■本刊記者 趙志遠(yuǎn)

盡管在過(guò)去人們對(duì)云安全高度重視，并為此進(jìn)行大量投入，似乎在人們眼中，云安全防護(hù)措施已經(jīng)得到了極大改善，但其效果究竟如何？

Palo Alto Networks 公司在近日發(fā)布的一份云安全報(bào)告中揭示了亞太地區(qū)大型企業(yè)云安全現(xiàn)狀，發(fā)現(xiàn)實(shí)際情況與人們的感受并不相符。

該調(diào)查指出，大型企業(yè)（指員工超過(guò)200 人的企業(yè)）并沒(méi)有準(zhǔn)備好應(yīng)對(duì)云網(wǎng)絡(luò)安全威脅。更重要的是，他們還會(huì)假設(shè)公有云是默認(rèn)安全的。在中國(guó)，78%的安全決策者認(rèn)為云供應(yīng)商提供的安全足以保護(hù)其免受云威脅傷害，而82%的中國(guó)企業(yè)會(huì)認(rèn)為其工作的SaaS 環(huán)境高度安全。

可見(jiàn)，云安全現(xiàn)狀依舊不容樂(lè)觀，更為揪心的是，這種錯(cuò)誤認(rèn)識(shí)在企業(yè)中還相當(dāng)普遍。因此，讓企業(yè)充分認(rèn)識(shí)到問(wèn)題的嚴(yán)重性及其在云安全防護(hù)中的責(zé)任成為當(dāng)務(wù)之急。

Palo Alto Networks 大中華區(qū)總裁陳文俊表示，“企業(yè)需認(rèn)識(shí)到云安全其實(shí)是一種共同的責(zé)任。云供應(yīng)商負(fù)責(zé)其基礎(chǔ)設(shè)施的安全，而確保存儲(chǔ)在基礎(chǔ)設(shè)施之上的數(shù)據(jù)與應(yīng)用安全，則是企業(yè)自身的責(zé)任?！?/p>

如今很多企業(yè)在進(jìn)行網(wǎng)絡(luò)安全建設(shè)時(shí)會(huì)部署許多安全工具，Palo Alto Networks亞太區(qū)域首席安全官Kevin O’Leary 認(rèn)為，這一結(jié)果喜憂(yōu)參半，可喜的是企業(yè)認(rèn)識(shí)到了安全的重要性并為此做出了工作，但卻帶來(lái)一個(gè)負(fù)面的影響就是這些工具過(guò)于分散。

該調(diào)查也證實(shí)了這一點(diǎn)，在參與調(diào)查的公司中，76%的中國(guó)企業(yè)（亞太區(qū)為59%）在其基礎(chǔ)設(shè)施中部署了超過(guò)10個(gè)安全工具。但這也造成了安全態(tài)勢(shì)的碎片化，尤其當(dāng)企業(yè)在多云環(huán)境中運(yùn)行時(shí)，使得云安全管理更加復(fù)雜。

缺少對(duì)安全的整體視圖是以上安全工具過(guò)多問(wèn)題導(dǎo)致的直接結(jié)果，特別是大型企業(yè)中采用多云戰(zhàn)略尤甚。另外，大型企業(yè)往往沒(méi)有足夠的時(shí)間和資源用于對(duì)云安全審核與培訓(xùn)工作，有45%的中國(guó)企業(yè)無(wú)法做到每年對(duì)IT 安全人員進(jìn)行安全培訓(xùn)。

因此，要實(shí)現(xiàn)真正的云安全尚任重道遠(yuǎn)，Palo Alto Networks 建議，企業(yè)需要對(duì)所有云原生服務(wù)形成統(tǒng)一視圖，以應(yīng)對(duì)安全工具過(guò)多帶來(lái)的復(fù)雜性和碎片化，企業(yè)最好配備一個(gè)中央控制面板，利用包括人工智能在內(nèi)的技術(shù)來(lái)防御已知和未知威脅，且當(dāng)數(shù)據(jù)意外暴露時(shí)能夠快速修復(fù)。

而針對(duì)云安全審核與培訓(xùn)的缺乏，一來(lái)企業(yè)應(yīng)增加對(duì)IT和非IT人員的審核與培訓(xùn)，另外，借助本地集成的、數(shù)據(jù)驅(qū)動(dòng)且基于分析的方法（包括機(jī)器學(xué)習(xí)、人工智能）實(shí)現(xiàn)威脅情報(bào)的自動(dòng)化，以減少對(duì)人工的依賴(lài)也是很好的選項(xiàng)。