云的7種風險緩解策略

Bruce Harpham

云服務及其相關的風險隨著時間的推移只會變得越來越重要。本文介紹怎樣掌控這些風險同時又不失云帶來的好處。

云服務的主流地位已不可動搖，并且每年都在接管更多的企業職能。以前云服務僅限于簡單的存儲或者聯系人管理，而現在像ERP這樣的核心功能已經遷移到云中。隨著越來越多的基本服務不斷遷移到云中，IT領導們必須關注當今云環境中固有的風險，并采取預防措施來緩解這些風險。

本文介紹企業應該怎樣評估并緩解云計算的風險。

評估企業對云風險的適應能力

在銀行業，通常會設置風險適應能力來指導企業決策。例如，保守的風險適應能力會導致銀行拒絕利潤豐厚但非常不確定的貸款。“刀口舔血”式的風險適應能力可能會在繁榮時期帶來更高的回報。不利的一面呢？下一次危機來臨時，銀行可能會遭受重創。

從IT管理的角度來看，企業的風險適應能力會指導你的盡職調查、持續監測以及投資降低風險措施的意愿。例如，企業可以建立一種分層的方法來緩解風險，最大限度地利用有限的資源。降低“1級”云服務失敗風險的方法是通過人員配備（例如，擁有專門的關系經理）、定期測試和采用頂級供應商支持來實現的。

重新審視企業的云使用文化

云提供商喜歡強調易用性和靈活性。一旦企業體驗到云的易用性，很少會愿意回到過去，繼續維護自己老的基礎設施。但對云服務漫不經心的態度可能會導致員工面臨由于愚蠢帶來的風險。

AvePoint公司產品戰略副總裁John Hodges評論說：“關鍵在于，云服務經常鼓勵‘隨意使用數據；我可以在任何地方收集、搜索和存儲任何東西。我們經常在Box、DropBox和OneDrive等系統中看到這種情況，在內容存儲和共享方面真的存在混合使用的危險。”然而，簡單粗暴地禁止混合使用，也可能帶來各種問題。

禁止高風險的云服務會有一定幫助，但這并不能完全消除問題。Hodges解釋說：“對于企業提供的帳戶，例如，Slack渠道或者Microsoft Teams以及其他系統，用戶總是采取數據共享這種最方便的路線。但這種行為可能不符合數據共享的記錄保留政策或者限制。”如果你的公司受到訴訟或者類似的調查，記錄保留政策的不一致應用會讓企業感到頭疼。

使用零信任模型來降低風險

零信任是一種IT安全策略，企業要求防護周界內部和外部的每一名用戶、系統或者設備在連接到其系統之前都要進行驗證和認證。怎樣使用零信任模型來降低云風險呢？Insurity是專門從事財產和意外保險服務和軟件的企業，對該企業而言，零信任方法意味著非常嚴格的限制訪問。

Insurity的首席信息官Jonathan Victor介紹說：“我們為很少一部分用戶提供符合工作功能要求的最小權限和特權邏輯訪問權限。這種控制是由我們的企業安全部門在內部進行審核的，也是我們年度SOC外審的一部分。”

定期檢查用戶訪問級別，并自查一下這是否合理。企業是否需要數十個具有管理訪問權限的用戶？每名超級用戶都會增加額外的風險。

汲取新聞中IT失敗的教訓

花一些時間研究與云有關的失敗案例的行業新聞，這將有助于降低云風險。在當今的企業中，云應用的復雜性和不斷發展的特性意味著總能從轟動的事件中學到一些東西。

JetStream軟件公司的聯合創始人兼總裁Rich Petersen評論說：“我們關注的是數據的丟失，所以我們從一些事件中學到了重要的經驗教訓。例如，2017年8月Meraki的數據丟失，在該事件中，本地系統未能按照設計要求把數據備份到云服務中。”

思科也承認，云配置錯誤導致了數據丟失，工作效率下降。正如Register所報道的，“這一事件給思科造成了巨大的麻煩，因為Meraki銷售的是基于其支持的云服務，這避免了運行網絡和語音系統所需的大量繁瑣的工作。Meraki公司犯下了如此重大的錯誤——而且似乎缺乏數據保護工具來恢復這種偶發事件，這是其聲譽上一個很大的污點。”

