks購買了實質上類似的CSPM工具Evident.io，該工具已停產並遷移到RedLock。Prisma SaaS的預期市場是Palo Alto Networks客戶，他們尋求僅通過Palo Alto Networks防火牆無法獲得的雲可見性和治理。Prisma SaaS的其他功能包括內容掃描，敏感數據監視，惡意軟件檢測（通過WildFire）和修復，分析，風險識別和報告。它與Ionic合作進行文件加密。

長處

雲風險報告包括大量SaaS和非SaaS Web應用程序，可用於竊取數據。這些顯示了對組織風險的有用的總體視圖。阻止訪問未經批准的服務的規則可以指導用戶使用經批准的服務，並為用戶提供鏈接以方便地導航到那裡。
CSPM功能包括與多個行業基准進行比較，並可以建議適當的配置以滿足多個合規性要求。修復選項包括指導性的手動步驟或（在某些情況下）自動重新配置。
CSPM功能現在擴展到SaaS應用程序。Prisma可以評估和改善常見SaaS應用程序的安全性配置。
Prisma SaaS擴展了使用分類的關鍵字和常見內容類型，而Palo Alto Networks是通過從內容集的機器學習中開發出來的。它可以通過掃描頻繁的單詞組合來識別相關的文檔類型。

注意事項

配置DLP策略需要兩個單獨的控制台。需要在線檢查的策略在Prisma Access中配置，並且是基本的，僅提供一些預定義的模式，字符串和正則表達式。僅通過Prisma SaaS可獲得更高級的策略，因此只能通過對雲服務的API檢查來運行。
Prisma Cloud CSPM檢查和修復規則需要另一個控制台。
儘管Prisma已更名，但Palo Alto Networks需要繼續將其多個雲安全產品轉換為單個一致的產品。

證明點

FireLayers於2014年首次推出，於2017年被Proofpoint收購，並成為Proofpoint CASB，將CASB擴展到Proofpoint現有的威脅響應，移動威脅防禦，遠程瀏覽器隔離（另一筆收購），ZTNA（另一筆收購）和威脅情報產品。Proofpoint的電子郵件安全產品擁有龐大的安裝基礎。Proofpoint的CASB的目標市場是該已安裝用戶群的附加產品，還有不使用Proofpoint產品的新客戶。收購之後，Proofpoint繼續開發該產品，增加了用於改進DLP，高級威脅檢測，威脅情報，雲和第三方OAuth應用程序治理以及內置的雙重身份驗證的功能。Proofpoint還為SaaS添加了多種非代理緩解措施，

長處

Proofpoint的CASB著眼於威脅，可識別各種類別的風險，這些風險可在製定策略時根據需要進行加權，並通過多種威脅情報來源（包括其自己的市場領先產品）加以豐富。
根據用戶的行為和特權，對雲服務的入站操作進行了風險評分。表現出最容易遭受攻擊的用戶（在管理界面中標記為“非常容易受到攻擊的人”）可以分為幾類，以最大程度地減少其受到的攻擊。
Proofpoint的CASB，電子郵件安全性和遠程瀏覽器隔離產品提供了有用的協同作用，對於某些客戶而言，這可能是一個有吸引力的集成和捆綁。
Proofpoint贊成使用遠程瀏覽器隔離機制，而不是反向代理，以允許不受管理的設備訪問批准的SaaS應用程序。遠程瀏覽更易於配置，但需要供應商提供額外的帶寬和計算資源。
一旦檢測到新威脅，Proofpoint可以重新評估以前的事件，以確定該威脅先前是否曾被遺漏，並評估其行為是惡意的還是良性的。

注意事項

Proofpoint在其CASB中沒有有意義的CSPM功能。除了檢測IaaS存儲對像中的DLP違規並從中刪除多餘的權限以及檢測文件是否違反DLP之外，它無法幫助IaaS客戶降低風險或提供IaaS應用程序的治理。
支持自定義應用程序需要供應商參與。客戶可以要求Proofpoint為需要API集成的SaaS應用程序編寫插件；這可能需要長達六個星期的時間。
產品中不提供數據加密和令牌化功能。

