理解云計(jì)算的風(fēng)險(xiǎn)所在是保護(hù)以云計(jì)算為中心的企業(yè)的關(guān)鍵。在本文中,Ravila Helen White解釋了云計(jì)算風(fēng)險(xiǎn)的三個(gè)必知內(nèi)容。
云計(jì)算的高速發(fā)展也為試圖重新聚焦關(guān)鍵業(yè)務(wù)目標(biāo)的企業(yè)帶來了許多利好,例如提高產(chǎn)品上市的速度、增加企業(yè)競爭的優(yōu)勢(shì)以及降低資本和/或運(yùn)行的開支等等。
通常來說,對(duì)諸如軟件即服務(wù)(SaaS)或基礎(chǔ)設(shè)施即服務(wù)(IaaS)的云計(jì)算技術(shù)進(jìn)行投資就能夠降低對(duì)企業(yè)內(nèi)部傳統(tǒng)信息技術(shù)部門的服務(wù)需求。而由企業(yè)業(yè)務(wù)部門管理(例如培訓(xùn)、人力資源、工資和醫(yī)療管理等)的服務(wù)也會(huì)隨著云計(jì)算的應(yīng)用而逐步減少。
雖然投資資本與運(yùn)營運(yùn)行的成本有所降低,但是由于黑暗網(wǎng)絡(luò)中信息經(jīng)紀(jì)人的興起云計(jì)算的風(fēng)險(xiǎn)也有所增加。這些惡意的組織會(huì)交易和銷售包括個(gè)人身份、金融信息乃至知識(shí)產(chǎn)權(quán)在內(nèi)的所有信息。
從傳統(tǒng)意義上來說,只有保存在公司內(nèi)部的信息才是安全的,因此實(shí)施云計(jì)算必然會(huì)加劇信息泄露的風(fēng)險(xiǎn)。此外,那些專門從事信息中介業(yè)務(wù)的人士也讓云計(jì)算供應(yīng)商成為了他們的目標(biāo),因?yàn)樗麄兎浅A私馑麄兯刂茖殠斓南嚓P(guān)信息。為了管理好云計(jì)算風(fēng)險(xiǎn),首先了解風(fēng)險(xiǎn)到底是什么將是非常重要的。
云計(jì)算風(fēng)險(xiǎn)的來龍去脈
所謂風(fēng)險(xiǎn),也就是指我們不希望發(fā)生的事件發(fā)生的概率。在信息安全領(lǐng)域,風(fēng)險(xiǎn)就是一個(gè)惡意或非惡意暴露機(jī)密信息事件、或威脅數(shù)據(jù)一致性以及干擾系統(tǒng)和信息可用性事件發(fā)生的概率。任何接入互聯(lián)網(wǎng)的組織都處于風(fēng)險(xiǎn)之中,他們都應(yīng)考慮黑暗網(wǎng)絡(luò)的彈性特性和擴(kuò)展私有云計(jì)算和公共云計(jì)算網(wǎng)絡(luò)的能力。數(shù)據(jù)交換有合法的和非法的,而一家企業(yè)的互聯(lián)網(wǎng)接入就為合法的數(shù)據(jù)交換(例如電子郵件、VPN以及FTP等)以及諸如惡意軟件、信息收集和竊聽等敵對(duì)性的數(shù)據(jù)交換提供了的信息傳輸回路。
敵對(duì)數(shù)據(jù)交換并不是一家組織或者甚至個(gè)人所希望進(jìn)行的數(shù)據(jù)交換。通常情況下,其結(jié)果就是等待恢復(fù)的停機(jī)時(shí)間、收入損失、數(shù)據(jù)丟失、影響人力資本以及相關(guān)名譽(yù)受損。如果某個(gè)組織是一個(gè)受管制行業(yè)中的一員,那么這個(gè)組織就有可能由于發(fā)生敵對(duì)事件的原因而受到處罰。即便企業(yè)沒有受到相關(guān)處罰,但是他們也無法承受因發(fā)生安全事件丑聞而造成客戶流失和商業(yè)合作伙伴失去信心這樣的嚴(yán)重后果。
