Bruce Harpham

云服務(wù)及其相關(guān)的風(fēng)險隨著時間的推移只會變得越來越重要。本文介紹怎樣掌控這些風(fēng)險同時又不失云帶來的好處。

云服務(wù)的主流地位已不可動搖，并且每年都在接管更多的企業(yè)職能。以前云服務(wù)僅限于簡單的存儲或者聯(lián)系人管理，而現(xiàn)在像ERP這樣的核心功能已經(jīng)遷移到云中。隨著越來越多的基本服務(wù)不斷遷移到云中，IT領(lǐng)導(dǎo)們必須關(guān)注當(dāng)今云環(huán)境中固有的風(fēng)險，并采取預(yù)防措施來緩解這些風(fēng)險。

本文介紹企業(yè)應(yīng)該怎樣評估并緩解云計算的風(fēng)險。

評估企業(yè)對云風(fēng)險的適應(yīng)能力

在銀行業(yè)，通常會設(shè)置風(fēng)險適應(yīng)能力來指導(dǎo)企業(yè)決策。例如，保守的風(fēng)險適應(yīng)能力會導(dǎo)致銀行拒絕利潤豐厚但非常不確定的貸款?！暗犊谔蜓笔降娘L(fēng)險適應(yīng)能力可能會在繁榮時期帶來更高的回報。不利的一面呢？下一次危機(jī)來臨時，銀行可能會遭受重創(chuàng)。

從IT管理的角度來看，企業(yè)的風(fēng)險適應(yīng)能力會指導(dǎo)你的盡職調(diào)查、持續(xù)監(jiān)測以及投資降低風(fēng)險措施的意愿。例如，企業(yè)可以建立一種分層的方法來緩解風(fēng)險，最大限度地利用有限的資源。降低“1級”云服務(wù)失敗風(fēng)險的方法是通過人員配備（例如，擁有專門的關(guān)系經(jīng)理）、定期測試和采用頂級供應(yīng)商支持來實現(xiàn)的。

重新審視企業(yè)的云使用文化

云提供商喜歡強調(diào)易用性和靈活性。一旦企業(yè)體驗到云的易用性，很少會愿意回到過去，繼續(xù)維護(hù)自己老的基礎(chǔ)設(shè)施。但對云服務(wù)漫不經(jīng)心的態(tài)度可能會導(dǎo)致員工面臨由于愚蠢帶來的風(fēng)險。

AvePoint公司產(chǎn)品戰(zhàn)略副總裁John Hodges評論說：“關(guān)鍵在于，云服務(wù)經(jīng)常鼓勵‘隨意使用數(shù)據(jù)；我可以在任何地方收集、搜索和存儲任何東西。我們經(jīng)常在Box、DropBox和OneDrive等系統(tǒng)中看到這種情況，在內(nèi)容存儲和共享方面真的存在混合使用的危險?！比欢?，簡單粗暴地禁止混合使用，也可能帶來各種問題。

禁止高風(fēng)險的云服務(wù)會有一定幫助，但這并不能完全消除問題。Hodges解釋說：“對于企業(yè)提供的帳戶，例如，Slack渠道或者M(jìn)icrosoft Teams以及其他系統(tǒng)，用戶總是采取數(shù)據(jù)共享這種最方便的路線。但這種行為可能不符合數(shù)據(jù)共享的記錄保留政策或者限制?！比绻愕墓臼艿皆V訟或者類似的調(diào)查，記錄保留政策的不一致應(yīng)用會讓企業(yè)感到頭疼。

使用零信任模型來降低風(fēng)險

零信任是一種IT安全策略，企業(yè)要求防護(hù)周界內(nèi)部和外部的每一名用戶、系統(tǒng)或者設(shè)備在連接到其系統(tǒng)之前都要進(jìn)行驗證和認(rèn)證。怎樣使用零信任模型來降低云風(fēng)險呢？Insurity是專門從事財產(chǎn)和意外保險服務(wù)和軟件的企業(yè)，對該企業(yè)而言，零信任方法意味著非常嚴(yán)格的限制訪問。

