云服務(wù)已經(jīng)廣泛流行，它們每年都在接管更多的企業(yè)職能。曾經(jīng)的云服務(wù)僅限于簡單存儲(chǔ)或聯(lián)系人管理的地方，像ERP這樣的核心功能現(xiàn)在已經(jīng)轉(zhuǎn)移到云端。隨著各種基本服務(wù)日漸遷移到云端，IT領(lǐng)導(dǎo)者必須密切關(guān)注當(dāng)今云環(huán)境中固有的風(fēng)險(xiǎn)，并采取預(yù)防措施來緩解風(fēng)險(xiǎn)。

 

以下是貴組織評(píng)估和降低云計(jì)算風(fēng)險(xiǎn)應(yīng)該采取的做法。

 

 

在銀行業(yè)，設(shè)定風(fēng)險(xiǎn)偏好來指導(dǎo)組織決策是慣常做法。例如，保守的風(fēng)險(xiǎn)偏好會(huì)導(dǎo)致人們拒絕有利可圖但高度不確定的貸款。在繁榮期間，更“前沿”的風(fēng)險(xiǎn)偏好可能會(huì)帶來更高的收益。但也有不好的一面，那就是在下一次危機(jī)期間，你所在的銀行可能會(huì)受到重創(chuàng)。

 

從IT管理的角度來看，你的風(fēng)險(xiǎn)偏好會(huì)影響你的盡職調(diào)查，持續(xù)的監(jiān)控以及以降低風(fēng)險(xiǎn)的方式來進(jìn)行投資的意愿。例如，你可以設(shè)置分層的風(fēng)險(xiǎn)緩解方法，以充分利用有限的資源。通過人員配置(例如，擁有專門的關(guān)系經(jīng)理)，定期測試和支付頂級(jí)供應(yīng)商支持，可以減少“一級(jí)”云服務(wù)失敗的風(fēng)險(xiǎn)。

 

 

云提供商喜歡強(qiáng)調(diào)易用性和靈活性。一旦組織體驗(yàn)到云的簡易性，很少有人希望回到老路，維護(hù)自己的傳統(tǒng)基礎(chǔ)架構(gòu)。但對(duì)云服務(wù)的隨意態(tài)度可能會(huì)導(dǎo)致員工不假思索地冒險(xiǎn)。

 

AvePoint產(chǎn)品戰(zhàn)略副總裁John Hodges說：“云服務(wù)往往鼓動(dòng)人們‘隨意使用’數(shù)據(jù);我可以在任何地方收集、搜索和存儲(chǔ)任何東西”，這就是它引人入勝的地方。他說：“我們經(jīng)常在Box、DropBox或OneDrive等系統(tǒng)中看到這一點(diǎn)，在內(nèi)容存儲(chǔ)和共享方面存在真正的混用危險(xiǎn)”。有沒有簡單的解決方案呢?禁止混用可能會(huì)產(chǎn)生問題的服務(wù)。

 

禁止高風(fēng)險(xiǎn)的云服務(wù)有助于解決問題，但并不能完全化解這個(gè)問題。Hodges解釋說：“對(duì)于企業(yè)提供的賬戶，如Slack或Microsoft Teams或其它系統(tǒng)，用戶總是選擇最方便的路線共享數(shù)據(jù)。這種行為可能與記錄保留策略或數(shù)據(jù)共享限制不一致，如果你的公司受到訴訟或類似調(diào)查的支配，記錄保留政策上不一致的應(yīng)用可能會(huì)令人頭痛不已。

 

 

零信任(zero trust)是一種IT安全策略，這其中，組織要求在連接到其系統(tǒng)之前對(duì)其周邊內(nèi)外的每個(gè)用戶，系統(tǒng)或設(shè)備進(jìn)行驗(yàn)證。你如何使用零信任模型來降低云風(fēng)險(xiǎn)?對(duì)于專業(yè)從事財(cái)產(chǎn)和意外傷害保險(xiǎn)服務(wù)和軟件的組織而言，零信任方法意味著嚴(yán)格限制訪問。

