Palo Alto调研报告：中国企业对云安全有认知偏差

近日，网络安全企业 Palo Alto Networks（派拓网络）发布了一份云安全报告，就亚太区大型企业云安全现状进行了调研分析。报告发现，在很多方面，企业管理者对云安全的认知与一线专业技术人员的看法存在明显差异。

该报告由市场调研机构Ovum Research组织撰写。问卷所调研的500位受访者，来自澳大利亚、中国、中国香港、印度和新加坡等5个国家和地区的不同行业，且员工数量超过200人规模的企业。这些公司均使用公有云，调查对象包括企业主、业务总监、高级主管，这些人员对于整个企业的云战略均具有最终决定权或影响力。

很多企业认为云安全应由服务商负责

在媒体沟通会上，Palo Alto Networks（派拓网络）亚太区首席安全官Kevin O’Leary对报告进行了解读。

报告显示，这些企业并没有做好应对云安全威胁的准备，而且其中大部分人还会假设公有云是默认安全的。特别是在中国，安全决策者对云供应商的安全服务更为信任：78%的安全决策者认为云供应商提供的安全足以保护其免受云威胁伤害，高于此次亚太区70%的平均水平。同时，82%的中国企业认为其工作的SaaS环境高度安全，认为IaaS环境和PaaS安全的企业占比分别为67%和61%，这一数值也高于亚太区的平均数。

对此，Palo Alto Networks（派拓网络）大中华区总裁陈文俊表示，企业需要认识到云安全其实是一种共同的责任。云供应商负责其基础设施的安全，而确保存储在基础设施之上的数据与应用安全，则是企业自身的责任。中国企业应该对此加深认识。

Kevin O’Leary也强调，在云上比较好的做法是和云服务商进行共享责任的分担，让企业自己有一个可视化的能力去看到安全问题，采取相应的措施。

安全工具过多，缺少对安全的整体视图

报告指出，为实现云安全，中国有76% 的企业在其基础设施中部署了超过10个安全工具以实现云安全，高于亚太区的59%。但是，过多的安全工具并不能带来递增的安全效应，反而造成了安全管理的碎片化，尤其当企业在多云环境中运行的时候, 碎片化意味着对安全很难做到及时响应和处理，使得云安全管理更加复杂。

Ovum亚太区咨询服务总监Andrew Milroy表示，采用多云方式会导致危险的可视化缺陷。在中国，有77% 受调查的大型企业表示这一情况相当普遍，高于亚太地区平均水平13个百分点。也就是说，大部分的企业没有一个统一管理安全的能力。

Kevin O’Leary认为，大型企业中普遍存在多云部署，企业在上云的同时，需要对所有云原生服务形成统一视图,进行安全的统一管理。企业应当配置一个中央控制面板，利用包括人工智能在内的技术来防御已知和未知的恶意威胁，且当数据意外暴露时能够做到及时的响应处理。

大型企业缺乏云安全审核与培训

报告进一步强调了自动化的必要性，这表明大型企业往往没有足够的时间和资源用于对云安全审核与培训工作。

报告显示，有三分之二（66%）的企业不能做到每年进行一次网络安全态势的审核，并且有26% 的这类审核并不包括对云安全的评估。除了审核，有45%的中国企业无法做到每年对IT安全人员进行安全培训。因此，有64%的非IT人员无法每年接受网络安全培训，这种情况就更不值得奇怪了。

要实现云环境的真正安全，中国企业需要认识到云安全最佳实践的重要性，包括以下五个方面：

1、安全需要一开始就集成于云环境之中，安全应成为加速云采用的助推器。

2、要在各类云部署中创建一致的安全策略，可在工具助力下实现完美部署，并且能够对全部云资产以及其面临的威胁形成统一视图。

3、允许多云环境的平滑部署和轻松扩展，消弭高度受控的安全团队与高度敏捷的研发团队之间的差距。

4、增加对IT和非IT人员的审核与培训。

5、借助本地集成的、数据驱动且基于分析的方法（包括机器学习、人工智能），实现威胁情报的自动化，避免人工出错情况的发生。

陈文俊表示，派拓网络已经和阿里云展开了技术合作，未来还会同更多的云服务商合作，给用户提供云安全服务。派拓网络的安全运营平台是一个开放的平台，汇集了众多的专业安全能力，将这种安全能力提供给客户，从而帮助客户建立起一个统一的安全管理平台。

下载报告：https://www.paloaltonetworks.com/resources/apac-cloud-security-study

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。