雖然云風險分析應該與任何其他第三方風險分析沒有什么不同，但許多企業(yè)對待云的態(tài)度更溫和，采取了不那么徹底的方法，這在很大程度上是因為企業(yè)傾向于使用可用的最大的云平臺——其中AWS、Microsoft Azure和Google Cloud Platform位居榜首，這些龐大的平臺極大地限制了它們能夠使一家企業(yè)進行IT盡職調(diào)查的程度。

 

最大的企業(yè)有時會有例外——比如沃爾瑪、埃克森美孚、CVS、伯克希爾哈撒韋等——但其他許多企業(yè)通常不會。此外，大多數(shù)企業(yè)云戰(zhàn)略涉及各種云供應商，包括在云中運營的點式解決方案SaaS供應商，這些不同合作伙伴之間的相互關系進一步復雜化了風險方程式。

 

你的云資產(chǎn)可能面臨的最明顯風險涉及云設置和配置。許多IT團隊花費大量精力微調(diào)他們的云實例、架構(gòu)和環(huán)境的設置，以精確地匹配他們公司的需求，但后來卻發(fā)現(xiàn)，他們的云供應商的一名員工對該供應商的所有企業(yè)租戶進行了一些通用的更改，實際上覆蓋了IT團隊精心設計的設置。

 

但CIO在云計算領域還可能面臨其他意想不到的挑戰(zhàn)，他們應該意識到這一點，這里列出了幾個這樣的隱藏風險，并就如何緩解這些風險提出了建議。

 

 

云供應商本身可能會遇到許多與業(yè)務相關的問題，這些問題可能會挑戰(zhàn)他們向簽署合同時承諾的標準企業(yè)CIO提供服務的能力，包括引入新的風險。

 

在執(zhí)行云平臺允許的任何最低限度的盡職調(diào)查時 - SOC報告、GDPR合規(guī)性、PCIROC等 - 請記住，這只是評估時刻的快照，這一點至關重要，這就是合同發(fā)揮作用的地方。如果有任何變化會影響你的供應商的風險狀況，例如裁員影響其運營或削減非人力資源的預算，應該有明確的合同條款，要求云供應商有義務提醒你的團隊，理想情況下，讓你的團隊有選擇免費退出，包括退還未花費的資金。

 

安永負責網(wǎng)絡安全的董事總經(jīng)理布萊恩·萊文表示：“我看不出這么做有什么壞處。 (云供應商)會堅持到底嗎？大概不會吧，他們很可能沒有這樣做的流程。為了訴訟的目的，有一個明示的條款總是比默示的條款更好。”

 

Sailpoint的CISO雷克斯·布斯(Rex Booth)同意這樣的條款無傷大雅，但需要做出很多解釋。他表示，一種更好的合同方法是，在合同中加入類似這樣的條款：“如果你按照獨立審計師的決定進行跳水，我們有權退出”，然而，布斯補充說，裁員并不一定意味著組織努力的減少。

 

 

很長一段時間以來，數(shù)據(jù)主權一直是一個關鍵的IT問題，但現(xiàn)在出現(xiàn)了許多企業(yè)可能沒有預料到的特定于云的數(shù)據(jù)主權問題，例如，美國商務部在1月份提出了一項規(guī)則，禁止中國企業(yè)在美國云環(huán)境中培訓其LLM模型。盡管這最初似乎只會影響中國企業(yè)，但Forrester首席分析師Lee Sustar認為，這很容易牽涉到美國企業(yè)——不僅是云計算公司，還有那些擁有為客戶執(zhí)行分析工作的部門的企業(yè)集團。

 

例如，如果一家中國公司聘請了一家美國人工智能公司，并付錢讓他們在這家美國公司的云環(huán)境中培訓各種LLM，那會怎么樣？這會違反商業(yè)規(guī)則嗎？更復雜的是，如果這家美國公司的客戶設在比利時或澳大利亞怎么辦？如果那家比利時公司的客戶碰巧是一家中國公司怎么辦？如果一家中國公司想要繞過這一規(guī)定，它很可能會通過多家非中國公司處理這一請求。

 

“現(xiàn)在你必須規(guī)劃你的云工作負載，不僅要考慮第三方的風險，還要考慮第四方的風險”，他說。

 

