Більше підприємств використовують багатохмарний підхід у рамках своїх зусиль з цифрової трансформації, щоб підтримувати розподілені команди, що працюють у гібридних і віддалених моделях. І так само, як гібридні робочі середовища тут, щоб залишитися, мультихмарний підхід закріпився. Gartner прогнозує, що глобальні хмарні доходи досягнуть $ 474 млрд. 2022, С 90% підприємств вже працює над багатохмарною стратегією.
При правильному використанні багатохмарна стратегія може зробити багато процесів ефективнішими. Він також пропонує більшу стійкість до збоїв і більшу гнучкість постачальників, ніж стратегія єдиної хмари. Додаткові переваги:
- Уникайте прив’язки постачальника до одного постачальника хмарних послуг. Організація з глобальним відбитком і спеціалізованими даними може вибрати розташування центру обробки даних з найменшим впливом на свій бізнес. Наприклад, Microsoft Azure зараз лідирує на Близькому Сході з точки зору розташування центрів обробки даних.
- Можливість скористатися перевагами відмінних функцій, які пропонує кожен постачальник хмарних технологій, наприклад, унікальні рішення для баз даних у Google Cloud або можливість набагато легше керувати своїми локальними та хмарними ресурсами в Microsoft Azure.
- Нижчі витрати та стійкість бізнесу з меншими витратами на певні послуги через певного постачальника та захистом від збоїв у наданні послуг. Обидва вимагають розробки ваших послуг, щоб отримати переваги, але після створення ваша організація може окупити свої інвестиції протягом двох-трьох років, що призведе до довгострокової економії коштів.
Однак ці переваги мають свою ціну. Може бути складно забезпечити безпеку даних і хмарної інфраструктури та узгодженість із вашими зобов’язаннями та елементами керування, коли різні середовища розміщені через кількох постачальників. Розповісти єдину історію про дані, конфігурацію та безпеку в цих середовищах може бути майже неможливо.
CISO, які охоплюють a багатохмарний підхід до даних повинні зосередитись на двох основних проблемах безпеки: управлінні ризиками, створеними постачальниками та їхніми різними хмарними операційними моделями, і демонстрації цінності їхніх засобів контролю та стратегій безпеки в умовах збільшення витрат на роботу в багатохмарному світі.
Управління ризиками в хмарах
Вплив і частота кібератак зросла паралельно з посиленням уваги до мультихмарних стратегій. Атаки програм-вимагачів, витоки даних і серйозні збої в ІТ лідирують у списку Барометр ризиків Allianz цього року лише вдруге за історію опитування, керівники оцінили їх як більш тривожні, ніж збої в ланцюзі поставок, стихійні лиха та пандемія. Компанії мають рацію, виявляючи турботу: організації зі світовим досвідом На 50% більше щотижневих кібератак у 2021 році порівняно з 2020 роком.
Лідери компаній наздоганяють важливість кібератак, але більшість із них недостатньо поінформовані про ризики, які становлять їхні партнери-постачальники. У PwC "Опитування Global Digital Trust Insights Survey 202257% бізнес-лідерів сказали, що вони очікують різкого збільшення атак на хмарні сервіси, але лише 37% сказали, що розуміють хмарні ризики. Підхід і робочі моделі безпеки різняться серед постачальників хмарних послуг, і захист від ризику є спільною відповідальністю, яка стає лише складнішою, коли ви додаєте загальні хмарні служби, які використовують різні підходи, наприклад керування ідентифікацією та доступом (IAM) або віртуалізовані сервери.
Наприклад, різні хмарні постачальники мають власний підхід до рольового доступу. Веб-служби Amazon обробляють ідентифікацію, прикріплюючи політики IAM безпосередньо до віртуального сервера, що надає серверу можливість виконувати дії. Пропозиція Google Cloud, навпаки, зосереджена на створенні сервісних облікових записів (користувачів), а потім прикріпленні цих облікових записів до сервера, щоб він міг взаємодіяти з іншим ресурсом. Ці невеликі відмінності накопичуються в масштабі підприємства, посилюючи безпеку, щоб забезпечити найменші привілеї та інші вимоги безпеки в обох хмарах.
