上周CrowdStrike有缺陷的內(nèi)容更新影響了數(shù)百萬Microsoft Windows終端，恢復(fù)工作可以說是一項重大任務(wù)。

 

這次中斷將企業(yè)、云服務(wù)提供商和關(guān)鍵基礎(chǔ)設(shè)施提供商置于危險境地，并引起了人們對CrowdStrike市場份額主導(dǎo)地位的關(guān)注，據(jù)估計，其占據(jù)了端點檢測和響應(yīng)（EDR）市場的24%。

 

這一領(lǐng)先地位和持續(xù)推動的平臺化數(shù)據(jù)安全方法是CrowdStrike入選CSO十大最強網(wǎng)絡(luò)安全公司名單的主要原因，但此次中斷事件也引發(fā)了對企業(yè)云戰(zhàn)略的質(zhì)疑，并重新引發(fā)了對過度授權(quán)軟件的討論，因為IT領(lǐng)導(dǎo)者在災(zāi)難性事件中尋找經(jīng)驗教訓(xùn)。

 

這也突顯了集中風險的弊端。

 

 

CrowdStrike被業(yè)界許多人認為是EDR和反惡意軟件保護市場中的“金標準”，其Falcon解決方案在每個終端設(shè)備上部署一個代理程序，持續(xù)監(jiān)控并響應(yīng)勒索軟件和惡意軟件等網(wǎng)絡(luò)威脅，這種基于代理的方法以及CrowdStrike快速響應(yīng)內(nèi)容驗證過程中存在的缺陷，是許多企業(yè)不得不解決的藍屏死機（BSOD）問題的核心原因。

 

隨著企業(yè)將系統(tǒng)重新上線，IT領(lǐng)導(dǎo)團隊必然會面臨有關(guān)其受影響程度以及真正暴露在這類事件中的問題。盡管近年來努力增加彈性，但在CrowdStrike事件后，所有人都將感到比以前更脆弱。

 

展望未來，IT領(lǐng)導(dǎo)者必須更加關(guān)注“集中風險”以及如何更好地管理這些供應(yīng)鏈風險。

 

正如金融行為監(jiān)管局（FCA）所指出的，集中風險定義為：“由企業(yè)與單一客戶或一組關(guān)聯(lián)客戶之間的關(guān)系強度或范圍所帶來的風險，或直接暴露于單一客戶或一組關(guān)聯(lián)客戶的風險。”

 

用通俗的話來說，這就像把所有的雞蛋放在一個籃子里。我們應(yīng)該預(yù)期這個簡單的定義會被應(yīng)用，并且會受到監(jiān)管機構(gòu)的關(guān)注。我這么說是因為我最近與其他CISO和監(jiān)管機構(gòu)進行了會面，他們表達了對集中風險日益增加的擔憂。

 

 

監(jiān)管機構(gòu)會注意到所謂的“全球最大IT中斷”，并且他們將面臨采取措施防止類似情況再次發(fā)生的壓力。一旦塵埃落定，我預(yù)計不斷增加的云集中風險將成為重要目標。

 

大多數(shù)企業(yè)在向公有云遷移的過程中不斷取得進展，多個大型機構(gòu)采用了“云優(yōu)先”的口號，這些轉(zhuǎn)型通常從單一云提供商開始，并逐漸根據(jù)具體用例和數(shù)據(jù)主權(quán)要求引入額外的云提供商。

 

云集中風險現(xiàn)在出現(xiàn)在這些企業(yè)依賴單一云服務(wù)提供商（CSP）滿足所有關(guān)鍵業(yè)務(wù)需求時。在這種情況下，企業(yè)不再依賴自己的數(shù)據(jù)中心，而是將所有數(shù)據(jù)存儲、所有應(yīng)用運行在單一的云基礎(chǔ)設(shè)施上。

 

當出現(xiàn)像CrowdStrike中斷這樣單一的事件時，云集中風險就完全顯現(xiàn)出來，這種情況會使企業(yè)的整個運營陷入癱瘓。隨著企業(yè)越來越依賴相同的應(yīng)用程序和云提供商，這種情況在大規(guī)模上可能是災(zāi)難性的，正如我們在CrowdStrike事件中所見，這種情景還擴展到安全漏洞和其他可能對國家和行業(yè)產(chǎn)生系統(tǒng)性影響的事件。

 

來自UNSW網(wǎng)絡(luò)研究所（IFCYBER）的Matt Ryan博士解釋說，“在重大技術(shù)中斷事件期間，大型金融機構(gòu)將發(fā)現(xiàn)很難簡單地從一個云服務(wù)提供商轉(zhuǎn)向另一個，因為建立這種彈性的成本對于大多數(shù)商業(yè)企業(yè)來說實在太高。”

 

盡管如此，我們必須采取行動。

 

 

為了避免云集中風險的危險，采用多云戰(zhàn)略至關(guān)重要，在這種戰(zhàn)略下，業(yè)務(wù)工作負載分布在多個云提供商之間。多云戰(zhàn)略的實施意味著當一個提供商出現(xiàn)問題時，你在其他云中的運營可以繼續(xù)運行。

 

另一種選擇是采用混合云方法，結(jié)合私有云和公有云，這使你能夠更好地控制專有和敏感數(shù)據(jù)，同時仍然享受公有云的可擴展性。

 

但是，無論是多云還是混合云，這兩種方法都會帶來更多的復(fù)雜性和挑戰(zhàn)，如果管理不當，可能會影響彈性。不幸的是，多供應(yīng)商的復(fù)雜性可能導(dǎo)致事件和新的風險，包括云配置錯誤和故障排除的困難。

 

對于CIO來說，這些方法增加了供應(yīng)商的復(fù)雜性，需要跨不同的服務(wù)級別協(xié)議（SLA）和支持流程進行管理。FinOps將需要實施，以管理多云環(huán)境中各個云提供商的成本以及合同。內(nèi)部來說，CIO必須管理這些云供應(yīng)商的安全策略，以及云提供商自身使用的任何第三方。

 

 

展望未來，了解你們企業(yè)可接受的集中風險水平將是一個關(guān)鍵問題。董事會將希望管理團隊衡量這一風險，以便定義他們的容忍度應(yīng)是什么。

 

云安全聯(lián)盟（Cloud Security Alliance）對此有一些好的見解，它推薦了一些方法來開發(fā)將風險容忍度評估、數(shù)據(jù)/資產(chǎn)分類和業(yè)務(wù)需求轉(zhuǎn)化為公司政策、控制目標和技術(shù)控制的流程。

 

我建議的方法是首先識別并記錄所有對業(yè)務(wù)至關(guān)重要的操作。一旦這些操作被定義，技術(shù)團隊就可以開始識別支持這些操作的所有基礎(chǔ)技術(shù)組件和供應(yīng)商。在這個階段，企業(yè)可以開始測試和識別可能需要進一步處理或冗余的單點故障。

 

 

國內(nèi)主流的to B IT門戶，旗下運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。旗下運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需在文章開頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。