賽門鐵克

2016年6月，賽門鐵克收購了Blue Coat Systems，為其產品組合增加了一些安全產品。其中包括以前被Blue Coat收購的兩種CASB：Perspecsys和Elastica。Perspecsys成立於2009年，通過對SaaS應用程序中存儲的數據進行標記化或加密來強調滿足數據駐留要求。Elastica成立於2012年，以其DLP，UEBA和內容檢查功能而聞名。2017年，賽門鐵克收購了遠程瀏覽器供應商Fireglass。該技術被重新引入到CASB中，以替代反向代理來轉發流量。

合併後，更名為Symantec CloudSOC的多模式CASB具有可選的數據加密/令牌化網關。通過日誌分析和流量檢查的結合，CloudSOC可提供有效的雲服務評估等級，雲使用分析，用戶行為分析，惡意軟件分析，補救措施以及向技術和非技術利益相關者報告。在補救功能方面，與以前的研究相比，它還提高了CSPM功能。

賽門鐵克將雲應用程序發現和安全狀態評估功能整合到了SWG客戶的傳統管理控制台中，從而為其完整的CASB創造了追加銷售的機會。賽門鐵克正在努力將其本地DLP設備與CloudSOC的DLP相結合，以一致地發現敏感數據。這是一個單獨的控制台，可能需要其他許可，儘管現在可以使用相同級別的DLP功能在本地和雲中實施相同的策略。

賽門鐵克於2019年宣布打算將其企業安全軟件產品出售給沒有軟件產品投資或集成歷史的芯片製造商Broadcom。因此，尚不清楚對路線圖的持續投資和對CloudSOC的高水平客戶支持。

長處

可以從一系列可選的“檢測器”（包括閾值，威脅，行為，設備，用戶位置和序列）構建AAC。多種類型的策略都可以進行逐步身份驗證。
CloudSOC包括各種基於常見數據格式和類型，字典，文件類型檢測，指紋識別和相似性匹配的預定義DLP選擇器，可以從正負內容的語料庫中進行訓練。
Mirror Gateway是一種遠程瀏覽技術，是對傳統反向代理的有效替代，用於控制非託管設備對已批准應用程序的訪問。它避免了重寫URL的需要，並提供了對交付給用戶的內容的更好控制。
向本策略添加與本機和第三方兩因素身份驗證（2FA）集成的功能廣泛且方便，特別是對於選擇Symantec移動推2FA客戶端的客戶而言。
最近的合同審查一致顯示，無論受管的雲服務數量是多少，CloudSOC的定價都是一致的，並且易於按每用戶/每年的模式使用。

注意事項

儘管用戶界面有所改進，但有時可能很麻煩，有時需要在多個區域之間移動以完全配置單個策略。
反向代理模式現在僅適用於Office365。其他反向代理用例現在需要Mirror Gateway，它是一項單獨許可的功能。
Gartner認為Broadcom對Symantec的企業安全業務的收購在某些方面存在問題。我們預計明年將對員工，合作夥伴，產品路線圖和最終用戶支持造成一定程度的破壞。

供應商添加和刪除

隨著市場的變化，我們審查並調整了魔力像限的納入標準。這些調整的結果是，任何魔力像限中的供應商組合都可能隨時間變化。供應商出現在“魔力像限”中的一年而不是第二年並不一定表明我們已經更改了對該供應商的看法。這可能反映了市場的變化，因此反映了評估標準的變化，也反映了該供應商的關注點變化。

添加

2019年未添加任何供應商。

掉落

2019年刪除了以下供應商：

Censornet — Censornet沒有達到2019年收入納入標準。
思科- 思科雲安全戰略已經改變。Umbrella品牌強調基於DNS的安全性，CASB，防火牆即服務（FWaaS）和SWG。儘管思科繼續將Cloudlock作為獨立的CASB解決方案出售，但它不符合今年報告的多個納入標準。
Oracle — Oracle無法滿足某些2019年產品配置和產品功能包含標準。
Saviynt — Saviynt無法滿足某些2019產品配置和產品功能包含標準。

納入和排除標準

此魔力像限中的評估代表了評估期間（即2018年7月至2019年7月）中供應商的能力和職位。與所有魔力像限一樣，這是及時的快照，供應商可能會添加此處未捕獲的功能。在某些情況下，產品名稱也會更改。