Оскільки хмарні служби не створені для інтеграції з конкурентами, навчитися використовувати інструменти безпеки для кожного хмарного постачальника – це лише початок. ІТ-командам потрібно буде централізувати моніторинг безпеки за допомогою інструменту керування подіями безпеки (SIEM), а також інших інструментів сторонніх розробників, щоб підвищити сумісність хмарних служб. Ці додаткові системи вимагають додаткового навчання та ресурсів і, можливо, навіть додаткового ІТ-персоналу для забезпечення експертних знань у кожній хмарній платформі та як ці платформи працюють разом.
На додаток до цих вбудованих відмінностей між їхніми службами, більшість хмарних постачальників віддають перевагу своїм власним спеціально розробленим пропозиціям безпеки. Це спричиняє безліч ускладнень, які заважають безпеці хмари. Наприклад, хмарний брандмауер веб-додатків (WAF) можна використовувати для захисту вашої мережі, але він працюватиме лише з певним постачальником хмарних послуг і не може бути розширений між кількома хмарними пропозиціями. Дублювання цих функціональних можливостей для різних постачальників вимагає або дублювання команд для підтримки та керування цими ключовими інструментами безпеки, або придбання хмарної агностичної служби, що додає до суміші ще одного постачальника.
Цей додатковий ризик і вартість, які зазвичай виявляються лише на пізньому етапі розгортання мультихмарної моделі, можуть зрушити часові рамки, збільшити вартість і викликати результати аудиту. Неспроможність планувати та зменшувати ці ризики може зробити компанію вразливою до фінансових втрат, регулятивних заходів, судових процесів і репутаційної шкоди.
Передача цінності з кількісним визначенням ризику
За оцінками Gartner, до 2023 р. 30% ефективності CISO залежатиме від їх здатності демонструвати цінність. Оскільки багатохмарні стратегії обробки даних стають нормою, а витрати на засоби контролю безпеки в рамках цієї стратегії зростають, кількісна оцінка ризиків може допомогти керівникам послідовно повідомляти про свою цінність, виражаючи позицію мультихмарних ризиків у чітких грошових значеннях.
За даними PwC, організації, які повідомили про найбільш значне покращення показників довіри до даних, мали дві спільні риси: вони передбачили збільшення своїх витрат на кібербезпеку та включили бізнес-аналітику та аналітику даних у свої операційні моделі, включаючи кількісну оцінку ризиків.
Щоб оцінити фінансові ризики мультихмарної стратегії, CISO повинні брати до уваги витрати на кожну платформу, зважені з їхніми передбачуваними ризиками. Ці міркування мають включати методи керування даними та кібербезпеки всіх хмарних постачальників, яких ви розглядаєте, а також будь-які інструменти та платформи, які не залежать від хмари, які ви використовуватимете для спільного моніторингу.
З такою кількістю чинників ви не можете дозволити собі покладатися на неточні шкали вимірювань, такі як «низький, середній, високий» і «червоний, жовтий, зелений». Вираз даних про ризики у фінансових термінах є потужним інструментом, оскільки він пропонує спільну мову для передачі мінливих пріоритетів ризиків, покращує узгодженість між CISO та правлінням і сприяє прийняттю більш обґрунтованих рішень щодо управління ризиками.
Ось приклад: CISO розглядає фінансову вартість, пов’язану з різними ризиками багатохмарної архітектури. Порівнюючи тактику пом’якшення інциденту кібербезпеки, вони виявили, що кращий контроль над адміністративними привілеями зменшує фінансові витрати на подію набагато більше, ніж впровадження програми навчання кібербезпеці. У той час як CISO розуміє технічні деталі кіберризиків у багатохмарній архітектурі, решта C-suite виграє від чіткості грошових значень, пов’язаних з кожним ризиком і тактикою пом’якшення. Даючи CISO можливість доводити свої аргументи своїм колегам і правлінню, кількісна оцінка ризиків забезпечує більшу прозорість багатьох рухомих частин мультихмарної стратегії.
За даними Gartner, до 85 року понад 2025% організацій працюватимуть у першу чергу в хмарі, і вони не зможуть повністю реалізувати свої цифрові стратегії без використання хмарних технологій. Лідер Gartner висловив це так: «Немає бізнес-стратегії без хмарної стратегії».
Вкрай важливо, щоб бізнес-лідери застосовували стратегії захисту своїх даних і повідомляли про свої багатохмарні пріоритети, узгоджуючи всю організацію спільною мовою цінностей.
