雖然云風(fēng)險分析應(yīng)該與任何其他第三方風(fēng)險分析沒有什么不同,但許多企業(yè)對待云的態(tài)度更溫和,采取了不那么徹底的方法,這在很大程度上是因為企業(yè)傾向于使用可用的最大的云平臺——其中AWS、Microsoft Azure和Google Cloud Platform位居榜首,這些龐大的平臺極大地限制了它們能夠使一家企業(yè)進行IT盡職調(diào)查的程度。
最大的企業(yè)有時會有例外——比如沃爾瑪、??松梨凇VS、伯克希爾哈撒韋等——但其他許多企業(yè)通常不會。此外,大多數(shù)企業(yè)云戰(zhàn)略涉及各種云供應(yīng)商,包括在云中運營的點式解決方案SaaS供應(yīng)商,這些不同合作伙伴之間的相互關(guān)系進一步復(fù)雜化了風(fēng)險方程式。
你的云資產(chǎn)可能面臨的最明顯風(fēng)險涉及云設(shè)置和配置。許多IT團隊花費大量精力微調(diào)他們的云實例、架構(gòu)和環(huán)境的設(shè)置,以精確地匹配他們公司的需求,但后來卻發(fā)現(xiàn),他們的云供應(yīng)商的一名員工對該供應(yīng)商的所有企業(yè)租戶進行了一些通用的更改,實際上覆蓋了IT團隊精心設(shè)計的設(shè)置。
但CIO在云計算領(lǐng)域還可能面臨其他意想不到的挑戰(zhàn),他們應(yīng)該意識到這一點,這里列出了幾個這樣的隱藏風(fēng)險,并就如何緩解這些風(fēng)險提出了建議。
供應(yīng)商風(fēng)險姿態(tài)的轉(zhuǎn)變
云供應(yīng)商本身可能會遇到許多與業(yè)務(wù)相關(guān)的問題,這些問題可能會挑戰(zhàn)他們向簽署合同時承諾的標(biāo)準(zhǔn)企業(yè)CIO提供服務(wù)的能力,包括引入新的風(fēng)險。
在執(zhí)行云平臺允許的任何最低限度的盡職調(diào)查時 - SOC報告、GDPR合規(guī)性、PCIROC等 - 請記住,這只是評估時刻的快照,這一點至關(guān)重要,這就是合同發(fā)揮作用的地方。如果有任何變化會影響你的供應(yīng)商的風(fēng)險狀況,例如裁員影響其運營或削減非人力資源的預(yù)算,應(yīng)該有明確的合同條款,要求云供應(yīng)商有義務(wù)提醒你的團隊,理想情況下,讓你的團隊有選擇免費退出,包括退還未花費的資金。
安永負(fù)責(zé)網(wǎng)絡(luò)安全的董事總經(jīng)理布萊恩·萊文表示:“我看不出這么做有什么壞處。 (云供應(yīng)商)會堅持到底嗎?大概不會吧,他們很可能沒有這樣做的流程。為了訴訟的目的,有一個明示的條款總是比默示的條款更好。”
Sailpoint的CISO雷克斯·布斯(Rex Booth)同意這樣的條款無傷大雅,但需要做出很多解釋。他表示,一種更好的合同方法是,在合同中加入類似這樣的條款:“如果你按照獨立審計師的決定進行跳水,我們有權(quán)退出”,然而,布斯補充說,裁員并不一定意味著組織努力的減少。
新的數(shù)據(jù)主權(quán)令人頭痛
很長一段時間以來,數(shù)據(jù)主權(quán)一直是一個關(guān)鍵的IT問題,但現(xiàn)在出現(xiàn)了許多企業(yè)可能沒有預(yù)料到的特定于云的數(shù)據(jù)主權(quán)問題,例如,美國商務(wù)部在1月份提出了一項規(guī)則,禁止中國企業(yè)在美國云環(huán)境中培訓(xùn)其LLM模型。盡管這最初似乎只會影響中國企業(yè),但Forrester首席分析師Lee Sustar認(rèn)為,這很容易牽涉到美國企業(yè)——不僅是云計算公司,還有那些擁有為客戶執(zhí)行分析工作的部門的企業(yè)集團。
例如,如果一家中國公司聘請了一家美國人工智能公司,并付錢讓他們在這家美國公司的云環(huán)境中培訓(xùn)各種LLM,那會怎么樣?這會違反商業(yè)規(guī)則嗎?更復(fù)雜的是,如果這家美國公司的客戶設(shè)在比利時或澳大利亞怎么辦?如果那家比利時公司的客戶碰巧是一家中國公司怎么辦?如果一家中國公司想要繞過這一規(guī)定,它很可能會通過多家非中國公司處理這一請求。
“現(xiàn)在你必須規(guī)劃你的云工作負(fù)載,不僅要考慮第三方的風(fēng)險,還要考慮第四方的風(fēng)險”,他說。