為了符合納入條件，供應商需要滿足以下條件：

收入和部署- 必須在2018年實現CASB產品在全球的銷售額超過1500萬美元，並且必須至少擁有200個付費客戶和至少20萬個席位。（在計算銷售和客戶數量時，不能包括相鄰或相關的產品。）
地理區域- 必須至少在四個主要區域市場中的兩個競爭：美洲，歐洲，亞太地區（APAC）和中東/非洲。
產品配置- 必須以主要滿足獨立CASB用例的方式銷售產品-也就是說，不依靠某些相鄰的產品或服務來實現功能的四個支柱（可見性，數據安全性，威脅防護和合規性）。
產品功能- 必須符合Gartner對CASB的定義，並具有以下大多數功能：
- 通過提供商API檢查雲服務中的數據和用戶行為
- 作為前向和/或反向代理（Gartner客戶端強烈青睞的功能），在用戶和雲服務之間進行聯機操作，或者可選地提供遠程瀏覽器功能
- 支持各種端點部署和配置選項
- 支持對任何用戶，設備和位置訪問云服務執行訪問控制的能力
- 支持將CASB集成到現有企業的身份提供者和事件管理系統中
- 作為從公共雲交付的多租戶服務進行操作
- （可選）在本地或公共雲環境中充當虛擬或物理設備
- 能夠使用各種形式的高級分析來監視用戶和數據的行為
- 能夠使用多種方法來識別和響應惡意和/或不需要的會話，例如允許，限制，引發多種警報類型，提示進行其他身份驗證，結束會話和指導用戶

如果產品和供應商：

主要依靠傳統產品（例如防火牆或SWG）來提供類似CASB的功能
支持少於10個SaaS應用程序的策略和治理
不要實質性地解決功能的所有四個支柱（可見性，數據安全性，威脅防護和合規性）
不符合Gartner的客戶群，客戶可見度和銷售要求

其他廠商

CASB市場包含的供應商比本魔力像限中評估的供應商多。以下供應商未得到評估，因為他們不滿足一個或多個條件。但是，它們具有某些CASB用例的功能（即使供應商並未積極銷售此類產品）或具有某些類似於CASB的功能的產品：

阿瓦南
審查網
Centraya
思科公司
CloudCodes
福汀
託管方法
Oracle（僅適用於Oracle SaaS應用程序）
薩維恩特
天空衛士
StratoKey

評價標準

執行能力

產品或服務：此標準指的是對SaaS應用程序功能的更改以及SaaS應用程序風險等級的速度/準確性具有快速反應的創新和有效的雲可見性和控制功能。它具有與企業DLP產品相匹敵的強大而準確的DLP功能，包括用於在各種敏感度級別上識別和分類內容的機制。重點關注的重點是盡可能多地進行可見性保護和控制，以及向雲服務中的用戶，設備和內容提供（或與其他工具配合使用）AAC的能力。

總體可行性：這是指持續的資金來源（風險資本或其他），包括客戶，席位和收入的同比正增長。應該是對產品開發和銷售進行持續投資的證據。

銷售執行和定價：此標準包括定價，該定價對使用SaaS應用程序和功能的使用幾乎沒有限制，並具有定價合理的可見性用例。由於更好的價值和客戶用例與有效的銷售，售前和營銷團隊的契合，供應商應該能夠成功地競爭取代現有企業的交易，並贏得競爭激烈的入圍名單。

市場響應能力和跟踪記錄：與競爭對手相比，開發創新的安全控制要快得多，可以解決各種用例，並可以快速緩解雲安全威脅。

市場營銷執行：在此魔力像限迭代中未評估。

客戶經驗：可以由現有客戶人員執行日常操作。部署後，最終用戶對雲服務的體驗或行為不會發生重大變化。評估了一條支持升級路徑，該路徑允許在嚴重性適當時與供應商支持資源（包括最高嚴重性級別的工程師）進行通信。