重新考慮混合使用手動和自動云管理策略

自動化、虛擬助理和數據處理不僅能夠幫助企業銷售更多的產品，而且還能夠管理他們的云服務。對于Barracuda網絡公司，自從云開始自動化流程以來，人工進行安全工作的范圍已經大幅縮減了。

Barracuda網絡公司數據保護平臺戰略總監Greg Arnette說：“我們已經放棄進行人工安全檢查，而是轉移到自動掃描，因為越來越多而且持續不斷的威脅迫使我們時時刻刻都要保持警惕，以確保系統的完整性、數據保護和合規控制要求。”

然而，當涉及到降低云風險時，轉移到自動化有很大的局限性。畢竟，不可能自動地對云提供商進行風險評估。但是，如果你使用更加自動化的工具來檢測云中的問題，并進行標準化的配置，那么員工們則可以把更多的時間集中在處理復雜問題上，例如培養并管理好與云提供商的關系。

針對供應商最敏感的審核問題想出辦法

你是否有權審核云供應商是一個熱點問題。如果企業的合同和協議缺少這一條款，一旦發生了意外，你就會感到束手束腳。另一方面，大型云提供商正在把這些要求反壓給企業。

UpperEdge項目執行咨詢業務負責人Ted Rogers說：“關于審核，很多云提供商正在反過來給企業施壓，不允許他們擁有審核權來審核他們的數據中心及其流程、程序和安全措施。為什么？”因為他們不愿意讓第三方出現，進行審核。相反，供應商說他們是合規的，或者他們說不必擔心，因為如果他們不這樣做，他們將會因為合同的其他原因而陷入麻煩，比如泄露事件。

一種解決方案是批判性地評估由云提供商開發的審核方法。Rogers建議使用以下替代方案：“訪問云提供商的審核文檔。具體來說，看看他們是否已經參考臉書在數據隱私方面遇到的困難而進行了更新。某些云提供商表示，他們只是數據處理器。他們聲稱，自己不接觸數據，也不會泄露數據。”這就引出了一個問題：怎樣知道提供商是否遵守了他們的承諾？

即使云提供商不愿意把審核權提供給企業，仍然有辦法來降低這種風險。你可以要求更全面的報告，并強調要提供主要風險指標。也可以要求企業的內部審核部門在討論合同時發表意見。

反思避險作為一種風險緩解策略

最后，黑客攻擊和安全并不是唯一要考慮的風險。還有落后的風險。

畢馬威的網絡安全服務美國地區負責人Tony Buffomante評論說：“對于我們一些不太成熟的客戶來說，關鍵的業務風險不是積極地去追求云轉型和服務。云不僅僅是一種新技術，它還改變了很多行業的業務和運營模式。這涉及到業務轉型，讓業務變得更靈活和更具競爭力。”

而且，很少有企業有預算或者愿意建立數據中心，自己開發所有的軟件，建設本地基礎設施。事實上，IT能力較弱的公司將受益于大型云提供商的風險管理能力。

ACL首席技術官Keith Cerny說：“根據我們的經驗，亞馬遜、微軟和谷歌這樣的大規模云提供商有能力提供安全IT環境，讓那些本地或者定制數據中心配置相形見絀。我們堅信，回避云計算將給我們的業務帶來重大風險。我們的直接經驗是，一個設計良好的云環境在某種程度上滿足了我們的安全、隱私和可用性需求，而這是我們無法通過任何其他手段實現的。2016年，當我們把總部搬到新地方時，認識到了業務沒有中斷給我們帶來了重要優勢。我們的員工能夠使用我們的云服務遠程工作，實現了無縫過渡。”

Bruce Harpham在ProjectManagementHacks.com上為越來越多的IT項目經理撰寫關于技術和項目管理的文章。他曾從事過加拿大金融服務和高等教育領域的重要項目。

原文網址

https：//www.cio.com/article/3273707/cloud-computing/7-risk-mitigation-strategies-for-the-cloud.html