Bruce Harpham

云服務(wù)及其相關(guān)的風(fēng)險(xiǎn)隨著時(shí)間的推移只會(huì)變得越來(lái)越重要。本文介紹怎樣掌控這些風(fēng)險(xiǎn)同時(shí)又不失云帶來(lái)的好處。

云服務(wù)的主流地位已不可動(dòng)搖，并且每年都在接管更多的企業(yè)職能。以前云服務(wù)僅限于簡(jiǎn)單的存儲(chǔ)或者聯(lián)系人管理，而現(xiàn)在像ERP這樣的核心功能已經(jīng)遷移到云中。隨著越來(lái)越多的基本服務(wù)不斷遷移到云中，IT領(lǐng)導(dǎo)們必須關(guān)注當(dāng)今云環(huán)境中固有的風(fēng)險(xiǎn)，并采取預(yù)防措施來(lái)緩解這些風(fēng)險(xiǎn)。

本文介紹企業(yè)應(yīng)該怎樣評(píng)估并緩解云計(jì)算的風(fēng)險(xiǎn)。

評(píng)估企業(yè)對(duì)云風(fēng)險(xiǎn)的適應(yīng)能力

在銀行業(yè)，通常會(huì)設(shè)置風(fēng)險(xiǎn)適應(yīng)能力來(lái)指導(dǎo)企業(yè)決策。例如，保守的風(fēng)險(xiǎn)適應(yīng)能力會(huì)導(dǎo)致銀行拒絕利潤(rùn)豐厚但非常不確定的貸款。“刀口舔血”式的風(fēng)險(xiǎn)適應(yīng)能力可能會(huì)在繁榮時(shí)期帶來(lái)更高的回報(bào)。不利的一面呢？下一次危機(jī)來(lái)臨時(shí)，銀行可能會(huì)遭受重創(chuàng)。

從IT管理的角度來(lái)看，企業(yè)的風(fēng)險(xiǎn)適應(yīng)能力會(huì)指導(dǎo)你的盡職調(diào)查、持續(xù)監(jiān)測(cè)以及投資降低風(fēng)險(xiǎn)措施的意愿。例如，企業(yè)可以建立一種分層的方法來(lái)緩解風(fēng)險(xiǎn)，最大限度地利用有限的資源。降低“1級(jí)”云服務(wù)失敗風(fēng)險(xiǎn)的方法是通過人員配備（例如，擁有專門的關(guān)系經(jīng)理）、定期測(cè)試和采用頂級(jí)供應(yīng)商支持來(lái)實(shí)現(xiàn)的。

重新審視企業(yè)的云使用文化

云提供商喜歡強(qiáng)調(diào)易用性和靈活性。一旦企業(yè)體驗(yàn)到云的易用性，很少會(huì)愿意回到過去，繼續(xù)維護(hù)自己老的基礎(chǔ)設(shè)施。但對(duì)云服務(wù)漫不經(jīng)心的態(tài)度可能會(huì)導(dǎo)致員工面臨由于愚蠢帶來(lái)的風(fēng)險(xiǎn)。

AvePoint公司產(chǎn)品戰(zhàn)略副總裁John Hodges評(píng)論說：“關(guān)鍵在于，云服務(wù)經(jīng)常鼓勵(lì)‘隨意使用數(shù)據(jù)；我可以在任何地方收集、搜索和存儲(chǔ)任何東西。我們經(jīng)常在Box、DropBox和OneDrive等系統(tǒng)中看到這種情況，在內(nèi)容存儲(chǔ)和共享方面真的存在混合使用的危險(xiǎn)?！比欢?，簡(jiǎn)單粗暴地禁止混合使用，也可能帶來(lái)各種問題。

禁止高風(fēng)險(xiǎn)的云服務(wù)會(huì)有一定幫助，但這并不能完全消除問題。Hodges解釋說：“對(duì)于企業(yè)提供的帳戶，例如，Slack渠道或者M(jìn)icrosoft Teams以及其他系統(tǒng)，用戶總是采取數(shù)據(jù)共享這種最方便的路線。但這種行為可能不符合數(shù)據(jù)共享的記錄保留政策或者限制?！比绻愕墓臼艿皆V訟或者類似的調(diào)查，記錄保留政策的不一致應(yīng)用會(huì)讓企業(yè)感到頭疼。

使用零信任模型來(lái)降低風(fēng)險(xiǎn)