操作：在此魔力像限迭代中未評估。

表1 ：執行評估標準的能力

評價標準	權重
產品或服務	高
總體生存能力	介質
銷售執行/定價	介質
市場響應度/記錄	介質
營銷執行	沒有評分
客戶體驗	高
運作方式	沒有評分

資料來源：Gartner（2018年10月）

願景的完整性

市場了解：這是指滿足或超過本機雲安全功能要求的可見性，保護和控制功能的正確組合。還應考慮創新，預測客戶需求並在新功能方面領先於競爭對手，以及與其他安全產品和服務的集成。最後，供應商必須解決各種規模的組織與使用多個雲服務相關的挑戰性問題。

營銷策略：在此“魔力像限”迭代中未進行評估。

銷售策略：此標準包括對SaaS（和SaaS安全性）和其他雲服務購買者並不總是在IT部門的認可。權衡了使用雲的組織所熟悉的定價和打包，包括即時的部署後售後協助。與現有客戶的定期跟進聯繫必須顯而易見，同時還要有一個功能強大的渠道計劃，該計劃可以使所有可用地理位置的組織都能對產品或服務進行一致性和高質量的訪問。

提供（產品）策略：備受好評的產品必須顯示出對SaaS應用程序支持的全面和深度，對雲應用程序中的更改做出快速反應的能力以及強大且面向操作的用戶行為分析。此外，他們必須成功完成第三方評估（例如ISO 27001或SOC 2），全面的路線圖以及持續的功能節奏，並支持IaaS中的自定義應用程序。

商業模式：評估通過研發投入開發新功能和創新的過程和成功率。這包括對與保護多個雲應用程序相關的特定挑戰的已證明的理解，以及將這種理解轉化為競爭性的進入市場策略的跟踪記錄。

垂直/行業策略：此標準評估產品設計和功能的證據，以解決特定於行業的，高於平均水平的要求（用於控制敏感信息和滿足監管要求）的獨特性質。它還評估具有多個雲服務和多個客戶規模的多個垂直領域的部署證據。價格應針對多個不同行業領域的實際可用資金和預算進行量身定制。

創新：此標準包括持續進行研發的證據，這些差異與質量差異有關，例如績效，管理界面和報告的清晰度。功能應與雲安全責任的分佈式性質的實際情況保持一致（例如，用於各種安全/審計角色的控制台和用於業務部門管理其策略部分的控制台）。其中包括一個路線圖，該路線圖顯示了平台重點，對更多雲服務的持續支持以及應對不斷發展的威脅的策略-包括高級威脅檢測和緩解功能，以及強大的內部威脅和風險研究小組。

地理策略：權衡與產品銷售地區相關的第三方證明，以及幫助客戶滿足地區合規性要求的能力。供應商應該有一個有效的渠道，可以在每個可用的地理位置提供一致的消息傳遞和支持。

表2 ：視覺評估標準的完整性

評價標準	權重
市場了解	高
市場策略	沒有評分
銷售策略	介質
提供（產品）策略	高
商業模式	介質
縱向/產業戰略	低
革新	高
地理策略	低

資料來源：Gartner（2018年10月）

象限說明

領導者

領導者在所有執行和願景類別中均表現出平衡的進步和努力。他們的舉動提高了市場上所有產品的競爭水平，並且可以改變行業發展方向。要保持領導地位，供應商必須展示在企業CASB部署中成功交付並贏得競爭評估的良好記錄。領導者生產的產品體現了CASB的所有功能和體系結構選擇，提供了許多雲服務的覆蓋範圍，可以應對客戶挑戰或在面臨挑戰之前進行創新，並具有廣泛的用例。領導者不斷贏得選擇，並在企業入圍名單中始終可見。但是，領先的供應商並不是每個買家的默認選擇，客戶不應假設他們只應從“領導者”象限中的供應商處購買。

挑戰者

挑戰者提供的產品可滿足市場的典型需求，具有強勁的銷售，巨大的市場份額，知名度和影響力，這些產品的總執行力要高於Niche Player。挑戰者通常會在已建立的客戶群中取得成功；但是，它們通常在競爭性選擇中表現不佳，並且通常落後於新的或改進的功能介紹或體系結構選擇。

有遠見的人

有遠見的人投資於在下一代產品中具有重要意義的領先功能/“出血”功能，並使購買者儘早獲得改進的安全性和管理能力。有遠見的人可以影響市場技術發展的進程，但他們缺乏超越挑戰者和領導者的執行能力。

