云服务的主流地位已不可动摇,并且每年都在接管更多的企业职能。以前云服务仅限于简单的存储或者联系人管理,而现在像ERP这样的核心功能已经迁移到云中。随着越来越多的基本服务不断迁移到云中,IT领导们必须关注当今云环境中固有的风险,并采取预防措施来缓解这些风险。
本文介绍企业应该怎样评估并缓解云计算的风险。
评估企业对云风险的适应能力
在银行业,通常会设置风险适应能力来指导企业决策。例如,保守的风险适应能力会导致银行拒绝利润丰厚但非常不确定的贷款。“刀口舔血”式的风险适应能力可能会在繁荣时期带来更高的回报。不利的一面呢?下一次危机来临时,银行可能会遭受重创。
从IT管理的角度来看,企业的风险适应能力会指导你的尽职调查、持续监测以及投资降低风险措施的意愿。例如,企业可以建立一种分层的方法来缓解风险,最大限度地利用有限的资源。降低“1级”云服务失败风险的方法是通过人员配备(例如,拥有专门的关系经理)、定期测试和采用顶级供应商支持来实现的。
重新审视企业的云使用文化
云提供商喜欢强调易用性和灵活性。一旦企业体验到云的易用性,很少会愿意回到过去,继续维护自己老的基础设施。但对云服务漫不经心的态度可能会导致员工面临由于愚蠢带来的风险。
AvePoint公司产品战略副总裁JohnHodges评论说:“关键在于,云服务经常鼓励‘随意使用’数据;我可以在任何地方收集、搜索和存储任何东西。我们经常在Box、DropBox和OneDrive等系统中看到这种情况,在内容存储和共享方面真的存在混合使用的危险。”然而,简单粗暴地禁止混合使用,也可能带来各种问题。
禁止高风险的云服务会有一定帮助,但这并不能完全消除问题。Hodges解释说:“对于企业提供的帐户,例如,Slack渠道或者MicrosoftTeams以及其他系统,用户总是采取数据共享这种最方便的路线。但这种行为可能不符合数据共享的记录保留政策或者限制。”如果你的公司受到诉讼或者类似的调查,记录保留政策的不一致应用会让企业感到头疼。
使用零信任模型来降低风险
零信任是一种IT安全策略,企业要求防护周界内部和外部的每一名用户、系统或者设备在连接到其系统之前都要进行验证和认证。怎样使用零信任模型来降低云风险呢?Insurity是专门从事财产和意外保险服务和软件的企业,对该企业而言,零信任方法意味着非常严格的限制访问。
Insurity的首席信息官JonathanVictor介绍说:“我们为很少一部分用户提供符合工作功能要求的最小权限和特权逻辑访问权限。这种控制是由我们的企业安全部门在内部进行审核的,也是我们年度SOC外审的一部分。”
定期检查用户访问级别,并自查一下这是否合理。企业是否需要数十个具有管理访问权限的用户?每名超级用户都会增加额外的风险。
汲取新闻中IT失败的教训
花一些时间研究与云有关的失败案例的行业新闻,这将有助于降低云风险。在当今的企业中,云应用的复杂性和不断发展的特性意味着总能从轰动的事件中学到一些东西。
JetStream软件公司的联合创始人兼总裁RichPetersen评论说:“我们关注的是数据的丢失,所以我们从一些事件中学到了重要的经验教训。例如,2017年8月Meraki的数据丢失,在该事件中,本地系统未能按照设计要求把数据备份到云服务中。”
思科也承认,云配置错误导致了数据丢失,工作效率下降。正如Register所报道的,“这一事件给思科造成了巨大的麻烦,因为Meraki销售的是基于其支持的云服务,这避免了运行网络和语音系统所需的大量繁琐的工作。Meraki公司犯下了如此重大的错误——而且似乎缺乏数据保护工具来恢复这种偶发事件,这是其声誉上一个很大的污点。”
重新考虑混合使用手动和自动云管理策略
自动化、虚拟助理和数据处理不仅能够帮助企业销售更多的产品,而且还能够管理他们的云服务。对于Barracuda网络公司,自从云开始自动化流程以来,人工进行安全工作的范围已经大幅缩减了。
Barracuda网络公司数据保护平台战略总监GregArnette说:“我们已经放弃进行人工安全检查,而是转移到自动扫描,因为越来越多而且持续不断的威胁迫使我们时时刻刻都要保持警惕,以确保系统的完整性、数据保护和合规控制要求。”
然而,当涉及到降低云风险时,转移到自动化有很大的局限性。毕竟,不可能自动地对云提供商进行风险评估。但是,如果你使用更加自动化的工具来检测云中的问题,并进行标准化的配置,那么员工们则可以把更多的时间集中在处理复杂问题上,例如培养并管理好与云提供商的关系。
针对供应商最敏感的审核问题想出办法
你是否有权审核云供应商是一个热点问题。如果企业的合同和协议缺少这一条款,一旦发生了意外,你就会感到束手束脚。另一方面,大型云提供商正在把这些要求反压给企业。
UpperEdge项目执行咨询业务负责人TedRogers说:“关于审核,很多云提供商正在反过来给企业施压,不允许他们拥有审核权来审核他们的数据中心及其流程、程序和安全措施。为什么?”因为他们不愿意让第三方出现,进行审核。相反,供应商说他们是合规的,或者他们说不必担心,因为如果他们不这样做,他们将会因为合同的其他原因而陷入麻烦,比如泄露事件。
一种解决方案是批判性地评估由云提供商开发的审核方法。Rogers建议使用以下替代方案:“访问云提供商的审核文档。具体来说,看看他们是否已经参考脸书在数据隐私方面遇到的困难而进行了更新。某些云提供商表示,他们只是数据处理器。他们声称,自己不接触数据,也不会泄露数据。”这就引出了一个问题:怎样知道提供商是否遵守了他们的承诺?
即使云提供商不愿意把审核权提供给企业,仍然有办法来降低这种风险。你可以要求更全面的报告,并强调要提供主要风险指标。也可以要求企业的内部审核部门在讨论合同时发表意见。
反思避险作为一种风险缓解策略
最后,黑客攻击和安全并不是唯一要考虑的风险。还有落后的风险。
毕马威的网络安全服务美国地区负责人TonyBuffomante评论说:“对于我们一些不太成熟的客户来说,关键的业务风险不是积极地去追求云转型和服务。云不仅仅是一种新技术,它还改变了很多行业的业务和运营模式。这涉及到业务转型,让业务变得更灵活和更具竞争力。”
而且,很少有企业有预算或者愿意建立数据中心,自己开发所有的软件,建设本地基础设施。事实上,IT能力较弱的公司将受益于大型云提供商的风险管理能力。
ACL首席技术官KeithCerny说:“根据我们的经验,亚马逊、微软和谷歌这样的大规模云提供商有能力提供安全IT环境,让那些本地或者定制数据中心配置相形见绌。我们坚信,回避云计算将给我们的业务带来重大风险。我们的直接经验是,一个设计良好的云环境在某种程度上满足了我们的安全、隐私和可用性需求,而这是我们无法通过任何其他手段实现的。2016年,当我们把总部搬到新地方时,认识到了业务没有中断给我们带来了重要优势。我们的员工能够使用我们的云服务远程工作,实现了无缝过渡。”
BruceHarpham在ProjectManagementHacks上为越来越多的IT项目经理撰写关于技术和项目管理的文章。他曾从事过加拿大金融服务和高等教育领域的重要项目。
原文网址https://www.cio/article/3273707/cloudcomputing/7-risk-mitigationstrategies-for-the-cloud.html