安永的萊文建議首席信息官在談判新的云協(xié)議時需要考慮的其他因素，一些云運營對記錄其環(huán)境中發(fā)生的情況收取額外費用。如果云租戶可以直接跟蹤活動，這不是一個大問題，但他們不能，因此必須依賴云平臺的日志。

 

“這是基本的，如果一家企業(yè)要為(云中發(fā)生的一切)負責，他們必須有相關日志才能負責，他們會把這些原木保存多久？”，萊文說。

 

 

許多企業(yè)IT高管認為，云提供了近乎無限的可擴展性——這在數(shù)學上是不正確的。云營銷對此沒有幫助，它強烈地暗示——如果不是直接的承諾——無限的可擴展性。

 

大多數(shù)情況下，云的彈性為其宗旨提供了極高級別的可擴展性，然而，網(wǎng)絡安全投資公司Team8的運營合伙人兼常駐CISO查爾斯·布勞納表示，當緊急情況發(fā)生時，所有的賭注都會取消。布勞納曾在花旗集團、德意志銀行和摩根大通擔任CISO。

 

BLauner指出，在9/11襲擊期間，他多次嘗試外包數(shù)據(jù)，但都以失敗告終，他在2012年颶風桑迪和美國新冠疫情最初幾周再次看到這種情況。“這只適用于第一批”將更多數(shù)據(jù)推向云端的公司。

 

企業(yè)希望能夠“在危機期間恢復到云環(huán)境中，然后911事件發(fā)生了，所有人都同時宣布進入緊急狀態(tài)。如果你不是第一批宣布這一消息的公司之一，(云服務供應商)會說，‘我們已經(jīng)滿了’”，布勞納說。

 

BLauner說，解決方案是讓CIO們建立他們的緊急最低生存產(chǎn)品(MVP)職位，他的意思是讓企業(yè)識別他們最基本的服務——那些“你的客戶離不開的服務”——這樣，當緊急情況發(fā)生時，只有那些緊急服務才會轉(zhuǎn)移到云中。如果所有企業(yè)都這樣做，該行業(yè)就能挺過下一場危機。

 

例如，當BLauner在花旗工作時，MVP是國際資金轉(zhuǎn)移。如果我們不保護這一點，我們可能會遭遇全球經(jīng)濟崩潰。在韓國，如果沒有花旗，你就無法進行轉(zhuǎn)賬。“對于世界上的每一家公司來說，都有這樣的事情。”

 

 

Gartner云安全團隊的高級主管分析師Charlie Winckless同意危機發(fā)生時的可擴展性是一個令人擔憂的問題，但他認為IT領導者的典型解決方案正在形成一個不同的問題：通過與全球大量云環(huán)境達成協(xié)議來覆蓋他們在云方面的賭注。

 

CIO認為，通過使用多個云提供商，他們認為它正在提高可用性，但事實并非如此。它所做的一切只是增加了復雜性，而復雜性一直是安全的敵人。“使用云提供商的區(qū)域要劃算得多。”

 

咨詢公司麥肯錫負責監(jiān)管企業(yè)網(wǎng)絡安全戰(zhàn)略實踐的合伙人里奇·伊森伯格認為，企業(yè)往往達不到云所承諾的財務和效率優(yōu)勢，因為它們不愿充分信任云環(huán)境的機制。

 

企業(yè)IT的“阻力”在于他們不信任云自動化和技術。他們希望自己的團隊管理一切。Isenberg說，云包括云原生工具和自動化，但CIO仍然傾向于使用他們的團隊的老式方法，這些高管“依賴于他們的安全和訪問團隊，他們從他們首選的供應商那里獲得了他們的首選工具。”

 

這意味著許多云任務需要執(zhí)行兩次，這就是效率優(yōu)勢有時無法實現(xiàn)的原因。伊森伯格說，大多數(shù)IT高管“認為重大漏洞將威脅到他們的工作，但現(xiàn)實情況是，威脅是這些高管不是數(shù)字技術的先鋒。”如果高管們“不接受云本地[工具]和自動化，那么，是的，這將成為別人的工作。”

 

如今，云在所有企業(yè)系統(tǒng)中的集成程度都很高，無論是IaaS、PaaS還是SaaS，云戰(zhàn)略都需要成為默認假設。伊森伯格說：“無論你知道還是不知道，無論你想不想，你都會參與其中。”

 

 

國內(nèi)主流的to B IT門戶，同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關注)。

 

版權聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需在文章開頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。