Insurity的首席信息官Jonathan Victor介紹說：“我們?yōu)楹苌僖徊糠钟脩籼峁┓瞎ぷ鞴δ芤蟮淖钚?quán)限和特權(quán)邏輯訪問權(quán)限。這種控制是由我們的企業(yè)安全部門在內(nèi)部進(jìn)行審核的，也是我們年度SOC外審的一部分?！?/p>

定期檢查用戶訪問級別，并自查一下這是否合理。企業(yè)是否需要數(shù)十個具有管理訪問權(quán)限的用戶？每名超級用戶都會增加額外的風(fēng)險。

汲取新聞中IT失敗的教訓(xùn)

花一些時間研究與云有關(guān)的失敗案例的行業(yè)新聞，這將有助于降低云風(fēng)險。在當(dāng)今的企業(yè)中，云應(yīng)用的復(fù)雜性和不斷發(fā)展的特性意味著總能從轟動的事件中學(xué)到一些東西。

JetStream軟件公司的聯(lián)合創(chuàng)始人兼總裁Rich Petersen評論說：“我們關(guān)注的是數(shù)據(jù)的丟失，所以我們從一些事件中學(xué)到了重要的經(jīng)驗教訓(xùn)。例如，2017年8月Meraki的數(shù)據(jù)丟失，在該事件中，本地系統(tǒng)未能按照設(shè)計要求把數(shù)據(jù)備份到云服務(wù)中?！?/p>

思科也承認(rèn)，云配置錯誤導(dǎo)致了數(shù)據(jù)丟失，工作效率下降。正如Register所報道的，“這一事件給思科造成了巨大的麻煩，因為Meraki銷售的是基于其支持的云服務(wù)，這避免了運行網(wǎng)絡(luò)和語音系統(tǒng)所需的大量繁瑣的工作。Meraki公司犯下了如此重大的錯誤——而且似乎缺乏數(shù)據(jù)保護(hù)工具來恢復(fù)這種偶發(fā)事件，這是其聲譽上一個很大的污點?！?/p>

重新考慮混合使用手動和自動云管理策略

自動化、虛擬助理和數(shù)據(jù)處理不僅能夠幫助企業(yè)銷售更多的產(chǎn)品，而且還能夠管理他們的云服務(wù)。對于Barracuda網(wǎng)絡(luò)公司，自從云開始自動化流程以來，人工進(jìn)行安全工作的范圍已經(jīng)大幅縮減了。

Barracuda網(wǎng)絡(luò)公司數(shù)據(jù)保護(hù)平臺戰(zhàn)略總監(jiān)Greg Arnette說：“我們已經(jīng)放棄進(jìn)行人工安全檢查，而是轉(zhuǎn)移到自動掃描，因為越來越多而且持續(xù)不斷的威脅迫使我們時時刻刻都要保持警惕，以確保系統(tǒng)的完整性、數(shù)據(jù)保護(hù)和合規(guī)控制要求?！?/p>

然而，當(dāng)涉及到降低云風(fēng)險時，轉(zhuǎn)移到自動化有很大的局限性。畢竟，不可能自動地對云提供商進(jìn)行風(fēng)險評估。但是，如果你使用更加自動化的工具來檢測云中的問題，并進(jìn)行標(biāo)準(zhǔn)化的配置，那么員工們則可以把更多的時間集中在處理復(fù)雜問題上，例如培養(yǎng)并管理好與云提供商的關(guān)系。

針對供應(yīng)商最敏感的審核問題想出辦法

你是否有權(quán)審核云供應(yīng)商是一個熱點問題。如果企業(yè)的合同和協(xié)議缺少這一條款，一旦發(fā)生了意外，你就會感到束手束腳。另一方面，大型云提供商正在把這些要求反壓給企業(yè)。