 

Insurity的首席信息官Jonathan Victor說：“我們提供符合工作職能要求的最小權(quán)限和特權(quán)的最小量用戶的邏輯訪問權(quán)限。這種控制由我們的企業(yè)安全團(tuán)隊(duì)在內(nèi)部進(jìn)行審計(jì)，并作為我們年度SOC審計(jì)的一部分。”

 

定期檢查用戶訪問級(jí)別并反思其合理性。你需要數(shù)十個(gè)具有管理訪問權(quán)限的用戶嗎?每個(gè)超級(jí)用戶都會(huì)增加額外風(fēng)險(xiǎn)。

 

 

花時(shí)間研究與云有關(guān)的故障的行業(yè)新聞?dòng)兄谀憬档驮骑L(fēng)險(xiǎn)。當(dāng)今企業(yè)使用的云的復(fù)雜多變的特性意味著人們總能從備受關(guān)注的事件中學(xué)到一點(diǎn)東西。

 

JetStream Software的聯(lián)合創(chuàng)始人兼總裁Rich Petersen：“我們很重視數(shù)據(jù)丟失，所以我們?cè)?017年8月發(fā)生的Meraki數(shù)據(jù)丟失事件中學(xué)到了重要的經(jīng)驗(yàn)教訓(xùn)，當(dāng)時(shí)內(nèi)部部署的系統(tǒng)無法按照設(shè)計(jì)要求將數(shù)據(jù)備份到云服務(wù)。”

 

思科承認(rèn)，云配置錯(cuò)誤導(dǎo)致數(shù)據(jù)丟失和生產(chǎn)力損失。正如The Register報(bào)道的那樣，“這起事件對(duì)思科來說簡直是一團(tuán)糟，因?yàn)镸eraki是基于這種方式銷售的——其所支持的云服務(wù)擺脫了運(yùn)行網(wǎng)絡(luò)和語音系統(tǒng)所需的大量繁重勞動(dòng)。Meraki的團(tuán)隊(duì)犯了這樣一個(gè)重大錯(cuò)誤——而且它似乎缺乏數(shù)據(jù)保護(hù)工具來彌補(bǔ)這種可能性——這在名譽(yù)上是一個(gè)非常大的污點(diǎn)。”

 

 

自動(dòng)化，虛擬助理和數(shù)據(jù)處理不僅可以幫公司銷售更多產(chǎn)品，還可以管理其云服務(wù)。對(duì)于Barracuda Networks來說，自從它將云的流程自動(dòng)化以來，手動(dòng)安全工作的規(guī)模已經(jīng)大幅下降。

 

Barracuda Networks的數(shù)據(jù)保護(hù)平臺(tái)戰(zhàn)略總監(jiān)Greg Arnette說：“我們不再執(zhí)行手動(dòng)安全檢查并轉(zhuǎn)向自動(dòng)掃描，因?yàn)槌掷m(xù)不斷的威脅需要保持全年不間斷的警惕，以確保系統(tǒng)完整性，數(shù)據(jù)保護(hù)和合規(guī)性控制要求。”

 

然而，就減輕云風(fēng)險(xiǎn)而言，自動(dòng)化所起的推動(dòng)作用有很大的局限性。畢竟，你無法自動(dòng)化對(duì)云提供商進(jìn)行的風(fēng)險(xiǎn)評(píng)估。但是，如果你使用更多自動(dòng)化工具檢測問題并使云中的配置標(biāo)準(zhǔn)化，那么你可以將員工的時(shí)間用于復(fù)雜的問題，如培訓(xùn)和管理你與云提供商的關(guān)系。

 

 

你是否有權(quán)對(duì)你的云提供商進(jìn)行審計(jì)，這是一個(gè)熱門話題。如果你的合同和協(xié)議缺少這項(xiàng)規(guī)定，一旦發(fā)生了事故，你將被問責(zé)。另一方面，大型云提供商對(duì)這些要求表示了強(qiáng)烈的反對(duì)。

