Coraz więcej przedsiębiorstw stosuje podejście wielochmurowe w ramach swojej cyfrowej transformacji, aby wspierać rozproszone zespoły pracujące w modelach hybrydowych i zdalnych. I tak jak hybrydowe środowiska pracy są już na zawsze, tak podejście oparte na wielu chmurach stało się powszechne. Gartner przewiduje, że globalne przychody z chmury sięgną $ 474 mld 2022Z 90% przedsiębiorstw pracuje już nad strategią multicloud.
Przy prawidłowym wykorzystaniu strategia wielochmurowa może zwiększyć wydajność wielu procesów. Zapewnia również większą odporność na awarie i większą elastyczność dostawcy niż strategia pojedynczej chmury. Dodatkowe zalety to:
- Unikanie uzależnienia od jednego dostawcy usług w chmurze. Organizacja o globalnym zasięgu i wyspecjalizowanych danych może wybrać lokalizację centrum danych, która ma najmniejszy wpływ na jej działalność. Na przykład Microsoft Azure jest obecnie liderem na Bliskim Wschodzie z punktu widzenia lokalizacji centrum danych.
- Możliwość korzystania z wyróżniających się funkcji oferowanych przez każdego dostawcę chmury, takich jak unikalne rozwiązania bazodanowe w Google Cloud lub możliwość znacznie płynniejszego zarządzania zasobami lokalnymi i chmurowymi w Microsoft Azure.
- Niższe koszty i odporność biznesowa dzięki niższym kosztom określonych usług dzięki określonemu dostawcy i ochronie przed zakłóceniami w świadczeniu usług. Oba wymagają zaprojektowania usług w taki sposób, aby wykorzystać korzyści, ale raz ustalona organizacja może zwrócić się z inwestycji w ciągu dwóch do trzech lat, co skutkuje długoterminowymi oszczędnościami.
Jednak te zalety mają swoją cenę. Zapewnienie bezpieczeństwa danych i infrastruktury chmury oraz zgodności z Twoimi obowiązkami i kontrolami może być wyzwaniem, gdy różne środowiska są hostowane przez wielu dostawców. Opowiedzenie jednolitej historii dotyczącej danych, konfiguracji i bezpieczeństwa w tych środowiskach może być prawie niemożliwe.
CISO, którzy obejmują a podejście do danych w wielu chmurach muszą koncentrować się na dwóch głównych kwestiach związanych z bezpieczeństwem: zarządzaniu ryzykiem stwarzanym przez dostawców i ich różnymi modelami operacyjnymi w chmurze oraz wykazaniu wartości ich kontroli bezpieczeństwa i strategii w obliczu zwiększonych kosztów działania w świecie wielu chmur.
Zarządzanie ryzykiem w chmurach
Wpływ i częstotliwość cyberataków wzrosły równolegle z rosnącym naciskiem na strategie oparte na wielu chmurach. Ataki typu ransomware, naruszenia bezpieczeństwa danych i poważne awarie IT znalazły się na szczycie listy Barometr Ryzyka Allianz w tym roku po raz drugi w historii badania, a kierownictwo uznało je za bardziej niepokojące niż zakłócenia w łańcuchu dostaw, klęski żywiołowe i pandemia. Firmy mają prawo okazywać troskę: Organizacje z doświadczeniem na całym świecie 50% więcej cotygodniowych cyberataków w 2021 r. w porównaniu z 2020 r.
Liderzy biznesowi dostrzegają znaczenie cyberataków, ale większość z nich jest niedoinformowana o zagrożeniach stwarzanych przez ich dostawców. W PwC „Globalna ankieta dotycząca zaufania do technologii cyfrowych 2022”, 57% liderów biznesu stwierdziło, że spodziewa się gwałtownego wzrostu liczby ataków na usługi w chmurze, ale tylko 37% stwierdziło, że rozumie zagrożenia związane z chmurą. Podejście i modele operacyjne bezpieczeństwa różnią się w zależności od dostawcy usług w chmurze, a ochrona przed ryzykiem to wspólna odpowiedzialność, która staje się jeszcze bardziej złożona w miarę dodawania wspólnych usług w chmurze, które wykorzystują różne podejścia, takie jak zarządzanie tożsamością i dostępem (IAM) lub serwery zwirtualizowane.
Na przykład różni dostawcy chmury mają własne podejście do dostępu opartego na rolach. Amazon Web Services obsługuje tożsamość, dołączając zasady IAM bezpośrednio do serwera wirtualnego, co daje serwerowi możliwość podejmowania działań. Z kolei oferta Google Cloud koncentruje się na tworzeniu kont usług (użytkowników), a następnie dołączaniu tych kont do serwera, aby mógł on wchodzić w interakcje z innym zasobem. Te niewielkie różnice sumują się w skali przedsiębiorstwa, zwiększając złożoność zabezpieczeń w celu zapewnienia jak najmniejszych uprawnień i innych wymagań bezpieczeństwa w obu chmurach.
