（赵法彬/数字通信世界）如今，大多数企业都习惯了端到端一站式服务，这的确省钱又省心。然而，随着这些企业开始通过云开展日常运营，云安全是一个不可不认真对待的话题，那些提供一站式服务的云供应商可以帮助企业完全应对来自云网络的安全威胁吗？回答这个问题之前，让我们先看一个调研报告。

亚太地区云安全报告
全球网络安全领导企业Palo Alto Networks（派拓网络）近日发布一份云安全报告——《亚太地区云安全报告》。Palo Alto Networks（派拓网络）亚太区域首席安全官Kevin O’Leary介绍说，本次调研由Ovum Research与Palo Alto Networks（派拓网络）合作完成；500名受访者，来自于亚太地区五个国家和地区分属不同行业的员工人数超过200的大型企业；这五个国家和地区包括澳大利亚、中国、中国香港、印度和新加坡，每个国家和地区各100名受访者；所有受访企业均使用公有云；受访人员职位不同，从企业主、业务总监到高级主管，这些人员对于整个企业的云战略均具有最终决定权或影响力。

Kevin O’Leary

该报告揭示了亚太区大型企业云安全现状，发现很多情况下，普遍的认知与最了解情况的专业人士的感受不符。Kevin O’Leary表示，该报告将员工超过200人的企业定义为大型企业，报告显示，这些大型企业并没有准备好应对云网络安全威胁，更重要的是，他们还会假设公有云是默认安全的。在中国，78%的安全决策者认为云供应商提供的安全足以保护其免受云威胁伤害。而82%的中国企业会认为其工作的SaaS环境高度安全，认为IaaS环境和PaaS安全的企业占比分别为67%和61%。
在参与调查的公司中，76%的企业在其基础设施中部署了超过10个安全工具以实现云安全。但是，过多安全工具也造成了安全态势的碎片化，尤其当企业在多云环境中运行的时候，使得云安全管理更加复杂。Ovum亚太区咨询服务总监Andrew Milroy表示，采用多云方式会导致危险的可视化缺陷，在中国，有77%受调查的大型企业表示这一情况相当普遍，高于亚太地区平均水平13个百分点。
Palo Alto Networks（派拓网络）大中华区总裁陈文俊认为，企业需认识到云安全其实是一种共同的责任。云供应商负责其基础设施的安全，而确保存储在基础设施之上的数据与应用安全，则是企业自身的责任。
由此可见，术业有专攻，提供一站式服务的云供应商不能保障企业完全应对云网络的安全威胁，那么，这些企业该怎么办呢？

多方着手确保云安全
Kevin O’Leary说，有超过半数的企业用了很多的安全工具解决云安全问题，但是这些安全方案里的一些产品和工具是由云服务商提供的，导致这些工具过于分散，企业在使用多云平台与不同架构时，其管理非常复杂，而管理复杂则是安全方面一个非常致命的弱点，因为复杂性意味着对安全很难做到及时的响应和处理。当然我们也看到有三分之一左右企业还是能够对云上安全威胁形式一个统一管理界面，可以比较清晰地可以看到安全上的统一策略与视图。只有从统一中央的控制平台看到云上的统一安全策略，才能预防已知和未知的威胁。这里要再次重点强调这个统一的中央控制平台，通过该平台可以一目了然地看到安全策略运行情况和资产运行情况，可以对威胁有一个最及时的响应处理。
Andrew Milroy认为，大型企业中普遍存在多云部署，因此需要对所有云原生服务形成统一视图。企业最好配备一个中央控制面板，利用包括人工智能在内的技术来防御已知和未知恶意威胁，且当数据意外暴露时能够快速修复。
该报告显示，有三分之二（66%）的企业不能做到每年进行一次网络安全态势的审核，并且有26%的这类审核并不包括对云安全的评估。除了审核，有45%的中国企业无法做到每年对IT安全人员进行安全培训。因此，其他人员接受不到培训也不足为奇：有64%的非IT人员无法每年接受网络安全培训。报告进一步强调了自动化的必要性，这表明大型企业往往没有足够的时间和资源用于对云安全审核与培训工作。

陈文俊

要实现云环境的真正安全，中国企业需要认识到云安全最佳实践的重要性。为此，陈文俊提出以下建议：一是安全需要一开始就集成于云环境之中，安全应成为加速云采用的助推器；二是要在各类云部署中创建一致的安全策略，可在工具助力下实现完美部署，并且能够对全部云资产以及其面临的威胁形成统一视图；三是允许多云环境的平滑部署和轻松扩展，消弭高度受控的安全团队与高度敏捷的研发团队之间的差距；四是增加对IT和非IT人员的审核与培训；五是借助本地集成的、数据驱动且基于分析的方法（包括机器学习、人工智能），实现威胁情报的自动化，避免人工出错情况的发生。