雲服務的主流地位已不可動搖,并且每年都在接管更多的企業職能。以前雲服務僅限于簡單的存儲或者聯系人管理,而現在像ERP這樣的核心功能已經遷移到雲中。随着越來越多的基本服務不斷遷移到雲中,IT領導們必須關注當今雲環境中固有的風險,并采取預防措施來緩解這些風險。
本文介紹企業應該怎樣評估并緩解雲計算的風險。
評估企業對雲風險的适應能力
在銀行業,通常會設置風險适應能力來指導企業決策。例如,保守的風險适應能力會導緻銀行拒絕利潤豐厚但非常不确定的貸款。“刀口舔血”式的風險适應能力可能會在繁榮時期帶來更高的回報。不利的一面呢?下一次危機來臨時,銀行可能會遭受重創。
從IT管理的角度來看,企業的風險适應能力會指導你的盡職調查、持續監測以及投資降低風險措施的意願。例如,企業可以建立一種分層的方法來緩解風險,最大限度地利用有限的資源。降低“1級”雲服務失敗風險的方法是通過人員配備(例如,擁有專門的關系經理)、定期測試和采用頂級供應商支持來實現的。
重新審視企業的雲使用文化
雲提供商喜歡強調易用性和靈活性。一旦企業體驗到雲的易用性,很少會願意回到過去,繼續維護自己老的基礎設施。但對雲服務漫不經心的态度可能會導緻員工面臨由于愚蠢帶來的風險。
AvePoint公司産品戰略副總裁JohnHodges評論說:“關鍵在于,雲服務經常鼓勵‘随意使用’數據;我可以在任何地方收集、搜索和存儲任何東西。我們經常在Box、DropBox和OneDrive等系統中看到這種情況,在内容存儲和共享方面真的存在混合使用的危險。”然而,簡單粗暴地禁止混合使用,也可能帶來各種問題。
禁止高風險的雲服務會有一定幫助,但這并不能完全消除問題。Hodges解釋說:“對于企業提供的帳戶,例如,Slack渠道或者MicrosoftTeams以及其他系統,用戶總是采取數據共享這種最方便的路線。但這種行為可能不符合數據共享的記錄保留政策或者限制。”如果你的公司受到訴訟或者類似的調查,記錄保留政策的不一緻應用會讓企業感到頭疼。
使用零信任模型來降低風險
零信任是一種IT安全策略,企業要求防護周界内部和外部的每一名用戶、系統或者設備在連接到其系統之前都要進行驗證和認證。怎樣使用零信任模型來降低雲風險呢?Insurity是專門從事财産和意外保險服務和軟件的企業,對該企業而言,零信任方法意味着非常嚴格的限制訪問。
Insurity的首席信息官JonathanVictor介紹說:“我們為很少一部分用戶提供符合工作功能要求的最小權限和特權邏輯訪問權限。這種控制是由我們的企業安全部門在内部進行審核的,也是我們年度SOC外審的一部分。”
定期檢查用戶訪問級别,并自查一下這是否合理。企業是否需要數十個具有管理訪問權限的用戶?每名超級用戶都會增加額外的風險。
汲取新聞中IT失敗的教訓
花一些時間研究與雲有關的失敗案例的行業新聞,這将有助于降低雲風險。在當今的企業中,雲應用的複雜性和不斷發展的特性意味着總能從轟動的事件中學到一些東西。
JetStream軟件公司的聯合創始人兼總裁RichPetersen評論說:“我們關注的是數據的丢失,所以我們從一些事件中學到了重要的經驗教訓。例如,2017年8月Meraki的數據丢失,在該事件中,本地系統未能按照設計要求把數據備份到雲服務中。”
思科也承認,雲配置錯誤導緻了數據丢失,工作效率下降。正如Register所報道的,“這一事件給思科造成了巨大的麻煩,因為Meraki銷售的是基于其支持的雲服務,這避免了運行網絡和語音系統所需的大量繁瑣的工作。Meraki公司犯下了如此重大的錯誤——而且似乎缺乏數據保護工具來恢複這種偶發事件,這是其聲譽上一個很大的污點。”