Ponieważ usługi w chmurze nie są zaprojektowane do integracji z konkurencją, nauka korzystania z narzędzi bezpieczeństwa dla każdego dostawcy usług w chmurze to dopiero początek. Zespoły IT będą musiały scentralizować monitorowanie bezpieczeństwa za pomocą narzędzia do zarządzania zdarzeniami dotyczącymi informacji o bezpieczeństwie (SIEM) oraz innych narzędzi innych firm, aby zwiększyć interoperacyjność usług w chmurze. Te dodane systemy wymagają dodatkowych szkoleń i zasobów, a być może nawet dodatkowego personelu informatycznego, aby zapewnić specjalistyczną wiedzę na temat każdej platformy chmurowej i jak te platformy współpracują ze sobą.
Oprócz tych wbudowanych różnic między ich usługami, większość dostawców chmury traktuje priorytetowo swoje własne, specjalnie dostosowane oferty zabezpieczeń. Prowadzi to do wielu komplikacji, które nękają bezpieczeństwo w chmurze. Na przykład zapora sieciowa aplikacji w chmurze (WAF) może służyć do ochrony sieci, ale będzie działać tylko z określonym dostawcą usług w chmurze i nie można jej rozszerzyć na wiele ofert chmurowych. Powielanie tych funkcji dla różnych dostawców wymaga albo zduplikowania zespołów do obsługi tych kluczowych narzędzi bezpieczeństwa i zarządzania nimi, albo zakupu usługi niezależnej od chmury — co dodaje kolejnego dostawcę do miksu.
To dodatkowe ryzyko i koszt, zwykle wykrywane dopiero na późnym etapie wdrażania modelu wielochmurowego, może wydłużyć terminy, zwiększyć koszty i spowodować wyniki audytu. Brak planowania i ograniczania tych zagrożeń może narazić firmę na straty finansowe, działania regulacyjne, spory sądowe i utratę reputacji.
Przekazywanie wartości za pomocą kwantyfikacji ryzyka
Gartner szacuje, że do 2023 r. 30% skuteczności CISO zależeć będzie od ich zdolności do wykazania wartości. Ponieważ strategie oparte na danych w wielu chmurach stają się normą, a koszty kontroli bezpieczeństwa w ramach tych strategii rosną, kwantyfikacja ryzyka może pomóc liderom w spójnym komunikowaniu ich wartości poprzez wyrażanie postawy ryzyka związanej z wieloma chmurami w wyraźnych wartościach pieniężnych.
Według PwC organizacje, które zgłosiły najbardziej znaczącą poprawę wyników w zakresie zaufania do danych, miały dwie wspólne cechy: przewidywały wzrost wydatków na cyberbezpieczeństwo oraz włączyły analizę biznesową i analizę danych do swoich modeli operacyjnych, w tym do kwantyfikacji ryzyka.
Aby ocenić ryzyko finansowe związane ze strategią wielochmurową, CISO muszą wziąć pod uwagę koszty każdej platformy w porównaniu z postrzeganym przez nich ryzykiem. Rozważania te muszą obejmować praktyki zarządzania danymi i bezpieczeństwa cybernetycznego wszystkich rozważanych dostawców usług w chmurze, a także wszelkie niezależne od chmury narzędzia i platformy, których będziesz używać do wspólnego monitorowania.
Przy tak wielu czynnikach nie można polegać na nieprecyzyjnych, intuicyjnych skalach pomiarowych, takich jak „niski, średni, wysoki” i „czerwony, żółty, zielony”. Wyrażanie danych o ryzyku w kategoriach finansowych jest potężnym narzędziem, ponieważ oferuje wspólny język do komunikowania zmieniających się priorytetów ryzyka, poprawia zgodność między CISO a zarządem oraz ułatwia podejmowanie bardziej świadomych decyzji w zakresie zarządzania ryzykiem.
Oto przykład: CISO przygląda się wartości finansowej związanej z różnymi zagrożeniami związanymi z architekturą wielochmurową. Porównując taktyki łagodzenia incydentu związanego z cyberbezpieczeństwem, stwierdzili, że lepsza kontrola nad uprawnieniami administracyjnymi zmniejsza koszty finansowe zdarzenia znacznie bardziej niż wdrożenie programu szkoleniowego w zakresie cyberbezpieczeństwa. Podczas gdy CISO rozumie szczegóły techniczne cyberryzyka w architekturze wielochmurowej, reszta kadry kierowniczej skorzysta z przejrzystości wartości pieniężnych związanych z każdą taktyką ryzyka i ograniczania ryzyka. Umożliwiając CISO przedstawianie swoich argumentów kolegom i zarządowi, kwantyfikacja ryzyka zapewnia większą przejrzystość wielu ruchomych części strategii wielochmurowej.
Według Gartnera do 85 roku ponad 2025% organizacji będzie działać jako pierwsze w chmurze i nie będzie w stanie w pełni zrealizować swoich strategii cyfrowych bez korzystania z technologii natywnych dla chmury. Lider firmy Gartner ujął to w ten sposób: „Nie ma strategii biznesowej bez strategii w chmurze”.
Konieczne jest, aby liderzy biznesowi stosowali strategie ochrony swoich danych i komunikowali swoje priorytety w zakresie wielu chmur, dopasowując w całej organizacji wspólny język wartości.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