利基玩家

利基播放器提供了可行的產品或服務，可以用更狹窄的用例滿足某些購買者的需求。利基玩家不太可能出現在入圍名單中，但如果有適當的機會，他們的表現會很好。儘管他們可能缺乏改變市場走向的影響力，但不應將他們視為僅跟隨領導者。利基市場參與者可能會處理整個市場的子集（例如，中小型企業[SMB]，垂直市場或特定地理區域），而且他們通常比領導者更有效率。Niche Player可以是尚無資源或功能無法滿足所有企業要求的較小供應商，也可以是在不同市場中運營且尚未採用CASB思維方式的較大供應商。

語境

雲服務的迅速採用使許多安全團隊措手不及。必須回答云環境中用戶，設備和數據應用程序交互的可見性，才能回答以下問題：“如何在他人的系統中保護我的數據？”

Gartner每年繼續收到來自客戶的數百個詢問，詢問如何選擇和實施CASB。形成了常見的用例，使IT安全主管可以在競爭環境中對供應商進行核心功能的比較。我們強烈建議從一個合理詳細的用例列表開始，這些用例針對您的確切需求。從那裡，可以開發概念證明（POC），這將使獲取變得相當容易。（有關用例起點和POC評估標準的建議，請參見“成功的CASB項目的10個最佳實踐” 。）

CASB供應商市場已達到相對穩定的程度。所有供應商都提供了各種機制，可以為不斷增長的雲服務列表增加安全性。現在，許多供應商正在尋求通過添加功能來實現差異化的方法，這些功能超出了解決經典CASB用例所需的功能。

功能齊全的CASB平台可提供更多功能，更多雲服務以及更廣泛的企業用例，以保護您在雲服務中的數據。這種敏捷性仍然超過了CSP以及其他提供CASB功能子集作為其安全技術擴展的其他供應商提供的安全功能。此外，領先的CASB供應商的平台誕生於雲中，並且是為雲設計的。與CASB功能相比，它們對用戶，設備，應用程序，事務和敏感數據有更深入的了解，CASB功能是對傳統網絡安全和SWG安全技術的擴展。

買家需要查看CASB提供商所支持的應用程序和服務的列表，並仔細檢查感興趣的CASB如何專門支持其組織正在使用和計劃中的雲應用程序。最受歡迎的SaaS應用程序（例如Office 365，Salesforce和Box）享有良好的功能覆蓋範圍；這些服務在整個CASB市場上的差異較小。但是，可能會存在很大的功能差異，這取決於對SaaS應用程序功能，CASB體系結構，用戶和設備狀態的熟悉程度以及與現有相鄰安全工具（例如身份提供者，日誌管理和報告系統以及事件響應工具）的集成而顯示出來。。特別重要的是CASB供應商選擇僅支持雲API或還包括嵌入式機制，例如正向或反向代理或遠程瀏覽。該體系結構決策從根本上定義了CASB如何執行不同的動作。這對於該提供商如何為特定的雲服務交付四個支柱具有影響。Gartner客戶絕大多數都喜歡同時提供API和在線檢查的CASB，我們將其稱為多模式架構。

隨著雲服務API公開更多的可見性，改進的控製程度以及有時接近實時的性能，對內嵌流量攔截的需求將逐漸減少。儘管今天或中期情況並非如此，但我們預計最傑出的雲應用程序和服務提供商將在未來兩到三年內繼續大力開發其API（即使他們不追求符合行業標准或建議的標準），例如Cloud Security Alliance的Open API Charter）。API將越來越多地提供更多的實用程序，從而支持尚未設想到的更新安全用例的潛力。但是，較小的SaaS提供商可能永遠不會開發有用的API來進行可見性和控制，因此通過代理進行內聯可見性的需求不太可能會完全消失。

市場概況

大量的風險投資資金（數億美元）推動了CASB市場的初步增長。大型供應商的收購以及缺乏新的快速成長的初創公司表明市場已經達到成熟點。相鄰市場中的其他供應商（例如IDaaS，SWG和統一端點管理[UEM]）定期與CASB供應商合作以擴大影響範圍並尋找新的購買者。CASB也可能是鄰近市場的供應商通過進一步收購進入競爭的驅動器，例如UEM，SWG，防火牆或其他提供（或希望提供）雲安全性的供應商。