重新考慮混合使用手動和自動雲管理策略
自動化、虛拟助理和數據處理不僅能夠幫助企業銷售更多的産品,而且還能夠管理他們的雲服務。對于Barracuda網絡公司,自從雲開始自動化流程以來,人工進行安全工作的範圍已經大幅縮減了。
Barracuda網絡公司數據保護平台戰略總監GregArnette說:“我們已經放棄進行人工安全檢查,而是轉移到自動掃描,因為越來越多而且持續不斷的威脅迫使我們時時刻刻都要保持警惕,以确保系統的完整性、數據保護和合規控制要求。”
然而,當涉及到降低雲風險時,轉移到自動化有很大的局限性。畢竟,不可能自動地對雲提供商進行風險評估。但是,如果你使用更加自動化的工具來檢測雲中的問題,并進行标準化的配置,那麼員工們則可以把更多的時間集中在處理複雜問題上,例如培養并管理好與雲提供商的關系。
針對供應商最敏感的審核問題想出辦法
你是否有權審核雲供應商是一個熱點問題。如果企業的合同和協議缺少這一條款,一旦發生了意外,你就會感到束手束腳。另一方面,大型雲提供商正在把這些要求反壓給企業。
UpperEdge項目執行咨詢業務負責人TedRogers說:“關于審核,很多雲提供商正在反過來給企業施壓,不允許他們擁有審核權來審核他們的數據中心及其流程、程序和安全措施。為什麼?”因為他們不願意讓第三方出現,進行審核。相反,供應商說他們是合規的,或者他們說不必擔心,因為如果他們不這樣做,他們将會因為合同的其他原因而陷入麻煩,比如洩露事件。
一種解決方案是批判性地評估由雲提供商開發的審核方法。Rogers建議使用以下替代方案:“訪問雲提供商的審核文檔。具體來說,看看他們是否已經參考臉書在數據隐私方面遇到的困難而進行了更新。某些雲提供商表示,他們隻是數據處理器。他們聲稱,自己不接觸數據,也不會洩露數據。”這就引出了一個問題:怎樣知道提供商是否遵守了他們的承諾?
即使雲提供商不願意把審核權提供給企業,仍然有辦法來降低這種風險。你可以要求更全面的報告,并強調要提供主要風險指标。也可以要求企業的内部審核部門在讨論合同時發表意見。
反思避險作為一種風險緩解策略
最後,黑客攻擊和安全并不是唯一要考慮的風險。還有落後的風險。
畢馬威的網絡安全服務美國地區負責人TonyBuffomante評論說:“對于我們一些不太成熟的客戶來說,關鍵的業務風險不是積極地去追求雲轉型和服務。雲不僅僅是一種新技術,它還改變了很多行業的業務和運營模式。這涉及到業務轉型,讓業務變得更靈活和更具競争力。”
而且,很少有企業有預算或者願意建立數據中心,自己開發所有的軟件,建設本地基礎設施。事實上,IT能力較弱的公司将受益于大型雲提供商的風險管理能力。
ACL首席技術官KeithCerny說:“根據我們的經驗,亞馬遜、微軟和谷歌這樣的大規模雲提供商有能力提供安全IT環境,讓那些本地或者定制數據中心配置相形見绌。我們堅信,回避雲計算将給我們的業務帶來重大風險。我們的直接經驗是,一個設計良好的雲環境在某種程度上滿足了我們的安全、隐私和可用性需求,而這是我們無法通過任何其他手段實現的。2016年,當我們把總部搬到新地方時,認識到了業務沒有中斷給我們帶來了重要優勢。我們的員工能夠使用我們的雲服務遠程工作,實現了無縫過渡。”
BruceHarpham在ProjectManagementHacks上為越來越多的IT項目經理撰寫關于技術和項目管理的文章。他曾從事過加拿大金融服務和高等教育領域的重要項目。
原文網址https://www.cio/article/3273707/cloudcomputing/7-risk-mitigationstrategies-for-the-cloud.html