英国的公司网站里,每三个访问者大概有两个,连上的其实是一家美国公司架在边缘的服务器——这不是猜测,是网络安全数据公司CipherCue扫了英国、荷兰、意大利、西班牙、法国、德国、波兰七个市场、共19,450家公司主站之后给出的结论。更扎眼的是,把美国厂商单挑出来排名,Cloudflare在这七个国家全部拿了第一,排在所有其他美国公司、欧洲本土厂商、本地ISP前面。数字够劲爆,但真正值得琢磨的是,它量的到底是什么,又是谁在讲这个故事。
七国扫描,两个例外
CipherCue的方法很直接:解析每家公司主域名的DNS记录,看回应的IP归属哪家网络运营商,再按厂商总部国籍归类。
| 国家 | 美国厂商份额 | Cloudflare份额 | 备注 |
|---|---|---|---|
| 英国 | 67.5% | 最大单一厂商 | 美国厂商过半 |
| 荷兰 | 53.6% | 最大单一厂商 | 美国厂商过半 |
| 意大利 | 48.4% | 最大单一厂商 | 美国厂商相对多数 |
| 西班牙 | 44.6% | 最大单一厂商 | 美国厂商相对多数 |
| 法国 | 44.2% | 最大单一厂商 | 美国厂商相对多数 |
| 德国 | 31.0% | 最大单一厂商 | 本土主机商份额明显更高 |
| 波兰 | 18.8% | 最大单一厂商 | 本土主机商份额明显更高 |
德国和波兰是例外。德国有Hetzner、IONOS、STRATO、Mittwald这类扎根很深的本土主机商,波兰有Home.pl、NetArt这些自家玩家,这两国的美国厂商份额明显被压低。其余五国,美国厂商要么是相对多数,要么直接过半。
这把尺子量的是门面,不是地基
CipherCue自己说得很清楚:这是"厂商归因"研究,不是地理位置研究。一个法国访客打开一个挂在Cloudflare后面的法国网站,大概率是被Cloudflare在法国本地的边缘节点响应的——响应速度快不等于数据留在欧洲,边缘节点背后的源站服务器可能在任何地方,包括客户自己的机房,也可能是某家欧洲云厂商。
- 风险.报告本身列出了六项没测的东西——物理机房位置、源站托管商、EU次级处理者安排、数据面隔离、租户配置、控制面归属地。真正决定"数据主权"的往往是这些没被测到的层,而不是谁在门口接客。
换句话说,这份报告称的是欧洲网站的门面,不是地基。门面被美国公司占了七成,不代表地基也是。
换一把尺子,德国的"发达"未必成立
有意思的地方在这里。CipherCue用DNS/ASN归因方法算出德国美国厂商份额只有31.0%,是七国里最低的,叙事是"德国本土主机业发达"。但如果换成传统的主机市场份额统计口径,德国最大的本土厂商IONOS的市场份额也就在个位数,Hetzner更是不到1%——这跟"发达"这个词给人的量级感,差得不小。
这不是说两组数字互相打脸。它们数的根本不是一回事:一个数的是"公司网站门面挂着谁家招牌",一个数的是"主机市场合同签给了谁"。统计对象不同,数字自然不能直接互推。但正因为普通读者很容易把这两种"份额"当成同一件事来理解,这套方法论差异就值得说清楚——同一个"欧洲数字主权"话题,换一把尺子就能讲出两个版本的故事。孟子讲"尽信书,不如无书",放在这类数据报告上同样适用:方法论决定叙事方向,单看一份报告下结论,风险不小。
谁在数这本账
CipherCue不是学术机构,是一家做供应链风险情报的商业公司,这份报告是它系列内容的一部分——此前还发过一份研究美国上市公司邮件供应商垄断格局的报告,同样的关键词归类法,同样公开披露观测窗口。报告结尾那句话说得很直白:"对政策制定者来说这是基准线,对采购方来说这是库存问题。"
这句话就是销售逻辑。"库存问题"意味着企业需要有人帮它盘清楚自己到底依赖了哪些美国厂商,而这正是CipherCue这类公司要卖的服务。报告本身的事实没问题,但它不是中立的学术调查,是一份带着获客目的的市场地图。
Cloudflare站在七国门口收过路费,这份报告替它数了人头,顺带也替自己数了潜在客户。
CipherCue没有说欧洲公司不该用美国厂商——这个立场是诚实的。Cloudflare在DDoS防护和边缘节点规模上确实有欧洲对手够不着的技术优势,企业选它是合理的市场行为,不完全是地缘政治问题。
真正值得记住的是:欧盟这几年围绕NIS2、DORA、云主权认证草案讨论供应链集中风险,讨论的起点往往还停留在"用了哪家云、哪个数据中心区域",却没先问一句更基础的问题——谁站在公司网站的最前面。这份报告至少把这个问题摆到了桌面上,只是答案该信到什么程度,还得看你信的是哪把尺子。
