10月22日，派拓网络（Palo Alto Networks）联合市场调研机构Ovum Research，撰写并发布了一份针对亚太区200人以上企业云安全现状的调研。

据了解没，此次共500名受访者参与了调研，分别来自澳大利亚、中国、中国香港、印度和新加坡这五个国家和地区。受访者所属的企业都在使用公有云；而且在涉及组织的云策略时，他们都是最终的决策者或对决策有影响力的人。

总体而言，报告认为，企业对云安全威胁以及自身的云安全能力存在不合理的认知，对潜在的攻击并没有做好应对的准备。

下面着重列举三点报告突出强调的内容：

云安全警示：过于依赖云服务商、工具碎片化严重、缺乏必要的审核与培训

对公有云的应用，安全（49%）、隐私（31%）以及合规（12%）是企业最头疼的三大挑战。其中，对于云环境下的网络安全风险，超过半数受访者认为不安全的接口和API（61%）、数据泄露与数据丢失（57%）、缺少资产统一视图（51%）这三项是最大的隐患。

此次受调研的企业，平均每家使用7个云服务商。一般认为，为了有效管理每朵云的安全风险，需要和多种安全服务集成。但现状却不是如此。

70%的受访者认为，云服务商提供的安全服务，已经为其应对云环境下的网络安全威胁，做好了充分的准备（对应程度5和程度4）。如果只统计中国的受访者，这个数字则是78%，略高于亚太区的70%，显示出了中国企业似乎对云服务商提供的安全能力有更多的信心。相应，认为仅采用云服务商提供的安全服务是完全不够的（对应程度1），仅有2%。

然而，报告认为，仅仅依靠云服务商提供的安全服务会使组织变得脆弱。充分的保护必须基于对云资产和服务有整体、统一的视图。然而，不管是否过于依赖云服务商，企业的云安全工作仍躲不过典型的管理挑战，那就是缺乏集中化的安全日志、事件和策略管理和分析。这也是无法形成整体可视性的重要原因。

仅从工具层面看，报告显示，59%的受访者同时运营着超过10个安全工具（对应中国区的比重是76%）；有3%的受访企业同时运行的安全工具总数甚至超过100个。在复杂的多云环境下，数量过多、过于分散的安全工具，是必让安全管理工作更加复杂。也正因此，64%企业表示无法形成统一的威胁视图，并不令人意外。

此外，报告还强调了企业对于网络安全态势评估以及安全从业者培训的懈怠。

虽然对安全充分重视，但在对安全从业者的培训和网络安全提示评估方面，企业的积极性依然不高。超过半数（76%）的受访者表示，对网络安全态势的评估无法达到每年一次的频率；而能满足一年两次及以上的，仅占受访者的8%。而这其中，1/4的审计不包括云资产。安全培训的频率1至2年一次的居首位（43%）；半年到1年一次的次之，有27%；而两年内一次都没有的，竟然达到14%。安全从业者尚且如此，其它人员接收不到安全培训更不足为奇。

报告认为，为了解决这些短缺，企业要么加大培训力度，要么寻求更智能、自动化的替代方案。威胁情报和安全分析领域的火热，或许正是因为从这一角度做出了重要能力补充。

选择具有成熟能力的第三方安全供应商

对于上文叙述，报告提及的云安全现状，派拓网络大中华区总裁陈文俊表示，企业需认识到云安全其实是一种需要云服务商、租户和独立安全供应商共同承担的责任。

”虽然各国云计算的发展情况、市场环境都不尽相同，但在网络安全方面，云服务商都更倾向于保障其基础设施的安全，这点是一致的。选择成熟的云安全能力的安全服务商，确保云上的数据与应用安全，是租户自身的要去做的事情。

成熟的第三方安全服务商，会寻求和多方（各国主流云服务商）的合作，提供专业、中立且广泛的支持，并提供能实现多云统一安全管理&部署、和第三方工具集成的平台。来自云原生，又经过产品化，达到一定成熟度的云安全产品和服务，才能更好的适应客户的环境，才能有更低的成本，更快的部署速度。这也是为了达到一致的安全性的努力。“

报告给出的云安全实践建议：

• 安全需要一开始就集成于云环境之中，安全应成为加速云采用的助推器
• 要在各类云部署中创建一致的安全策略，可在工具助力下实现完美部署，并且能够对全部云资产以及其面临的威胁形成统一视图
• 允许多云环境的平滑部署和轻松扩展，消弭高度受控的安全团队与高度敏捷的研发团队之间的差距
• 增加对IT和非IT人员的审核与培训
• 借助本地集成的、数据驱动且基于分析的方法（包括机器学习、人工智能），实现威胁情报的自动化，避免人工出错情况的发生

报告下载：

https://www.paloaltonetworks.com/resources/apac-cloud-security-study