Palo Alto Network（派拓网络）为中国企业云安全给出五大建议

云栖网：今天，网络可以说是无处不在，我们无时无刻不在使用网络与云上服务。无可否认，我们每一个人都十分关注云安全，认为我们每天都在用的云是安全的、可控的，那么，事实果真如此吗？

近日，全球网络安全领导企业PaloAltoNetworks®（派拓网络）发布了一份云安全报告，揭示了亚太区大型企业云安全现状。报告显示在发现很多情况下，普遍的认知与最了解情况的专业人士的感受极度不符。为此，PaloAltoNetworks（派拓网络）亚太区域首席安全官KevinO’Leary先生详细解读了云安全报告以及当前大型企业在云安全方面存在的问题。

PaloAltoNetworks（派拓网络）亚太区域首席安全官KevinO’Leary先生

云安全：并不是你觉得安全安全

据介绍，该报告由市场调研机构OvumResearch与PaloAltoNetworks（派拓网络）合作完成。该报告将员工超过200人的企业定义为大型企业。其中，500名受访者来自于亚太地区的澳大利亚、中国、中国香港、印度和新加坡五个国家和地区，分属不同行业的员工人数超过200的大型企业，每个国家和地区各100名受访者，所有受访企业均使用公有云，受访人员职位不同，从企业主、业务总监到高级主管，这些人员对于整个企业的云战略均具有最终决定权或影响力。

KevinO’Leary先生表示，80%的企业认为上云以后最大的问题是安全的问题。其中，在云环境中的网络安全风险主要来自于三个方面。一是不安全的接口和API占到61%，二是数据泄露与数据丢失占到57%，对资产缺少统一视图占到51%。而实际上企业对云安全现状是约有70%的被访谈者觉得他们在处理这些问题的时候，完完全全依靠云服务商来解决的方案去应对。

报告还显示，这些大型企业并没有准备好应对云网络安全威胁。更重要的是，他们还会假设公有云是默认安全的。在中国，78%的安全决策者认为云供应商提供的安全足以保护其免受云威胁伤害。而82%的中国企业会认为其工作的SaaS环境高度安全，认为IaaS环境和PaaS安全的企业占比分别为67%和61%。KevinO’Leary先生表示：如果完全依靠云服务商提供解决方案，实际上并不能很好的去解决这些问题。

同时，在参与调查的公司中，76%的企业在其基础设施中部署了超过10个安全工具以实现云安全。而采用多云方式会导致危险的可视化缺陷，在中国，有77%受调查的大型企业表示这一情况相当普遍，高于亚太地区平均水平13个百分点。这也意味着过多安全工具也造成了安全态势的碎片化，尤其当企业在多云环境中运行的时候,使得云安全管理更加复杂。

值得高兴的是，有越来越多的企业对于网络安全，对于云安全越来越重视，约有36%的企业能够对所有云上的威胁形成统一视图并进行管理。

企业云安全：更需要年审与培训

在安全报告中，另一个值得注意的事情是大型企业往往没有足够的时间和资源用于对云安全进行审核与培训工作。报告显示，有三分之二（66%）的企业不能做到每年进行一次网络安全态势的审核，并且有26%的这类审核并不包括对云安全的评估。除了审核，有45%的中国企业无法做到每年对IT安全人员进行安全培训。因此，其他人员接受不到培训也不足为奇：有64%的非IT人员无法每年接受网络安全培训。

Ovum亚太区咨询服务总监AndrewMilroy表示：“大型企业中普遍存在多云部署，因此需要对所有云原生服务形成统一视图。企业最好配备一个中央控制面板，利用包括人工智能在内的技术来防御已知和未知恶意威胁，且当数据意外暴露时能够快速修复。”

PaloAltoNetworks（派拓网络）大中华区总裁陈文俊

PaloAltoNetworks（派拓网络）大中华区总裁陈文俊表示：“企业上云之后的云安全问题，不光是由于技术层面导致的，也有因为安全意识的薄弱而造成的。”对于想要实现云环境的真正安全，中国企业需要认识到云安全最佳实践的重要性，对此，陈文俊给出五点建设：

一是安全需要一开始集成于云环境之中，安全应成为加速云采用的助推器。未来网络安全是大势所趋，无论是laaS、Paas、SaaS都是未来的趋势，企业上云的时候必须把安全一开始考虑进去，安全应该是整个上云的推动者，因为不解决安全的问题，其他则无从谈起。比如资源安全，也是共享责任。

二是要在各类云部署中创建一致的安全策略，可在工具助力下实现完美部署，并且能够对全部云资产以及其面临的威胁形成统一视图。在多云的环境下怎么能保证安全策略是一致的，同时一个界面，同一个试图可以看到所有云上的应用和资产，一开始需要建立统计策略，而不是光靠云服务商的保护。

三是允许多云环境的平滑部署和轻松扩展，消弭高度受控的安全团队与高度敏捷的研发团队之间的差距。比如我们要知道多云环境里面也有安全的问题，怎么去进行扩展，直到我们安全团队有严格要求，但是我们使用方，我们开发团队又希望很快，在这之间的摩擦怎么减少，在多云环境里面有一个支持多云环境安全的一个保障。

四是增加对IT和非IT人员的审核与培训。大家对安全的审计或者安全的意识不足，有一些IT，或者非IT人员，有一些领导对安全意识还不足够，所以说我们要加强上云以后IT或者非IT人员的审计和培训。

五是借助本地集成的、数据驱动且基于分析的方法（包括机器学习、人工智能），实现威胁情报的自动化，避免人工出错情况的发生。相比较，我们很多黑 客的攻击通过机器来去做的，如果我们要去防御通过人手去做，我们的反应远远是不足的。所以我们建议用更多的大数据、人工智能、机器学习去做自动化的防御和抵抗。希望大家能够多用目前大数据、机器学习、人工智能上面的大数据分析，希望自动化地做防御、抵御、威胁的防控，希望减少人工的错误。

陈文俊指出“企业需认识到云安全其实是一种共同的责任。云供应商负责其基础设施的安全，而确保存储在基础设施之上的数据与应用安全，则是企业自身的责任。”