愈來愈多企業將應用以至營運遷移至雲端,但保安思維卻停留在傳統自建數據中心的層面,甚至認為雲端保安自己插手不了,應全盤交由雲端服務供應商。Palo Alto Networks 早前發佈一份針對香港以及亞太區大型機構的雲端安全狀況調查報告,當中不少情況反映行內人士對網絡安全的認知與現實不符。
該報告由 Ovum Research 針對擁有 200 名 或以上員工的大型機構進行訪問,發現香港大型機構沒做好準備應對雲端相關的網絡安全威脅,甚至假設公有雲為默認安全。76% 的大型機構認為,雲端供應商提供的保安足以保護他們免受雲端相關的威脅。
▲ Palo Alto Networks 亞太及日本地區副主席兼區域保安總監 Sean Duca(左)及香港及澳門董事總經理馮志剛(右)
Palo Alto Networks 亞太及日本地區副主席兼區域保安總監 Sean Duca 表示:「雲端保安乃雲服務供應商與企業的共同責任,單單倚賴雲服務供應商未必能完全滿足企業的保安需求。雲端供應商一般僅就架構安全負責,而企業則須對其數據及應用程式的安全承擔責任。」
大型機構缺乏統一保安監察
逾半(62%)受訪香港企業在其網絡架構中,使用超過 10 種保安工具保護雲端。然而,擁有大量保安工具會導致保安部署零散,進一步增加雲端安全管理的複雜性,情況在多雲端環境運作的企業尤其明顯。Ovum 亞太區諮詢服務總監 Andrew Milroy 表示,68% 的受訪大型機構認為多雲端方案會造成缺乏統一監察的風險。Milroy 認為,運用具備人工智能等技術的中央監察平台是理想的方案,有助預防已知和未知的惡意軟件威脅,並能在數據意外洩漏時迅速補救。
Palo Alto Networks 香港及澳門董事總經理馮志剛則強調:「企業需要一個統一的監察管理平台,無論是自建數據中心、混合雲抑或公共網雲的保安政策都必須貫徹一致。」
須加強網絡安全審核和員工培訓
報告進一步顯示,大型機構沒有投放足夠時間和資源於雲端安全審核和員工培訓。其中,77% 機構從未或未有每年進行至少一次網絡安全審核。此外,四分一審核甚至不包括雲端資源,而 69% 的組織僅進行內部審核。除了安全審核,企業對資訊科技和非資訊科技員工雲端的安全培訓也不足。
約 57% 的香港機構沒有每年為資訊科技員工提供網絡安全培訓。可想而知,資訊科技部門以外的員工受訓更少,74% 的非資訊科技員工沒有每年接受網絡安全培訓。
為了確保在雲端環境中的安全,香港的機構必須了解雲端安全的最佳實踐措施,包括:
- 從一開始就將網絡安全構建到雲端環境;網絡安全應成為加速雲端應用的條件。
- 在所有類型的雲端部署製定一致的安全策略,並透過工具協助統一監察所有雲端資產及威脅,實施有效的安全策略。
- 允許機構在多雲端環境中暢順、輕鬆擴展部署,彌補安全團隊受高度規範及開發部門要求敏捷靈活之間的差距。
- 增加安全審核,以及對資訊科技和非資訊科技員工的培訓。
- 利用機器學習/人工智能及透過運用整合、數據驅動及基於分析的方式,將威脅情報過程自動化,避免人為錯誤。