零信任是一種IT安全策略，企業(yè)要求防護(hù)周界內(nèi)部和外部的每一名用戶、系統(tǒng)或者設(shè)備在連接到其系統(tǒng)之前都要進(jìn)行驗(yàn)證和認(rèn)證。怎樣使用零信任模型來(lái)降低云風(fēng)險(xiǎn)呢？Insurity是專門從事財(cái)產(chǎn)和意外保險(xiǎn)服務(wù)和軟件的企業(yè)，對(duì)該企業(yè)而言，零信任方法意味著非常嚴(yán)格的限制訪問。

Insurity的首席信息官Jonathan Victor介紹說：“我們?yōu)楹苌僖徊糠钟脩籼峁┓瞎ぷ鞴δ芤蟮淖钚?quán)限和特權(quán)邏輯訪問權(quán)限。這種控制是由我們的企業(yè)安全部門在內(nèi)部進(jìn)行審核的，也是我們年度SOC外審的一部分?！?/p>

定期檢查用戶訪問級(jí)別，并自查一下這是否合理。企業(yè)是否需要數(shù)十個(gè)具有管理訪問權(quán)限的用戶？每名超級(jí)用戶都會(huì)增加額外的風(fēng)險(xiǎn)。

汲取新聞中IT失敗的教訓(xùn)

花一些時(shí)間研究與云有關(guān)的失敗案例的行業(yè)新聞，這將有助于降低云風(fēng)險(xiǎn)。在當(dāng)今的企業(yè)中，云應(yīng)用的復(fù)雜性和不斷發(fā)展的特性意味著總能從轟動(dòng)的事件中學(xué)到一些東西。

JetStream軟件公司的聯(lián)合創(chuàng)始人兼總裁Rich Petersen評(píng)論說：“我們關(guān)注的是數(shù)據(jù)的丟失，所以我們從一些事件中學(xué)到了重要的經(jīng)驗(yàn)教訓(xùn)。例如，2017年8月Meraki的數(shù)據(jù)丟失，在該事件中，本地系統(tǒng)未能按照設(shè)計(jì)要求把數(shù)據(jù)備份到云服務(wù)中?！?/p>

思科也承認(rèn)，云配置錯(cuò)誤導(dǎo)致了數(shù)據(jù)丟失，工作效率下降。正如Register所報(bào)道的，“這一事件給思科造成了巨大的麻煩，因?yàn)镸eraki銷售的是基于其支持的云服務(wù)，這避免了運(yùn)行網(wǎng)絡(luò)和語(yǔ)音系統(tǒng)所需的大量繁瑣的工作。Meraki公司犯下了如此重大的錯(cuò)誤——而且似乎缺乏數(shù)據(jù)保護(hù)工具來(lái)恢復(fù)這種偶發(fā)事件，這是其聲譽(yù)上一個(gè)很大的污點(diǎn)?！?/p>

重新考慮混合使用手動(dòng)和自動(dòng)云管理策略

自動(dòng)化、虛擬助理和數(shù)據(jù)處理不僅能夠幫助企業(yè)銷售更多的產(chǎn)品，而且還能夠管理他們的云服務(wù)。對(duì)于Barracuda網(wǎng)絡(luò)公司，自從云開始自動(dòng)化流程以來(lái)，人工進(jìn)行安全工作的范圍已經(jīng)大幅縮減了。

Barracuda網(wǎng)絡(luò)公司數(shù)據(jù)保護(hù)平臺(tái)戰(zhàn)略總監(jiān)Greg Arnette說：“我們已經(jīng)放棄進(jìn)行人工安全檢查，而是轉(zhuǎn)移到自動(dòng)掃描，因?yàn)樵絹?lái)越多而且持續(xù)不斷的威脅迫使我們時(shí)時(shí)刻刻都要保持警惕，以確保系統(tǒng)的完整性、數(shù)據(jù)保護(hù)和合規(guī)控制要求。”

然而，當(dāng)涉及到降低云風(fēng)險(xiǎn)時(shí)，轉(zhuǎn)移到自動(dòng)化有很大的局限性。畢竟，不可能自動(dòng)地對(duì)云提供商進(jìn)行風(fēng)險(xiǎn)評(píng)估。但是，如果你使用更加自動(dòng)化的工具來(lái)檢測(cè)云中的問題，并進(jìn)行標(biāo)準(zhǔn)化的配置，那么員工們則可以把更多的時(shí)間集中在處理復(fù)雜問題上，例如培養(yǎng)并管理好與云提供商的關(guān)系。

針對(duì)供應(yīng)商最敏感的審核問題想出辦法

你是否有權(quán)審核云供應(yīng)商是一個(gè)熱點(diǎn)問題。如果企業(yè)的合同和協(xié)議缺少這一條款，一旦發(fā)生了意外，你就會(huì)感到束手束腳。另一方面，大型云提供商正在把這些要求反壓給企業(yè)。

