过去数年内,在企业、政府的双重推动下,国内云计算的产业规模不断增长。综合信通院、idc等研究机构发布的数据显示,2018年,中国云计算产业规模达到962.8亿元人民币,较2017年增长39.2%,2019年产业规模则预计超过千亿,达到1290.7亿元人民币。
虽然各行各业都张开双臂迎接云端时代的来临,但是在享受云服务的同时,许多企业也担心云服务安全及无法掌握的风险。在palo alto networks(派拓网络)联合市场调研机构ovum research发布的云安全报告中显示:在中国,78%的安全决策者认为云供应商提供的安全足以保护其免受云威胁伤害。而82%的中国企业会认为其工作的saas环境高度安全,认为iaas环境和paas安全的企业占比分别为67%和61%。
这一数据明显高于亚太地区,也从侧面反映了国内企业更多的将云安全问题托付给了云供应商。在日前举办的媒体沟通会上,palo alto networks亚太区域首席安全官kevin o'leary、大中华区总裁陈文俊与中国区商业市场技术总监张晨对报告进行了进一步解读。陈文俊强调:“企业需认识到云安全其实是一种共同的责任。云供应商负责其基础设施的安全,而确保存储在基础设施之上的数据与应用安全,则是企业自身的责任。”
图 palo alto networks中国区商业市场技术总监张晨(左)、大中华区总裁陈文俊(中)、亚太区域首席安全官kevin o'leary(右)
云安全演化趋势分析
放眼当今世界最新技术趋势,一切都与云计算息息相关。kevin介绍虽然提高业务敏捷性和速度是企业和各类组织采用云技术的主要侧重点,但对追赶云技术、架构和用例持续发展变化的安全部门而言,就不那么美妙了。数据安全、系统稳定运行、业务场景是否吻合市场需求等这些问题依然困扰着企业,在这个时候,多数企业处在技术尝试期,对风险的谨慎和对企业未来发展的期望都是存在的,在技术角度云计算目前仍然需要警惕这些威胁。
“这也是palo alto networks发布云安全报告的原因。”kevin表示本次调查的500名受访者,分别来自于亚太地区五个国家和地区分属不同行业的员工人数超过200的大型企业。这五个国家和地区包括澳大利亚、中国、中国香港、印度和新加坡,每个国家和地区各100名受访者,且所有受访企业均使用公有云。“虽然受访人员职位不同,从企业ceo、业务总监到高级主管,这些人员对于整个企业的云战略均具有最终决定权或影响力。”
从调查结果看,某些数据还是会和人们理想中对于云安全的认识有些差异。例如在困扰企业上云方面,云环境中最大的网络安全风险排名前三的依次为:
1、61%的受访者认为是不安全的接口和api;
2、57%的受访者认为可能存在数据泄露与数据丢失;
3、51%的受访者认为对资产缺少统一视图管理。
图 palo alto networks 亚太区域首席安全官kevin o'leary
在上云的过程中,kevin介绍虽然59%的企业拥有超过10个安全工具在同时运行,但70%的决策者完全依靠云供应商提供的安全措施,并认为这些措施足够保护他们免受云安全威胁。在这方面,陈文俊介绍中国地区的数据分别为76%和78%。
此外,kevin还进一步强调了安全审计的必要性,报告显示有三分之二(66%)的企业不能做到每年进行一次网络安全态势的审核,并且有26% 的这类审核并不包括对云安全的评估。除了审核,有45%的中国企业无法做到每年对it安全人员进行安全培训。因此,其他人员接受不到培训也不足为奇:有64%的非it人员无法每年接受网络安全培训。这表明大型企业往往没有足够的时间和资源用于对云安全审核与培训工作。
统一策略与可视化挑战
据统计,国内94%的企业正在使用多云环境,其中67%的企业不止一家云供应商。由于企业在向云的转化过程中,通常不会选择单一的云服务,那么如何确保在不同云环境下的统一安全策略,就显得尤为重要了。
一方面,多云环境带来了自动化的运维管理问题。一般企业在多云环境下,很难负担大体量的专业人员帮它们进行策略上的管理。对于客户来说,当攻击平面中有一个点被攻击,其他各个点如何联动实现自动化的防御,这里面需要借助人工智能和机器学习技术。
另一方面,上述数据显示企业已经开始部署针对各种安全问题的工具,但过多安全工具也造成了安全态势的碎片化,尤其当企业在多云环境中运行的时候, 使得云安全管理更加复杂。
显然,采用多云方式会导致危险的可视化缺陷,在中国,有77% 受调查的大型企业表示这一情况相当普遍,高于亚太地区平均水平13个百分点。
此外,kevin还指出企业信息化建设是一个长期的过程,在云、大数据以及最近火热的人工智能影响下,信息安全的技术也层出不穷,主要目标还是解决一个又一个的实际问题。因此在云安全建设上,企业或多或少都面临设备数量繁多,安全工具碎片化问题。企业ciso必须考虑如何有效地把各种安全产品整合在一起,并有效处理它们的数据信息。
在这方面,kevin表示palo alto networks的策略是联合各方安全凯发k8官网下载的合作伙伴包括云服务提供商,为企业搭建一个统一的安全能力平台,这也能够帮助企业把控整个安全防御体系的可视化感知:“大型企业中普遍存在多云部署,因此需要对所有云原生服务形成统一视图。企业最好配备一个中央控制面板,利用包括人工智能在内的技术来防御已知和未知恶意威胁,且当数据意外暴露时能够快速修复。”kevin补充道。
palo alto networks的建议和应对之策
相较于亚太地区75%的比例,82%的中国企业认为其工作的saas环境高度安全。此外,77%的中国企业没有部署可对云上所有威胁形成统一视图的安全工具,这一数据在亚太地区为64%。“对于云安全中国企业更希望由云服务提供商完成。但很多时候,云服务提供商并不具备这种能力。”陈文俊表示尽管许多企业管理者知道云技术存在一定的风险,那么如何有意识地提升这方面的能力就变得很重要。
palo alto networks大中华区总裁陈文俊
陈文俊表示要实现云环境的真正安全,中国企业需要认识到云安全最佳实践的重要性,并给出了以下建议:
· 安全需要一开始就集成于云环境之中,安全应成为加速云采用的助推器
· 要在各类云部署中创建一致的安全策略,可在工具助力下实现完美部署,并且能够对全部云资产以及其面临的威胁形成统一视图
· 允许多云环境的平滑部署和轻松扩展,消弭高度受控的安全团队与高度敏捷的研发团队之间的差距
· 增加对it和非it人员的审核与培训
· 借助本地集成的、数据驱动且基于分析的方法(包括机器学习、人工智能),实现威胁情报的自动化,避免人工出错情况的发生。