 

UpperEdge的項(xiàng)目執(zhí)行咨詢業(yè)務(wù)負(fù)責(zé)人Ted Rogers說：“關(guān)于審計(jì)，很多云公司正在向組織表示強(qiáng)烈反對(duì)，不向它們開放審計(jì)數(shù)據(jù)中心及其流程、程序和安全措施的審計(jì)權(quán)。原因是他們對(duì)第三方和第三方審計(jì)表現(xiàn)出猶豫不決的態(tài)度。相反，供應(yīng)商說它們是合規(guī)的，或者他們說不要擔(dān)心，因?yàn)槿绻麄儾贿@樣做，他們將因違反合同等其他原因而陷入困境。”

 

一種解決方案是批判性地評(píng)估云提供商開發(fā)的審計(jì)方法。Rogers提出了以下替代方案：“查看云提供商的審計(jì)文檔。具體來說，查看他們是否根據(jù)臉書在數(shù)據(jù)隱私方面的困難進(jìn)行了更新。有些云提供商表示，它們只是一個(gè)數(shù)據(jù)處理器。他們聲稱自己不接觸數(shù)據(jù)，也不會(huì)泄露數(shù)據(jù)”。這回避了問題的實(shí)質(zhì)：人們?cè)趺粗捞峁┥淌欠褡裱兄Z?

 

如果云服務(wù)提供商難以為貴公司提供審計(jì)權(quán)，緩解這種風(fēng)險(xiǎn)的方法還是有的。你可以要求更強(qiáng)大的報(bào)告機(jī)制并強(qiáng)調(diào)主要的風(fēng)險(xiǎn)指標(biāo)。你也可以要求你的內(nèi)部審計(jì)部門在合同討論期間提供意見。

 

 

最后，黑客攻擊和安全性并不是唯一需要考慮的風(fēng)險(xiǎn)。還有落伍的風(fēng)險(xiǎn)。

 

畢馬威的網(wǎng)絡(luò)安全服務(wù)美國領(lǐng)導(dǎo)者Tony Buffomante說：“對(duì)于我們的一些不太成熟的客戶來說，重大的商業(yè)風(fēng)險(xiǎn)在于貫徹云轉(zhuǎn)型和服務(wù)的力度還不夠。云不僅僅是一項(xiàng)新技術(shù)——它已經(jīng)改變了許多行業(yè)的業(yè)務(wù)和運(yùn)營模式。這事關(guān)改變業(yè)務(wù)，以變得更敏捷和更具競爭力。”

 

而且，很少有組織有這樣的預(yù)算和傾向——建立數(shù)據(jù)中心并開發(fā)所有的軟件和內(nèi)部部署的基礎(chǔ)設(shè)施。事實(shí)上，IT方面比較薄弱的公司可能會(huì)受益于大型云提供商的風(fēng)險(xiǎn)管理能力。

 

ACL的首席技術(shù)官Keith Cerny說：“根據(jù)我們的經(jīng)驗(yàn)，像亞馬遜、微軟和谷歌這樣的大型云供應(yīng)商提供安全I(xiàn)T環(huán)境的能力使內(nèi)部部署或自定義數(shù)據(jù)中心配置相形見絀。我們堅(jiān)信，回避云會(huì)給我們的業(yè)務(wù)帶來重大風(fēng)險(xiǎn)。我們的直接經(jīng)驗(yàn)是，體系結(jié)構(gòu)穩(wěn)健的云環(huán)境能夠以其它方式所無法達(dá)到的水平來滿足我們的安全性、隱私和可用性要求。2016年，在我們將總部搬遷到新址時(shí)，我們意識(shí)到?jīng)]有業(yè)務(wù)宕機(jī)的重大好處。我們的員工能夠使用云服務(wù)進(jìn)行遠(yuǎn)程工作，從而實(shí)現(xiàn)無縫過渡。”