UpperEdge項(xiàng)目執(zhí)行咨詢業(yè)務(wù)負(fù)責(zé)人Ted Rogers說：“關(guān)于審核，很多云提供商正在反過來(lái)給企業(yè)施壓，不允許他們擁有審核權(quán)來(lái)審核他們的數(shù)據(jù)中心及其流程、程序和安全措施。為什么？”因?yàn)樗麄儾辉敢庾尩谌匠霈F(xiàn)，進(jìn)行審核。相反，供應(yīng)商說他們是合規(guī)的，或者他們說不必?fù)?dān)心，因?yàn)槿绻麄儾贿@樣做，他們將會(huì)因?yàn)楹贤钠渌蚨萑肼闊?，比如泄露事件?/p>

一種解決方案是批判性地評(píng)估由云提供商開發(fā)的審核方法。Rogers建議使用以下替代方案：“訪問云提供商的審核文檔。具體來(lái)說，看看他們是否已經(jīng)參考臉書在數(shù)據(jù)隱私方面遇到的困難而進(jìn)行了更新。某些云提供商表示，他們只是數(shù)據(jù)處理器。他們聲稱，自己不接觸數(shù)據(jù)，也不會(huì)泄露數(shù)據(jù)。”這就引出了一個(gè)問題：怎樣知道提供商是否遵守了他們的承諾？

即使云提供商不愿意把審核權(quán)提供給企業(yè)，仍然有辦法來(lái)降低這種風(fēng)險(xiǎn)。你可以要求更全面的報(bào)告，并強(qiáng)調(diào)要提供主要風(fēng)險(xiǎn)指標(biāo)。也可以要求企業(yè)的內(nèi)部審核部門在討論合同時(shí)發(fā)表意見。

反思避險(xiǎn)作為一種風(fēng)險(xiǎn)緩解策略

最后，黑客攻擊和安全并不是唯一要考慮的風(fēng)險(xiǎn)。還有落后的風(fēng)險(xiǎn)。

畢馬威的網(wǎng)絡(luò)安全服務(wù)美國(guó)地區(qū)負(fù)責(zé)人Tony Buffomante評(píng)論說：“對(duì)于我們一些不太成熟的客戶來(lái)說，關(guān)鍵的業(yè)務(wù)風(fēng)險(xiǎn)不是積極地去追求云轉(zhuǎn)型和服務(wù)。云不僅僅是一種新技術(shù)，它還改變了很多行業(yè)的業(yè)務(wù)和運(yùn)營(yíng)模式。這涉及到業(yè)務(wù)轉(zhuǎn)型，讓業(yè)務(wù)變得更靈活和更具競(jìng)爭(zhēng)力。”

而且，很少有企業(yè)有預(yù)算或者愿意建立數(shù)據(jù)中心，自己開發(fā)所有的軟件，建設(shè)本地基礎(chǔ)設(shè)施。事實(shí)上，IT能力較弱的公司將受益于大型云提供商的風(fēng)險(xiǎn)管理能力。

ACL首席技術(shù)官Keith Cerny說：“根據(jù)我們的經(jīng)驗(yàn)，亞馬遜、微軟和谷歌這樣的大規(guī)模云提供商有能力提供安全I(xiàn)T環(huán)境，讓那些本地或者定制數(shù)據(jù)中心配置相形見絀。我們堅(jiān)信，回避云計(jì)算將給我們的業(yè)務(wù)帶來(lái)重大風(fēng)險(xiǎn)。我們的直接經(jīng)驗(yàn)是，一個(gè)設(shè)計(jì)良好的云環(huán)境在某種程度上滿足了我們的安全、隱私和可用性需求，而這是我們無(wú)法通過任何其他手段實(shí)現(xiàn)的。2016年，當(dāng)我們把總部搬到新地方時(shí)，認(rèn)識(shí)到了業(yè)務(wù)沒有中斷給我們帶來(lái)了重要優(yōu)勢(shì)。我們的員工能夠使用我們的云服務(wù)遠(yuǎn)程工作，實(shí)現(xiàn)了無(wú)縫過渡。”

Bruce Harpham在ProjectManagementHacks.com上為越來(lái)越多的IT項(xiàng)目經(jīng)理撰寫關(guān)于技術(shù)和項(xiàng)目管理的文章。他曾從事過加拿大金融服務(wù)和高等教育領(lǐng)域的重要項(xiàng)目。

原文網(wǎng)址

https：//www.cio.com/article/3273707/cloud-computing/7-risk-mitigation-strategies-for-the-cloud.html