7种策略解除云风险警报
云服务时代已经来临,且企业也正在积极的拥抱云技术。之前的云服务仅限于简单的存储或者联系人管理,而现在,像ERP这样的企业核心服务也开始迁移上云。随着越来越多的基本服务转向云,关注当今云环境中固有的风险以及采取预防措施就显得尤为重要。
那作为IT领导者,可以通过那些手段来评估和缓解云风险呢?
01
评估企业对云风险的适应能力
在银行业,人们常常通过设置风险适应能力来指导组织决策。举例来说,保险的风险适应能力可能会导致银行减少利润丰厚,但贷款“刀口舔血”式的风险适应能力或许会在繁盛时期带来高收益。有利必有弊,下次危机来临,银行可能就会遭受重创。
从IT管理员的角度来说,企业的风险适应能力将会影响运维在尽职调查、持续监控以及投资降低风险措施方面的意愿。例如,运维可能会设置一个层级风险缓解法,从而最大化利用手头有限的资源。
第一级的云服务失败风险可以通过员工(比如设置一个专门的关系经理)、定期测试和花钱服务商支持服务来避免。
02
重新审视企业的云使用文化
云供应商一向喜欢强调其易用性和灵活性。企业一旦体验到云的易用性,就很难再回到过去,继续维护自己老旧的基础设施。不过若是对云服务漫不经心,很有可能带来其他风险。
AvePoint公司产品战略副总裁John Hodges曾评论:“问题的关键在于,云服务经常鼓励企业‘随意使用’数据;企业可以在任何地方收集、搜索和存储任何东西。我们经常在Box、DropBox和OneDrive等系统中看到这种情况,在内容存储和共享方面确实存在混合使用的危险。”然而,简单粗暴地禁止混合使用,也可能带来各种问题。
杜绝使用高风险云服务在一定程度上有所帮助,但并不能从根本上解决问题。Hodges解释道:“对于企业提供的帐户,例如Slack渠道或者Microsoft Teams以及其他系统,用户总是采取最简单直接的办法——数据共享。其实这种行为是极可能不符合数据共享的记录保留政策或者限制。”。
所以一旦接到诉讼或者类似的调查,那和记录保留政策有出入的应用就让企业头疼不已了。
03
使用零信任模型来降低风险
零信任是一种IT安全策略,企业要求防护周界内部和外部的每一名用户、系统或者设备在连接到其系统之前都要进行验证和认证。怎样使用零信任模型来降低云风险呢?
对从事财产和意外保险服务和软件的企业Insurity来说,零信任意味着限制极为严格的访问。其首席信息官Jonathan Victor介绍:
“我们为对少数用户提供满足基本工作需求的最小权限和特权逻辑访问权限,这种机制是经过我们企业内部审核的,也是我们年度SOC外审的一部分。”定期检查用户访问级别,并自查一下这是否合理。事实证明,企业并不需要数十个具有管理访问权限的用户,每名超级用户都会增加额外的风险。
04
汲取失败的教训
研究与云有关的失败案例,从中汲取教训,这有助于降低云风险。JetStream软件公司的联合创始人兼总裁Rich Petersen说:“我们关注的是数据是否丢失,所以我们从一些事件中学到了重要的经验教训。例如,2017年8月Meraki本地系统未能按照设计要求把数据备份到云服务中,最终导致数据丢失。”
思科也承认,云配置错误导致了数据丢失,从而导致工作效率下降。正如Register所报道,“Meraki公司犯下了如此重大的错误,更重要的是,缺乏修复这种偶发事件的数据保护工具,严重影响了企业声誉。”
05
重新考虑使用手动和自动云混合管理策略
自动化、虚拟助理和数据处理不仅能够帮助企业销售更多的产品,而且还能够管理他们的云服务。对于Barracuda网络公司,自从云开始自动化流程以来,大幅缩减了人力成本。
Barracuda网络公司数据保护平台战略总监Greg Arnette说:“我们已经放弃了人工安全检查,开始采取自动扫描。因为越来越多的威胁,迫使我们时刻都要保持警惕,以确保系统的完整性和数据保护机制符合要求。”
使用自动化工具检测云中的问题,并将配置进行标准化,员工可以把更多的时间集中在处理复杂问题上,例如培养并管理好与云提供商的关系。
即便如此,当涉及到降低云风险时,转移到自动化也还是有很大的局限性。毕竟,企业不可能做到自动对云提供商进行风险评估。
06
针对供应商最敏感的审核问题提出解决方法
企业是否有权审核云供应商是一个热门话题。如果签署的合同和协议缺少这一条款,一旦发生意外,企业必会感到束手束脚。
UpperEdge项目执行咨询业务负责人Ted Rogers说:“关于审核,很多云提供商正在反过来给企业施压,不允许企业拥有审核他们的数据中心及其流程、程序和安全措施的权利。”因为他们不愿意让第三方进行审核。相反,供应商声称自己是合规的,因为如果他们不这样做,将可能会因为合同之外的其他原因而陷入麻烦,比如泄露事件。
一种解决方案是批判性地评估由云供应商开发的审核方法。Rogers建议使用以下替代方案:“访问云提供商的审核文档。具体来说,就是看他们是否已经参考脸书在数据隐私方面遇到的困难进行了改进。某些云提供商表示,他们只是数据处理器。他们声称,自己不接触数据、也不会泄露数据。”这就引出了一个问题:如何知道提供商是否遵守了他们的承诺?
事实上,即使云提供商不愿意把审核权提供给企业,仍然有办法来降低这种风险。企业可以要求更全面的报告,并强调要提供主要风险指标。同时要求企业的内部审核部门在讨论合同时发表意见。
07
反思避险作为一种风险缓解策略
攻击和安全并不是唯一要考虑的风险,落后也是需要考虑的风险之一。
毕马威的网络安全服务美国地区负责人Tony Buffomante评论说:“对我们那些不太成熟的客户来说,关键的风险并不是积极地去追求云转型和服务。云不仅是一种新技术,同样也改变了很多行业的运营模式,使其业务变得更灵活、更具竞争力。”
另外,很少有企业有建立数据中心的预算或意愿。他们也不愿意自己开发所有的软件,并建设本地基础设施。显然,IT能力较弱的公司受益于大型云提供商的风险管理能力更为明显。
ACL首席技术官Keith Cerny说:“根据我们的经验,像亚马逊、微软和谷歌这种大规模的云提供商自身有能力提供安全的IT环境,让本地和数据中心配置相形见绌。我们还坚信,回避云计算会给我们的业务带来重大风险。最直观的表现是,一个设计良好的云环境在某种程度上满足了安全、隐私和可用性需求,而这是我们无法通过其他手段能够实现的。2016年,我们总部搬新时,深刻意识到业务不中断,为我们带来的重要优势。员工可以使用我们的云服务远程工作,从而实现无缝过渡。”
通过数据管理降低成本诱惑固然可以理解,但是从短期来看,最终可能导致企业长期花费更多成本。在此,诚挚建议企业根据自身需要制定正确的策略,大幅降低云风险。(来源:SCDN云计算)
免责声明:除本微信公众号原创的图文之外,本号发布的链接或转载图文版权及责任均由原发布者享有和承担。如果链接或转载的图文有侵犯第三方权利的,请联系本号,本号将即刻断开链接或删除