對CASB的興趣非常強烈，客戶採用的速度很快，這是由各種規模的企業推動的，他們都將云作為新項目的默認起點以及下一步對現有應用程序進行更新和增強的方式。為了滿足對雲中的安全可見性和控制點的迫切需求，現有的安全廠商在很大程度上已購買了進入CASB市場的方式，以啟動新的或擴展現有的雲安全產品組合。市場的合併和收購階段已經停止。但是，在此魔力像限中評估過的剩餘的兩家CASB純服務供應商（Bitglass和CipherCloud）有時可能會成為收購目標。

顯而易見的一件事是雲安全性有兩個方面。第一個是從雲提供安全性的概念，其中電子郵件安全，Web過濾，防火牆和SIEM等現有技術已從本地設備轉移到了雲提供的服務中。第二個方面是確保對雲服務的訪問安全，其中CASB，CSPM，雲工作負載保護平台（CWPP）和IDaaS等功能顯然是至關重要的工具。這兩個方面是相關的，但在範圍，設計和部署方法以及它們在管理用戶，數據，操作，事務和應用程序的生命週期中所處的位置方面根本不同。

Gartner認為有四種IT趨勢將推動CASB市場的擴展和成熟：

企業開始採用自帶（BYO）的傳統PC和非PC外形，而不受管理的設備的使用量也在增加。在企業中，平板電腦和智能手機在核心業務流程中的大量採用產生了安全風險，而CASB可以有效地緩解這種風險，因為普通企業最終用戶在非PC設備上花費的屏幕時間明顯更多。儘管員工BYOPC可能正在減弱，但業務合作夥伴對雲服務的訪問肯定在增加。CASB在這裡也扮演著角色，為業務合作夥伴訪問企業數據提供了單獨的策略。
企業遷移到雲服務。雲的採用沒有絲毫放緩的跡象。Gartner預計SaaS支出將是IaaS的兩倍（請參閱“預測：全球公共雲服務，2017-2023年，19年第二季度更新” ）。明確需要管理雲使用並證明已到位。大量的支出和計算將聚集在CSP周圍。從長遠來看，這會影響基於本地的技術，包括安全軟件和設備市場。
供應商的大量雲投資。現在，大多數大型企業軟件提供商（例如Oracle，IBM，Microsoft和SAP）都在雲上進行了大量投資，並正在積極將其大型安裝基礎遷移到其云服務中。定期的企業軟件升級週期已轉變為以連續功能更新為特徵的訂閱模型。企業安全團隊將需要類似於CASB的功能來應對這種演變帶來的安全隱患。
不斷增長且不確定的監管環境。通用數據保護法規（GDPR）和澄清海外合法使用數據（CLOUD）法案等法規要求組織了解其數據在何處，因為它們已經在雲服務之間共享。

雲和移動的力量從根本上改變了數據和事務在用戶和應用程序之間的移動方式。因此，使用雲的組織將需要調整安全控制投資的優先級。

為了擴大用例範圍，大多數CASB供應商已在其產品中添加了CSPM功能。CSPM評估和管理雲控制平面的安全狀況，主要是針對IaaS和PaaS以及越來越多的SaaS。更好的產品可以在多個公共雲提供商之間提供此策略，以實現一致的策略執行-例如，當任何IaaS中的網絡組直接暴露於公共Internet時發出警報或阻止。對於基於IaaS的大型工作負載部署，應從CASB中將CSPM功能視為強制性的；這項研究偏向那些朝CASB + CSPM合併方向發展的供應商。儘管有一些僅CSPM的供應商，但他們發現與提供CASB和CSPM組合產品以及CWPP和CSPM組合產品的供應商競爭更加困難。

