■本刊记者 赵志远

尽管在过去人们对云安全高度重视，并为此进行大量投入，似乎在人们眼中，云安全防护措施已经得到了极大改善，但其效果究竟如何？

Palo Alto Networks 公司在近日发布的一份云安全报告中揭示了亚太地区大型企业云安全现状，发现实际情况与人们的感受并不相符。

该调查指出，大型企业（指员工超过200 人的企业）并没有准备好应对云网络安全威胁。更重要的是，他们还会假设公有云是默认安全的。在中国，78%的安全决策者认为云供应商提供的安全足以保护其免受云威胁伤害，而82%的中国企业会认为其工作的SaaS 环境高度安全。

可见，云安全现状依旧不容乐观，更为揪心的是，这种错误认识在企业中还相当普遍。因此，让企业充分认识到问题的严重性及其在云安全防护中的责任成为当务之急。

Palo Alto Networks 大中华区总裁陈文俊表示，“企业需认识到云安全其实是一种共同的责任。云供应商负责其基础设施的安全，而确保存储在基础设施之上的数据与应用安全，则是企业自身的责任。”

如今很多企业在进行网络安全建设时会部署许多安全工具，Palo Alto Networks亚太区域首席安全官Kevin O’Leary 认为，这一结果喜忧参半，可喜的是企业认识到了安全的重要性并为此做出了工作，但却带来一个负面的影响就是这些工具过于分散。

该调查也证实了这一点，在参与调查的公司中，76%的中国企业（亚太区为59%）在其基础设施中部署了超过10个安全工具。但这也造成了安全态势的碎片化，尤其当企业在多云环境中运行时，使得云安全管理更加复杂。

缺少对安全的整体视图是以上安全工具过多问题导致的直接结果，特别是大型企业中采用多云战略尤甚。另外，大型企业往往没有足够的时间和资源用于对云安全审核与培训工作，有45%的中国企业无法做到每年对IT 安全人员进行安全培训。

因此，要实现真正的云安全尚任重道远，Palo Alto Networks 建议，企业需要对所有云原生服务形成统一视图，以应对安全工具过多带来的复杂性和碎片化，企业最好配备一个中央控制面板，利用包括人工智能在内的技术来防御已知和未知威胁，且当数据意外暴露时能够快速修复。

而针对云安全审核与培训的缺乏，一来企业应增加对IT和非IT人员的审核与培训，另外，借助本地集成的、数据驱动且基于分析的方法（包括机器学习、人工智能）实现威胁情报的自动化，以减少对人工的依赖也是很好的选项。