云真的安全了嗎？

■本刊記者 趙志遠

盡管在過去人們對云安全高度重視，并為此進行大量投入，似乎在人們眼中，云安全防護措施已經得到了極大改善，但其效果究竟如何？

Palo Alto Networks 公司在近日發布的一份云安全報告中揭示了亞太地區大型企業云安全現狀，發現實際情況與人們的感受并不相符。

該調查指出，大型企業（指員工超過200 人的企業）并沒有準備好應對云網絡安全威脅。更重要的是，他們還會假設公有云是默認安全的。在中國，78%的安全決策者認為云供應商提供的安全足以保護其免受云威脅傷害，而82%的中國企業會認為其工作的SaaS 環境高度安全。

可見，云安全現狀依舊不容樂觀，更為揪心的是，這種錯誤認識在企業中還相當普遍。因此，讓企業充分認識到問題的嚴重性及其在云安全防護中的責任成為當務之急。

Palo Alto Networks 大中華區總裁陳文俊表示，“企業需認識到云安全其實是一種共同的責任。云供應商負責其基礎設施的安全，而確保存儲在基礎設施之上的數據與應用安全，則是企業自身的責任。”

如今很多企業在進行網絡安全建設時會部署許多安全工具，Palo Alto Networks亞太區域首席安全官Kevin O’Leary 認為，這一結果喜憂參半，可喜的是企業認識到了安全的重要性并為此做出了工作，但卻帶來一個負面的影響就是這些工具過于分散。

該調查也證實了這一點，在參與調查的公司中，76%的中國企業（亞太區為59%）在其基礎設施中部署了超過10個安全工具。但這也造成了安全態勢的碎片化，尤其當企業在多云環境中運行時，使得云安全管理更加復雜。

缺少對安全的整體視圖是以上安全工具過多問題導致的直接結果，特別是大型企業中采用多云戰略尤甚。另外，大型企業往往沒有足夠的時間和資源用于對云安全審核與培訓工作，有45%的中國企業無法做到每年對IT 安全人員進行安全培訓。

因此，要實現真正的云安全尚任重道遠，Palo Alto Networks 建議，企業需要對所有云原生服務形成統一視圖，以應對安全工具過多帶來的復雜性和碎片化，企業最好配備一個中央控制面板，利用包括人工智能在內的技術來防御已知和未知威脅，且當數據意外暴露時能夠快速修復。

而針對云安全審核與培訓的缺乏，一來企業應增加對IT和非IT人員的審核與培訓，另外，借助本地集成的、數據驅動且基于分析的方法（包括機器學習、人工智能）實現威脅情報的自動化，以減少對人工的依賴也是很好的選項。