五大建議助力云安全

李匯

當企業業務大量向云端轉移，云上安全問題變得愈加嚴峻，如何保障云端業務的安全成為企業關注的重點問題之一。前不久，網絡安全企業派拓網絡（Palo Alto Networks）發布了一份云安全報告，揭示亞太區大型企業云安全現狀，發現很多情況下，普遍的認知與最了解情況的專業人士感受不符。

為了讓大家對當前企業云安全的現狀有更深層次的認識和理解，Palo Alto Networks亞太區首席安全官Kevin OLeary對該報告進行了詳細的解讀。

80 %企業認識到云端安全問題

Kevin OLeary認為，目前大部分企業已經意識到云端的安全問題，在本次調查中，有80 %的亞太區企業認為云應用中的安全和隱私問題是最大挑戰。在調查過程中，Palo Alto Networks發現，目前來自云端的安全問題主要包括3個層面：

第一，不安全的接口和API占到相當大部分，約為61 %；

第二，由于不安全的接口和API過多，導致數據泄露和丟失嚴重，達到57 %；

第三，有51 %的企業上云后，所有的資產和配置沒有統一的安全管理視圖。

此外，報告顯示，雖然有80 %的企業認識到了云安全的重要性，但仍有70 %的決策者完全依靠云供應商提供的安全措施，他們認為這些措施足夠保護他們免受云安全威脅。

也正是出于對云端安全的重視，不少企業紛紛使用安全工具進行安全防護。數據顯示，有59 %的參與調查企業擁有超過10個安全工具在同時運行。不可否認這些安全工具確實能夠起到一定的防護作用，但由于這些工具過于分散，會對企業的多云平臺架構管理造成困擾。Kevin OLeary提到，復雜性意味著對安全很難做到及時的響應和處理。

當然有一部分企業能夠對云上的安全威脅管理形式有較為統一的管理界面，能夠清晰地看到安全上的統一策略，統一視圖，但這樣的企業也僅占到訪談企業的36 %，大部分企業還是沒有統一管理安全的能力。而現實中所面臨的云端安全問題遠不止于此。調查顯示，有相當一部分企業從未開展過安全審核或不能保證每年進行審核，還有57 %的企業不能每年度對IT安全人員提供網絡安全培訓，Kevin OLeary表示：“上云平臺之后的云安全問題，不僅有技術層面的原因，也有因為安全意識薄弱而造成的，這些都是當前企業在安全方面面臨的主要問題。”

中國云安全問題更為嚴峻

根據Palo Alto Networks大中華區總裁陳文俊介紹，這些安全問題在中國更為明顯，相比之下中國企業更加依賴于云供應商提供的安全防護，并對其工作的SaaS環境安全度表示認可。調查顯示，中國企業的安全問題相比亞太區更為嚴峻。

云安全建議

為了幫助用戶提升云上業務的安全性，陳文俊提出以下幾點建議：

第一，安全需要從一開始就集成于云環境中，安全應成為加速云采用的助推器。他認為上云是一個安全的趨勢，無論laaS，Paas，SaaS都是未來的趨勢，上云后基礎架構不在用戶側，用戶不能過分依賴服務商提供的安全，而應該以責任共享的理念將安全集成到云環境中。

第二，在各類云部署中創建一致的安全策略，可以通過工具來幫助正確實施這些策略，這些工具能夠對全部云資產及其面臨的威脅形成統一視圖。用戶可能會部署阿里云、騰訊云、亞馬遜云、微軟云乃至更多的云，在多云的環境下如何能保證安全策略是一致的，同時一個界面、同一個視圖可以看到所有云上的應用和資產，一開始需要建立統計策略，而不是光靠云服務商的保護。

第三，允許多云環境的平滑部署和輕松擴展，消弭高度受控的安全團隊與高度敏捷的研發團隊之間的差距。多云環境中，云的資源非常便于使用，但同時也帶來了更多的安全風險。在多云環境中用戶要知道如何進行擴展，要明白安全團隊的嚴格要求。但作為使用方，用戶的開發團隊又希望很快，如何減少摩擦，并在多云環境中提供安全保障至關重要。

第四，增加對IT和非IT人員的審核與培訓。用戶上云以后，大家對安全的審計或者安全的意識不足，一些IT或非IT人員乃至一些領導安全意識不足，加強上云以后IT或非IT人員的審計和培訓非常必要。

第五，借助本地集成的、數據驅動且基于分析的方法（包括機器學習、人工智能），實現威脅情報的自動化，避免人工出錯情況的發生。隨著大數據、機器學習和人工智能的大規模應用，用戶希望通過大數據分析自動化地進行安全防御和威脅的防控，希望減少人工的錯誤。相比較而言，很多黑客攻擊都是通過機器進行，如果用戶通過人工進行防御，反應速度遠遠不足。因此建議用戶用更多的大數據、人工智能和機器學習去做自動化的防御和抵抗。