杜绝使用高风险云服务在一定程度上有所帮助,但并不能从根本上解决问题。Hodges解释道:“对于企业提供的帐户,例如Slack渠道或者Microsoft Teams以及其他系统,用户总是采取最简单直接的办法——数据共享。其实这种行为是极可能不符合数据共享的记录保留政策或者限制。”。
所以一旦接到诉讼或者类似的调查,那和记录保留政策有出入的应用就让企业头疼不已了。
第三,使用零信任模型来降低风险。
零信任是一种IT安全策略,企业要求防护周界内部和外部的每一名用户、系统或者设备在连接到其系统之前都要进行验证和认证。怎样使用零信任模型来降低云风险呢?
对从事财产和意外保险服务和软件的企业Insurity来说,零信任意味着限制极为严格的访问。其首席信息官Jonathan Victor介绍:
“我们为对少数用户提供满足基本工作需求的最小权限和特权逻辑访问权限,这种机制是经过我们企业内部审核的,也是我们年度SOC外审的一部分。”定期检查用户访问级别,并自查一下这是否合理。事实证明,企业并不需要数十个具有管理访问权限的用户,每名超级用户都会增加额外的风险。
第四,汲取失败的教训。
研究与云有关的失败案例,从中汲取教训,这有助于降低云风险。JetStream软件公司的联合创始人兼总裁Rich Petersen说:“我们关注的是数据是否丢失,所以我们从一些事件中学到了重要的经验教训。例如,2017年8月Meraki本地系统未能按照设计要求把数据备份到云服务中,最终导致数据丢失。”
思科也承认,云配置错误导致了数据丢失,从而导致工作效率下降。正如Register所报道,“Meraki公司犯下了如此重大的错误,更重要的是,缺乏修复这种偶发事件的数据保护工具,严重影响了企业声誉。”
第五,重新考虑使用手动和自动云混合管理策略。
自动化、虚拟助理和数据处理不仅能够帮助企业销售更多的产品,而且还能够管理他们的云服务。对于Barracuda网络公司,自从云开始自动化流程以来,大幅缩减了人力成本。
Barracuda网络公司数据保护平台战略总监Greg Arnette说:“我们已经放弃了人工安全检查,开始采取自动扫描。因为越来越多的威胁,迫使我们时刻都要保持警惕,以确保系统的完整性和数据保护机制符合要求。”
使用自动化工具检测云中的问题,并将配置进行标准化,员工可以把更多的时间集中在处理复杂问题上,例如培养并管理好与云提供商的关系。
即便如此,当涉及到降低云风险时,转移到自动化也还是有很大的局限性。毕竟,企业不可能做到自动对云提供商进行风险评估。
第六,针对供应商最敏感的审核问题提出解决方法。
企业是否有权审核云供应商是一个热门话题。如果签署的合同和协议缺少这一条款,一旦发生意外,企业必会感到束手束脚。
UpperEdge项目执行咨询业务负责人Ted Rogers说:“关于审核,很多云提供商正在反过来给企业施压,不允许企业拥有审核他们的数据中心及其流程、程序和安全措施的权利。”因为他们不愿意让第三方进行审核。相反,供应商声称自己是合规的,因为如果他们不这样做,将可能会因为合同之外的其他原因而陷入麻烦,比如泄露事件。
一种解决方案是批判性地评估由云供应商开发的审核方法。Rogers建议使用以下替代方案:“访问云提供商的审核文档。具体来说,就是看他们是否已经参考脸书在数据隐私方面遇到的困难进行了改进。某些云提供商表示,他们只是数据处理器。他们声称,自己不接触数据、也不会泄露数据。”这就引出了一个问题:如何知道提供商是否遵守了他们的承诺?
事实上,即使云提供商不愿意把审核权提供给企业,仍然有办法来降低这种风险。企业可以要求更全面的报告,并强调要提供主要风险指标。同时要求企业的内部审核部门在讨论合同时发表意见。
第七,反思避险作为一种风险缓解策略。
攻击和安全并不是唯一要考虑的风险,落后也是需要考虑的风险之一。
毕马威的网络安全服务美国地区负责人Tony Buffomante评论说:“对我们那些不太成熟的客户来说,关键的风险并不是积极地去追求云转型和服务。云不仅是一种新技术,同样也改变了很多行业的运营模式,使其业务变得更灵活、更具竞争力。”
另外,很少有企业有建立数据中心的预算或意愿。他们也不愿意自己开发所有的软件,并建设本地基础设施。显然,IT能力较弱的公司受益于大型云提供商的风险管理能力更为明显。
ACL首席技术官Keith Cerny说:“根据我们的经验,像亚马逊、微软和谷歌这种大规模的云提供商自身有能力提供安全的IT环境,让本地和数据中心配置相形见绌。我们还坚信,回避云计算会给我们的业务带来重大风险。最直观的表现是,一个设计良好的云环境在某种程度上满足了安全、隐私和可用性需求,而这是我们无法通过其他手段能够实现的。2016年,我们总部搬新时,深刻意识到业务不中断,为我们带来的重要优势。员工可以使用我们的云服务远程工作,从而实现无缝过渡。”
通过数据管理降低成本诱惑固然可以理解,但是从短期来看,最终可能导致企业长期花费更多成本。在此,诚挚建议企业根据自身需要制定正确的策略,大幅降低云风险。
推荐阅读:
- 【建议收藏】数据中心服务器基础知识大全
- 博文强识|支付宝 App 是如何建设移动 DevOps 的?
不服!身边程序员同事竟说自己敲代码速度快!Ctrl+C、Ctrl+V ?
- 如何解决多机房、多网络下的物联网部署方案?
从4个维度深度剖析闪电网络现状,在CKB上实现闪电网络的理由 | 博文精选
华为印度主管称准备与该国签署“无后门”协议;苹果回应向腾讯传输数据;Google 宣布将 AMP 项目交给 OpenJS ……