一直以來,云計(jì)算所倡導(dǎo)的就是:我們可以做得更好,更便宜。你來關(guān)注你的核心業(yè)務(wù)問題,而我們來更具成本效益地管理你的技術(shù)并保護(hù)你的數(shù)據(jù)。雖然這有可能是真的,但是云計(jì)算供應(yīng)商也與其他企業(yè)面臨著相同的挑戰(zhàn)。鑒于其特殊的業(yè)務(wù)模式,云計(jì)算供應(yīng)商可能比一家典型企業(yè)面臨著更多的挑戰(zhàn)。例如,云計(jì)算供應(yīng)商可能會(huì)迎合一個(gè)利基行業(yè),如信用卡業(yè)。如果大家都知道這家云計(jì)算供應(yīng)商掌握了所有客戶持有的信用卡信息,那么它也就會(huì)成為黑暗信息經(jīng)紀(jì)人的目標(biāo)。信息經(jīng)紀(jì)人會(huì)兜售客戶身份或信用卡或者制造偽造的信用卡,而一個(gè)成功的黑客可能會(huì)從中受益。
云計(jì)算供應(yīng)商的風(fēng)險(xiǎn)還存在于使用云計(jì)算服務(wù)的客戶中。無論客戶的物理、邏輯和虛擬隔離和細(xì)分的量有多少,云計(jì)算基礎(chǔ)設(shè)施都共享了共同的能源、硬件、應(yīng)用程序以及網(wǎng)絡(luò)資源。當(dāng)云計(jì)算服務(wù)供應(yīng)商提供SaaS服務(wù)時(shí),它會(huì)信任企業(yè)用戶并讓用戶自己確保其用戶ID和密碼的安全性。與之類似,用于訪問SaaS的計(jì)算資源也必須是安全的。如果企業(yè)用戶遭到入侵,諸如用戶ID和密碼等信息被泄露,那么一個(gè)經(jīng)驗(yàn)豐富的信息收集者就有可能會(huì)憑此訪問SaaS應(yīng)用程序并確定訪問其他客戶數(shù)據(jù)的方法。頃刻之間,其它企業(yè)用戶的云計(jì)算環(huán)境的保密性、完整性以及可用性都岌岌可危了。
最后的風(fēng)險(xiǎn)就存在于云計(jì)算供應(yīng)商及其技術(shù)專業(yè)的水平了。供應(yīng)商們必須接受風(fēng)險(xiǎn)轉(zhuǎn)移,并理解和遵守相關(guān)規(guī)定。他們也面臨著與其他所有企業(yè)相同的挑戰(zhàn),其中尤其是吸引和留住人才。當(dāng)人力資本不再是云計(jì)算供應(yīng)商成功吸引和留住人才的主要因素時(shí),整個(gè)云計(jì)算環(huán)境就有可能由于一個(gè)蟻穴而崩潰。缺乏可擴(kuò)展性、無法提供豐富的功能集或者無法提供足夠的安全性和私密性保障都會(huì)影響云計(jì)算供應(yīng)商吸引和留住客戶的能力。
風(fēng)險(xiǎn)轉(zhuǎn)移是云計(jì)算的一個(gè)組成部分,因?yàn)楣?yīng)商必須以合同協(xié)議的形式承諾提供一定的服務(wù)水平。該服務(wù)的一部分涉及到確保信息資產(chǎn)的安全性。如果由于云計(jì)算供應(yīng)商未能對(duì)行業(yè)最佳實(shí)踐和法規(guī)開展盡職的調(diào)查而發(fā)生相關(guān)惡性事件,那么它就應(yīng)負(fù)責(zé)通知受事件影響的相關(guān)人員并展開訴訟行動(dòng)。一家云計(jì)算供應(yīng)商必須做好準(zhǔn)備通過審核和認(rèn)證,以確認(rèn)其云計(jì)算基礎(chǔ)設(shè)施將仍然保持可用性和安全性。它還必須為響應(yīng)安全事件而做好準(zhǔn)備。即便他們的初衷是良好的,但是諸如零日漏洞攻擊這樣的事件還是會(huì)發(fā)生,并滲透到最佳安全架構(gòu)中。
同樣,了解必要的法規(guī)也是非常重要的。出于隱私性方面的考慮,金融誠信和國家安全組織通常至少必須遵守一項(xiàng)規(guī)定。大多數(shù)的組織都會(huì)有多個(gè)規(guī)定需要遵守。以下,讓我們來看看一個(gè)管理信用卡數(shù)據(jù)的全國性組織的例子。這家組織必須遵守聯(lián)邦政府的要求以及那些可能比聯(lián)邦法律更為嚴(yán)格的特定地區(qū)法規(guī)。而全球性組織則還需增加一層復(fù)雜性,即他們必須遵守美國的法規(guī)以及他們開展業(yè)務(wù)的所在國家的國際性法規(guī)。云計(jì)算供應(yīng)商們必須在理解法規(guī)以及如何遵守法規(guī)方面有大的投入,因?yàn)樗麄兊倪`規(guī)也意味著企業(yè)用戶的違規(guī),而他們有為他們的客戶和法規(guī)提供合規(guī)性保障的最終責(zé)任。
