Üha enam ettevõtteid kasutab mitme pilvepõhist lähenemisviisi osana oma digitaalse ümberkujundamise jõupingutustest, et toetada hübriid- ja kaugmudelites töötavaid hajutatud meeskondi. Ja nii nagu hübriidsed töökeskkonnad on siin, et jääda, on võimust võtnud ka mitme pilve lähenemine. Gartner ennustab, et globaalne pilvetulu ulatub $ 474 miljardit 2022Koos 90% ettevõtetest töötab juba mitme pilve strateegia suunas.
Õige võimenduse korral võib mitme pilve strateegia muuta palju protsesse tõhusamaks. See pakub ka suuremat vastupidavust katkestuste suhtes ja suuremat müüja paindlikkust kui ühe pilve strateegia. Täiendavad eelised hõlmavad järgmist:
- Tarnija lukustumise vältimine ühe pilveteenuse pakkujaga. Ülemaailmse jalajälje ja spetsiifiliste andmetega organisatsioon saab valida andmekeskuse asukoha, mis mõjutab tema äritegevust kõige vähem. Näiteks Microsoft Azure juhib praegu Lähis-Idas andmekeskuse asukoha vaatenurgast.
- Võimalus kasutada ära iga pilveteenuse pakkuja pakutavaid eristavaid funktsioone, nagu unikaalsed andmebaasilahendused Google Cloudis või võimalus hallata oma kohapealseid ja pilveressursse palju sujuvamalt Microsoft Azure'is.
- Paremad kulud ja ettevõtte vastupidavus, konkreetse müüja kaudu odavamad konkreetsed teenused ja kaitse teenuse katkestuste eest. Mõlemad nõuavad oma teenuste kavandamist, et kasu saaksid ära kasutada, kuid pärast loomist saab teie organisatsioon oma investeeringu kahe kuni kolme aasta jooksul tagasi teenida, mille tulemuseks on pikaajaline kulude kokkuhoid.
Kuid need eelised maksavad. Kui mitme teenusepakkuja kaudu hostitakse erinevaid keskkondi, võib andme- ja pilveinfrastruktuuri turvalisuse tagamine ning teie kohustuste ja kontrollidega vastavusse viimine olla keeruline. Nendes keskkondades olevate andmete, konfiguratsiooni ja turvalisuse kohta ühtse loo rääkimine võib olla peaaegu võimatu.
CISO-d, kes võtavad omaks a multicloud andmetöötlus peavad keskenduma kahele peamisele turvaprobleemile: tarnijate ja nende erinevatest pilveoperatsioonimudelitest tulenevate riskide haldamine ning nende turvakontrolli ja -strateegiate väärtuse demonstreerimine, pidades silmas mitme pilvepõhises maailmas tegutsemise suurenenud kulusid.
Riski juhtimine üle pilvede
Küberrünnakute mõju ja sagedus on kasvanud paralleelselt mitme pilve strateegiatele keskendumise suurenemisega. Lunavararünnakud, andmetega seotud rikkumised ja suured IT-katkestused olid esikohal Allianzi riskibaromeeter sel aastal alles teist korda uuringu ajaloos ning juhid peavad neid murettekitavamaks kui tarneahela katkemine, looduskatastroofid ja pandeemia. Ettevõtetel on õigus näidata muret: organisatsioonid on ülemaailmselt kogenud 50% rohkem iganädalasi küberrünnakuid aastal 2021, võrreldes 2020. aastaga.
Ettevõtete juhid hakkavad küberrünnakute tähtsusele järele jõudma, kuid enamik neist on oma müüjapartnerite riskidest alainformeeritud. PwC-s "2022. aasta Global Digital Trust Insights Survey”, 57% ettevõtete juhtidest ütles, et nad ootavad pilveteenuste vastu suunatud rünnakute arvu hüppelist kasvu, kuid ainult 37% ütles, et mõistavad pilveriske. Turvalisuse lähenemisviis ja toimimismudelid on pilveteenuse pakkujate lõikes erinevad ning riskide eest kaitsmine on jagatud vastutus, mis muutub veelgi keerulisemaks, kui lisate tavapäraseid erinevaid lähenemisviise kasutavaid pilveteenuseid, nagu identiteedi- ja juurdepääsuhaldus (IAM) või virtualiseeritud serverid.
Näiteks on erinevatel pilvemüüjatel oma lähenemine rollipõhisele juurdepääsule. Amazon Web Services käsitleb identiteeti, lisades IAM-i poliitikad otse virtuaalserverisse, mis annab serverile võimaluse toiminguid teha. Google Cloudi pakkumine seevastu keskendub teenusekontode (kasutajate) loomisele ja seejärel nende kontode lisamisele serverisse, et see saaks suhelda mõne muu ressursiga. Need väikesed erinevused lisanduvad ettevõtte mastaabis, suurendades turvalisuse keerukust, et tagada mõlemas pilves minimaalsed privileegid ja muud turvanõuded.
