李匯

當(dāng)企業(yè)業(yè)務(wù)大量向云端轉(zhuǎn)移，云上安全問題變得愈加嚴(yán)峻，如何保障云端業(yè)務(wù)的安全成為企業(yè)關(guān)注的重點(diǎn)問題之一。前不久，網(wǎng)絡(luò)安全企業(yè)派拓網(wǎng)絡(luò)（Palo Alto Networks）發(fā)布了一份云安全報(bào)告，揭示亞太區(qū)大型企業(yè)云安全現(xiàn)狀，發(fā)現(xiàn)很多情況下，普遍的認(rèn)知與最了解情況的專業(yè)人士感受不符。

為了讓大家對(duì)當(dāng)前企業(yè)云安全的現(xiàn)狀有更深層次的認(rèn)識(shí)和理解，Palo Alto Networks亞太區(qū)首席安全官Kevin OLeary對(duì)該報(bào)告進(jìn)行了詳細(xì)的解讀。

80 %企業(yè)認(rèn)識(shí)到云端安全問題

Kevin OLeary認(rèn)為，目前大部分企業(yè)已經(jīng)意識(shí)到云端的安全問題，在本次調(diào)查中，有80 %的亞太區(qū)企業(yè)認(rèn)為云應(yīng)用中的安全和隱私問題是最大挑戰(zhàn)。在調(diào)查過程中，Palo Alto Networks發(fā)現(xiàn)，目前來自云端的安全問題主要包括3個(gè)層面：

第一，不安全的接口和API占到相當(dāng)大部分，約為61 %；

第二，由于不安全的接口和API過多，導(dǎo)致數(shù)據(jù)泄露和丟失嚴(yán)重，達(dá)到57 %；

第三，有51 %的企業(yè)上云后，所有的資產(chǎn)和配置沒有統(tǒng)一的安全管理視圖。

此外，報(bào)告顯示，雖然有80 %的企業(yè)認(rèn)識(shí)到了云安全的重要性，但仍有70 %的決策者完全依靠云供應(yīng)商提供的安全措施，他們認(rèn)為這些措施足夠保護(hù)他們免受云安全威脅。

也正是出于對(duì)云端安全的重視，不少企業(yè)紛紛使用安全工具進(jìn)行安全防護(hù)。數(shù)據(jù)顯示，有59 %的參與調(diào)查企業(yè)擁有超過10個(gè)安全工具在同時(shí)運(yùn)行。不可否認(rèn)這些安全工具確實(shí)能夠起到一定的防護(hù)作用，但由于這些工具過于分散，會(huì)對(duì)企業(yè)的多云平臺(tái)架構(gòu)管理造成困擾。Kevin OLeary提到，復(fù)雜性意味著對(duì)安全很難做到及時(shí)的響應(yīng)和處理。

當(dāng)然有一部分企業(yè)能夠?qū)υ粕系陌踩{管理形式有較為統(tǒng)一的管理界面，能夠清晰地看到安全上的統(tǒng)一策略，統(tǒng)一視圖，但這樣的企業(yè)也僅占到訪談企業(yè)的36 %，大部分企業(yè)還是沒有統(tǒng)一管理安全的能力。而現(xiàn)實(shí)中所面臨的云端安全問題遠(yuǎn)不止于此。調(diào)查顯示，有相當(dāng)一部分企業(yè)從未開展過安全審核或不能保證每年進(jìn)行審核，還有57 %的企業(yè)不能每年度對(duì)IT安全人員提供網(wǎng)絡(luò)安全培訓(xùn)，Kevin OLeary表示：“上云平臺(tái)之后的云安全問題，不僅有技術(shù)層面的原因，也有因?yàn)榘踩庾R(shí)薄弱而造成的，這些都是當(dāng)前企業(yè)在安全方面面臨的主要問題。”

中國云安全問題更為嚴(yán)峻

根據(jù)Palo Alto Networks大中華區(qū)總裁陳文俊介紹，這些安全問題在中國更為明顯，相比之下中國企業(yè)更加依賴于云供應(yīng)商提供的安全防護(hù)，并對(duì)其工作的SaaS環(huán)境安全度表示認(rèn)可。調(diào)查顯示，中國企業(yè)的安全問題相比亞太區(qū)更為嚴(yán)峻。

云安全建議

為了幫助用戶提升云上業(yè)務(wù)的安全性，陳文俊提出以下幾點(diǎn)建議：

第一，安全需要從一開始就集成于云環(huán)境中，安全應(yīng)成為加速云采用的助推器。他認(rèn)為上云是一個(gè)安全的趨勢，無論laaS，Paas，SaaS都是未來的趨勢，上云后基礎(chǔ)架構(gòu)不在用戶側(cè)，用戶不能過分依賴服務(wù)商提供的安全，而應(yīng)該以責(zé)任共享的理念將安全集成到云環(huán)境中。

第二，在各類云部署中創(chuàng)建一致的安全策略，可以通過工具來幫助正確實(shí)施這些策略，這些工具能夠?qū)θ吭瀑Y產(chǎn)及其面臨的威脅形成統(tǒng)一視圖。用戶可能會(huì)部署阿里云、騰訊云、亞馬遜云、微軟云乃至更多的云，在多云的環(huán)境下如何能保證安全策略是一致的，同時(shí)一個(gè)界面、同一個(gè)視圖可以看到所有云上的應(yīng)用和資產(chǎn)，一開始需要建立統(tǒng)計(jì)策略，而不是光靠云服務(wù)商的保護(hù)。

第三，允許多云環(huán)境的平滑部署和輕松擴(kuò)展，消弭高度受控的安全團(tuán)隊(duì)與高度敏捷的研發(fā)團(tuán)隊(duì)之間的差距。多云環(huán)境中，云的資源非常便于使用，但同時(shí)也帶來了更多的安全風(fēng)險(xiǎn)。在多云環(huán)境中用戶要知道如何進(jìn)行擴(kuò)展，要明白安全團(tuán)隊(duì)的嚴(yán)格要求。但作為使用方，用戶的開發(fā)團(tuán)隊(duì)又希望很快，如何減少摩擦，并在多云環(huán)境中提供安全保障至關(guān)重要。

第四，增加對(duì)IT和非IT人員的審核與培訓(xùn)。用戶上云以后，大家對(duì)安全的審計(jì)或者安全的意識(shí)不足，一些IT或非IT人員乃至一些領(lǐng)導(dǎo)安全意識(shí)不足，加強(qiáng)上云以后IT或非IT人員的審計(jì)和培訓(xùn)非常必要。

第五，借助本地集成的、數(shù)據(jù)驅(qū)動(dòng)且基于分析的方法（包括機(jī)器學(xué)習(xí)、人工智能），實(shí)現(xiàn)威脅情報(bào)的自動(dòng)化，避免人工出錯(cuò)情況的發(fā)生。隨著大數(shù)據(jù)、機(jī)器學(xué)習(xí)和人工智能的大規(guī)模應(yīng)用，用戶希望通過大數(shù)據(jù)分析自動(dòng)化地進(jìn)行安全防御和威脅的防控，希望減少人工的錯(cuò)誤。相比較而言，很多黑客攻擊都是通過機(jī)器進(jìn)行，如果用戶通過人工進(jìn)行防御，反應(yīng)速度遠(yuǎn)遠(yuǎn)不足。因此建議用戶用更多的大數(shù)據(jù)、人工智能和機(jī)器學(xué)習(xí)去做自動(dòng)化的防御和抵抗。