風(fēng)險(xiǎn)的三項(xiàng)內(nèi)容
業(yè)務(wù)專家理解和接受與云計(jì)算客戶和云計(jì)算供應(yīng)商相關(guān)的風(fēng)險(xiǎn)。無論你擔(dān)任了什么樣的角色,要管理什么樣不想要發(fā)生的潛在事件,都必須實(shí)施風(fēng)險(xiǎn)管理。在云計(jì)算關(guān)系的特定情況下,雙方的風(fēng)險(xiǎn)管理工作都是必要的,其中企業(yè)用戶和云計(jì)算供應(yīng)商都必須擁有成熟的風(fēng)險(xiǎn)管理計(jì)劃。成熟度是通過一個(gè)有管理、有周期性報(bào)告以及維持低風(fēng)險(xiǎn)狀態(tài)定量證據(jù)的計(jì)劃來證明的。
而風(fēng)險(xiǎn)管理則是通過三個(gè)內(nèi)容來實(shí)現(xiàn)的:風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估以及風(fēng)險(xiǎn)控制。
·風(fēng)險(xiǎn)識(shí)別——企業(yè)用戶必須明確通過云計(jì)算投資引入的各種風(fēng)險(xiǎn)。這就能夠讓企業(yè)確保在云計(jì)算服務(wù)采購過程中務(wù)必執(zhí)行必要的業(yè)務(wù)控制措施。此外,還應(yīng)創(chuàng)建和/或更新合適的過程以支持由于云計(jì)算相關(guān)停用而造成的中斷事件。
云計(jì)算供應(yīng)商必須識(shí)別風(fēng)險(xiǎn)以確定它最好能夠提供哪些云計(jì)算服務(wù)。一些供應(yīng)商可能會(huì)確定他們更喜歡服務(wù)某個(gè)特定的行業(yè),因此而成為一個(gè)利基供應(yīng)商,從而減少監(jiān)管環(huán)境。為各種行業(yè)的用戶提供云計(jì)算服務(wù)所帶來的風(fēng)險(xiǎn)可能會(huì)過高。
·風(fēng)險(xiǎn)評(píng)估——一家企業(yè)用戶必須了解它的哪些資產(chǎn)價(jià)值過高而不能冒把它們外包給第三方服務(wù)供應(yīng)商的風(fēng)險(xiǎn)。相反,當(dāng)?shù)谌焦?yīng)商的專業(yè)人士能夠管理和保護(hù)好數(shù)據(jù)時(shí),此舉可有助于企業(yè)用戶認(rèn)識(shí)到第三方供應(yīng)商能夠提供更好的服務(wù)并保護(hù)目標(biāo)的豐富資產(chǎn)。
·風(fēng)險(xiǎn)控制——一旦風(fēng)險(xiǎn)已通過識(shí)別、評(píng)估并進(jìn)行了量化,我們就可以選擇合適的控制措施以便于進(jìn)行風(fēng)險(xiǎn)控制。在云計(jì)算模式中,這是一個(gè)需要云計(jì)算客戶和供應(yīng)商共同分擔(dān)的責(zé)任,因此他們雙方應(yīng)具有互補(bǔ)的風(fēng)險(xiǎn)管理程序。為云計(jì)算供應(yīng)商的應(yīng)用程序控制設(shè)定期望是云計(jì)算用戶的責(zé)任。而作為云計(jì)算供應(yīng)商,他們應(yīng)當(dāng)根據(jù)用戶的期望來確保控制措施的實(shí)施與維護(hù),并為服務(wù)等級(jí)協(xié)議和合規(guī)性需求控制提供認(rèn)證。
對(duì)于一些人來說,云計(jì)算是有風(fēng)險(xiǎn)的,因?yàn)樗麄冋J(rèn)為企業(yè)用戶需要把企業(yè)的資產(chǎn)托付給第三方進(jìn)行照顧、維護(hù)以及保護(hù)。但是,鑒于云計(jì)算技術(shù)在諸如醫(yī)療保健、電子商務(wù)以及政府管理等領(lǐng)域已得到的高度認(rèn)可,大家都希望它能夠繼續(xù)保持作為一個(gè)降低成本和簡化業(yè)務(wù)運(yùn)行的外包技術(shù)的特色。使用云計(jì)算的第一步就是要了解其風(fēng)險(xiǎn)以及應(yīng)如何進(jìn)行風(fēng)險(xiǎn)管理。