UpperEdge項目執(zhí)行咨詢業(yè)務(wù)負(fù)責(zé)人Ted Rogers說：“關(guān)于審核，很多云提供商正在反過來給企業(yè)施壓，不允許他們擁有審核權(quán)來審核他們的數(shù)據(jù)中心及其流程、程序和安全措施。為什么？”因為他們不愿意讓第三方出現(xiàn)，進(jìn)行審核。相反，供應(yīng)商說他們是合規(guī)的，或者他們說不必?fù)?dān)心，因為如果他們不這樣做，他們將會因為合同的其他原因而陷入麻煩，比如泄露事件。

一種解決方案是批判性地評估由云提供商開發(fā)的審核方法。Rogers建議使用以下替代方案：“訪問云提供商的審核文檔。具體來說，看看他們是否已經(jīng)參考臉書在數(shù)據(jù)隱私方面遇到的困難而進(jìn)行了更新。某些云提供商表示，他們只是數(shù)據(jù)處理器。他們聲稱，自己不接觸數(shù)據(jù)，也不會泄露數(shù)據(jù)。”這就引出了一個問題：怎樣知道提供商是否遵守了他們的承諾？

即使云提供商不愿意把審核權(quán)提供給企業(yè)，仍然有辦法來降低這種風(fēng)險。你可以要求更全面的報告，并強調(diào)要提供主要風(fēng)險指標(biāo)。也可以要求企業(yè)的內(nèi)部審核部門在討論合同時發(fā)表意見。

反思避險作為一種風(fēng)險緩解策略

最后，黑客攻擊和安全并不是唯一要考慮的風(fēng)險。還有落后的風(fēng)險。

畢馬威的網(wǎng)絡(luò)安全服務(wù)美國地區(qū)負(fù)責(zé)人Tony Buffomante評論說：“對于我們一些不太成熟的客戶來說，關(guān)鍵的業(yè)務(wù)風(fēng)險不是積極地去追求云轉(zhuǎn)型和服務(wù)。云不僅僅是一種新技術(shù)，它還改變了很多行業(yè)的業(yè)務(wù)和運營模式。這涉及到業(yè)務(wù)轉(zhuǎn)型，讓業(yè)務(wù)變得更靈活和更具競爭力?！?/p>

而且，很少有企業(yè)有預(yù)算或者愿意建立數(shù)據(jù)中心，自己開發(fā)所有的軟件，建設(shè)本地基礎(chǔ)設(shè)施。事實上，IT能力較弱的公司將受益于大型云提供商的風(fēng)險管理能力。

ACL首席技術(shù)官Keith Cerny說：“根據(jù)我們的經(jīng)驗，亞馬遜、微軟和谷歌這樣的大規(guī)模云提供商有能力提供安全I(xiàn)T環(huán)境，讓那些本地或者定制數(shù)據(jù)中心配置相形見絀。我們堅信，回避云計算將給我們的業(yè)務(wù)帶來重大風(fēng)險。我們的直接經(jīng)驗是，一個設(shè)計良好的云環(huán)境在某種程度上滿足了我們的安全、隱私和可用性需求，而這是我們無法通過任何其他手段實現(xiàn)的。2016年，當(dāng)我們把總部搬到新地方時，認(rèn)識到了業(yè)務(wù)沒有中斷給我們帶來了重要優(yōu)勢。我們的員工能夠使用我們的云服務(wù)遠(yuǎn)程工作，實現(xiàn)了無縫過渡?！?/p>

Bruce Harpham在ProjectManagementHacks.com上為越來越多的IT項目經(jīng)理撰寫關(guān)于技術(shù)和項目管理的文章。他曾從事過加拿大金融服務(wù)和高等教育領(lǐng)域的重要項目。

原文網(wǎng)址

https：//www.cio.com/article/3273707/cloud-computing/7-risk-mitigation-strategies-for-the-cloud.html