Kuna pilveteenused ei ole loodud oma konkurentidega integreerimiseks, on iga pilveteenuse pakkuja turvatööriistade kasutamise õppimine alles algus. IT-meeskonnad peavad pilveteenuste koostalitlusvõime suurendamiseks tsentraliseerima oma turvaseire turvateabe sündmuste haldamise (SIEM) tööriistaga koos muude kolmandate osapoolte tööriistadega. Need lisatud süsteemid nõuavad täiendavat koolitust ja ressursse ning võib-olla isegi täiendavat IT-personali, et tagada iga pilveplatvormi asjatundlikkus ja kuidas need platvormid koos töötavad.
Lisaks nendele sisseehitatud erinevustele oma teenuste vahel seab enamik pilveteenuse pakkujaid esikohale oma spetsiaalselt kohandatud turvapakkumised. See põhjustab hulgaliselt pilveturvet vaevavaid komplikatsioone. Näiteks saab teie võrgu kaitsmiseks kasutada pilvveebirakenduse tulemüüri (WAF), kuid see töötab ainult konkreetse pilveteenuse pakkujaga ja seda ei saa laiendada mitme pilvepakkumise vahel. Nende funktsioonide dubleerimiseks erinevate pakkujate jaoks on vaja kas dubleerivaid meeskondi nende peamiste turbetööriistade toetamiseks ja haldamiseks või pilveagnostilise teenuse ostmist, mis lisab segule veel ühe tarnija.
See lisarisk ja -kulu, mida tavaliselt avastatakse alles mitme pilvemudeli kasutuselevõtu lõpus, võivad ajakava välja tõrjuda, suurendada kulusid ja käivitada auditi leide. Nende riskide kavandamata jätmine ja maandamine võib muuta ettevõtte vastuvõtlikuks rahalise kahju, regulatiivsete meetmete, kohtuvaidluste ja maine kahjustamise suhtes.
Väärtuse edastamine riskide kvantifitseerimisega
Gartner prognoosib, et 2023. 30% CISOde efektiivsusest sõltub nende võimest väärtust näidata. Kuna mitme pilve andmestrateegiad muutuvad normiks ja selle strateegia turbekontrolli kulud kasvavad, võib riskide kvantifitseerimine aidata juhtidel oma väärtust järjepidevalt edastada, väljendades mitme pilve riskipositsiooni selgetes rahalistes väärtustes.
PwC andmetel oli organisatsioonidel, kes teatasid andmete usaldusväärsuse tulemuste kõige olulisemast paranemisest, kaks ühist asja: nad ennustasid küberjulgeolekule tehtavate kulutuste kasvu ning nad lisasid oma tegevusmudelitesse äriteabe ja andmeanalüütika, sealhulgas riskide kvantifitseerimise.
Mitme pilve strateegia finantsriskide hindamiseks peavad CISOd võtma arvesse iga platvormi kulusid, mida võrreldakse nende tajutavate riskidega. Need kaalutlused peavad hõlmama kõigi teie kaalutavate pilveteenuse pakkujate andmehalduse ja küberturvalisuse tavasid ning kõiki pilveagnostilisi tööriistu ja platvorme, mida ühiseks jälgimiseks kasutate.
Kuna mängus on nii palju tegureid, ei saa te endale lubada ebatäpsete kõhutunde mõõtmise skaalasid, nagu "madal, keskmine, kõrge" ja "punane, kollane, roheline". Riskiandmete väljendamine finantstingimustes on võimas tööriist, kuna see pakub ühtset keelt muutuvate riskiprioriteetide edastamiseks, CISO-de ja juhatuse vahelise kooskõlastamise parandamiseks ning teadlikumate riskijuhtimisotsuste tegemise hõlbustamiseks.
Siin on näide: CISO vaatab mitme pilvearhitektuuri erinevate riskidega seotud rahalist väärtust. Võrreldes küberjulgeoleku intsidendi leevendamise taktikaid, leiavad nad, et parem kontroll administraatoriõiguste üle vähendab sündmuse rahalisi kulusid palju rohkem kui küberjulgeoleku koolitusprogrammi rakendamine. Kuigi CISO mõistab multicloud-arhitektuuri küberriski tehnilisi üksikasju, saab ülejäänud C-komplekti kasu iga riski ja maandamise taktikaga seotud rahaliste väärtuste selgusest. Võimaldades CISO-sid oma kolleegidele ja juhatusele oma seisukohta esitada, muudab riskide kvantifitseerimine mitme pilve strateegia paljude liikuvate osade jaoks läbipaistvamaks.
Gartneri andmetel toimib enam kui 85% organisatsioonidest 2025. aastaks pilvepõhisena ja nad ei saa oma digitaalseid strateegiaid täielikult ellu viia ilma pilvepõhiste tehnoloogiate kasutamiseta. Gartneri juht sõnastas selle järgmiselt: "Ilma pilvestrateegiata pole äristrateegiat."
On hädavajalik, et ettevõtete juhid järgiksid strateegiaid, et kaitsta oma andmeid ja edastada oma multicloud prioriteedid, joondades kogu organisatsiooni ühise väärtuskeelega.