一些SaaS供應商不鼓勵將諸如代理，緩存和WAN優化器之類的產品放置在其服務的前面。令人擔憂的是，性能或可用性問題完全位於其他產品之內，將被視為雲服務本身的問題。不要讓這種情況阻止您在線評估和部署CASB。SaaS供應商無法對其客戶使用服務的方式施加限制。同時，應鼓勵SaaS供應商繼續開發一系列支持企業集成和安全用例的API，這些API以功能的廣度和深度以及性能和可用性為基礎。如果雲提供商充分改進了API，則可以減少在其服務前使用代理的需求。對任何問題進行故障排除將需要您在調查中包括CASB。在某些情況下，CASB可以協助而不是阻礙此故障排除過程。

The SASE：雲交付的安全融合

如上所述，Gartner在從雲提供安全性和保護對雲服務的訪問之間做出了區分。我們正在目睹前者的可信融合。Gartner已將這種現象識別為新市場：SASE。該新興產品將全面的WAN功能與全面的網絡安全功能（例如SWG，CASB，防火牆即服務（FWaaS），遠程瀏覽器隔離和ZTNA）相結合，可滿足數字企業的動態安全訪問需求。（“網絡安全的未來在雲中” 描述了這種融合。）對於這個魔力像限來說，重要的是，認識到並向SASE邁進的CASB供應商（無論是在其運輸產品還是在其路線圖中）都顯示出更好的願景，沒錯

評估標准定義

執行能力

產品/服務：供應商為定義的市場提供的核心商品和服務。這包括當前的產品/服務功能，質量，功能集，技能等，無論是本地提供還是通過市場定義中定義的和子標準中詳細說明的OEM協議/合作夥伴關係提供。

總體生存能力：生存能力包括對整個組織財務狀況，業務部門財務和實際成功的評估，以及各個業務部門將繼續投資該產品，繼續提供該產品並改善其狀態的可能性。組織產品組合中的藝術。

銷售執行/定價：供應商在所有售前活動中的功能以及支持這些功能的結構。這包括交易管理，定價和談判，售前支持以及銷售渠道的整體有效性。

市場響應能力/記錄：隨著機會的發展，競爭對手的行動，客戶需求的發展以及市場動態的變化，能夠做出響應，改變方向，保持靈活性並取得競爭性成功。此標準還考慮了供應商的響應歷史。

市場營銷執行：計劃的清晰度，質量，創造力和功效，旨在傳達組織的信息以影響市場，促進品牌和業務，提高產品知名度並在產品/品牌和組織中建立積極的認同感。買家的想法。這種“思想分享”可以通過宣傳，促銷計劃，思想領導力，口口相傳和銷售活動來實現。

客戶體驗：關係，產品和服務/計劃，使客戶能夠成功評估產品。具體來說，這包括客戶獲得技術支持或客戶支持的方式。這也可以包括輔助工具，客戶支持計劃（及其質量），用戶組的可用性，服務級別協議等。

運營：組織實現其目標和承諾的能力。因素包括組織結構的質量，包括技能，經驗，程序，系統和其他使組織能夠持續有效地運作的工具。

願景的完整性

市場了解：供應商了解買方需求和將其轉化為產品和服務的能力。表現出最高遠見的供應商會傾聽並了解買家的需求，並可以通過增加遠見來塑造或增強他們的需求。

營銷策略：清晰，差異化的消息集，在整個組織中始終如一地傳達，並通過網站，廣告，客戶計劃和定位聲明進行外部化。

銷售策略：使用直接和間接銷售，市場營銷，服務和溝通分支機構的適當網絡的產品銷售策略，可擴展市場範圍，技能，專業知識，技術，服務和客戶群的範圍和深度。

提供（產品）策略：供應商的產品開發和交付方法強調差異，功能，方法和功能集，以適應當前和未來的需求。

業務模型：供應商基本業務命題的合理性和邏輯性。

垂直/行業策略：供應商的策略，用於引導資源，技能和產品以滿足包括垂直市場在內的各個細分市場的特定需求。

創新：用於投資，合併，防禦性或先發製人的資源，專業知識或資本的直接，相關，互補和協同的佈局。

地理策略：供應商的策略，可以直接或通過適合於該地理和市場的合作夥伴，渠道和子公司來引導資源，技能和產品以滿足“本國”或本地地理之外的特定地理需求。

資料來源:https://www.gartner.com/doc/reprints?id=1-1XFYTPKZ&ct=191018&st=sb