安永的萊文建議首席信息官在談判新的云協(xié)議時需要考慮的其他因素,一些云運營對記錄其環(huán)境中發(fā)生的情況收取額外費用。如果云租戶可以直接跟蹤活動,這不是一個大問題,但他們不能,因此必須依賴云平臺的日志。
“這是基本的,如果一家企業(yè)要為(云中發(fā)生的一切)負(fù)責(zé),他們必須有相關(guān)日志才能負(fù)責(zé),他們會把這些原木保存多久?”,萊文說。
在大范圍緊急情況下的可擴展性
許多企業(yè)IT高管認(rèn)為,云提供了近乎無限的可擴展性——這在數(shù)學(xué)上是不正確的。云營銷對此沒有幫助,它強烈地暗示——如果不是直接的承諾——無限的可擴展性。
大多數(shù)情況下,云的彈性為其宗旨提供了極高級別的可擴展性,然而,網(wǎng)絡(luò)安全投資公司Team8的運營合伙人兼常駐CISO查爾斯·布勞納表示,當(dāng)緊急情況發(fā)生時,所有的賭注都會取消。布勞納曾在花旗集團、德意志銀行和摩根大通擔(dān)任CISO。
BLauner指出,在9/11襲擊期間,他多次嘗試外包數(shù)據(jù),但都以失敗告終,他在2012年颶風(fēng)桑迪和美國新冠疫情最初幾周再次看到這種情況。“這只適用于第一批”將更多數(shù)據(jù)推向云端的公司。
企業(yè)希望能夠“在危機期間恢復(fù)到云環(huán)境中,然后911事件發(fā)生了,所有人都同時宣布進入緊急狀態(tài)。如果你不是第一批宣布這一消息的公司之一,(云服務(wù)供應(yīng)商)會說,‘我們已經(jīng)滿了’”,布勞納說。
BLauner說,解決方案是讓CIO們建立他們的緊急最低生存產(chǎn)品(MVP)職位,他的意思是讓企業(yè)識別他們最基本的服務(wù)——那些“你的客戶離不開的服務(wù)”——這樣,當(dāng)緊急情況發(fā)生時,只有那些緊急服務(wù)才會轉(zhuǎn)移到云中。如果所有企業(yè)都這樣做,該行業(yè)就能挺過下一場危機。
例如,當(dāng)BLauner在花旗工作時,MVP是國際資金轉(zhuǎn)移。如果我們不保護這一點,我們可能會遭遇全球經(jīng)濟崩潰。在韓國,如果沒有花旗,你就無法進行轉(zhuǎn)賬。“對于世界上的每一家公司來說,都有這樣的事情。”
自身造成的安全風(fēng)險和效率低下
Gartner云安全團隊的高級主管分析師Charlie Winckless同意危機發(fā)生時的可擴展性是一個令人擔(dān)憂的問題,但他認(rèn)為IT領(lǐng)導(dǎo)者的典型解決方案正在形成一個不同的問題:通過與全球大量云環(huán)境達(dá)成協(xié)議來覆蓋他們在云方面的賭注。
CIO認(rèn)為,通過使用多個云提供商,他們認(rèn)為它正在提高可用性,但事實并非如此。它所做的一切只是增加了復(fù)雜性,而復(fù)雜性一直是安全的敵人。“使用云提供商的區(qū)域要劃算得多。”
咨詢公司麥肯錫負(fù)責(zé)監(jiān)管企業(yè)網(wǎng)絡(luò)安全戰(zhàn)略實踐的合伙人里奇·伊森伯格認(rèn)為,企業(yè)往往達(dá)不到云所承諾的財務(wù)和效率優(yōu)勢,因為它們不愿充分信任云環(huán)境的機制。
企業(yè)IT的“阻力”在于他們不信任云自動化和技術(shù)。他們希望自己的團隊管理一切。Isenberg說,云包括云原生工具和自動化,但CIO仍然傾向于使用他們的團隊的老式方法,這些高管“依賴于他們的安全和訪問團隊,他們從他們首選的供應(yīng)商那里獲得了他們的首選工具。”
這意味著許多云任務(wù)需要執(zhí)行兩次,這就是效率優(yōu)勢有時無法實現(xiàn)的原因。伊森伯格說,大多數(shù)IT高管“認(rèn)為重大漏洞將威脅到他們的工作,但現(xiàn)實情況是,威脅是這些高管不是數(shù)字技術(shù)的先鋒。”如果高管們“不接受云本地[工具]和自動化,那么,是的,這將成為別人的工作。”
如今,云在所有企業(yè)系統(tǒng)中的集成程度都很高,無論是IaaS、PaaS還是SaaS,云戰(zhàn)略都需要成為默認(rèn)假設(shè)。伊森伯格說:“無論你知道還是不知道,無論你想不想,你都會參與其中。”
企業(yè)網(wǎng)D1net(m.r5u5c.cn):
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。