越来越多的企业正在采用多云方法作为其数字化转型工作的一部分,以支持在混合和远程模型中工作的分布式团队。 正如混合工作环境将继续存在一样,多云方法也已占据主导地位。 Gartner 预测全球云收入将达到 $ 474十亿的2022, 90%的企业 已经致力于多云战略。
如果正确利用,多云策略可以使许多流程更加高效。 与单一云策略相比,它还提供了更强的中断恢复能力和更大的供应商灵活性。 其他优点包括:
- 避免供应商锁定于一家云提供商。 拥有全球足迹和专业数据的组织可以选择对其业务影响最小的数据中心位置。 例如,从数据中心位置的角度来看,Microsoft Azure 目前在中东地区处于领先地位。
- 能够利用每个云供应商提供的独特功能,例如 Google Cloud 中独特的数据库解决方案,或者能够在 Microsoft Azure 中更加无缝地管理本地和云资源。
- 更好的成本和业务弹性,通过特定供应商提供的特定服务成本更低,并防止服务中断。 两者都需要设计您的服务来利用其优势,但一旦建立,您的组织可以在两到三年内收回投资,从而实现长期成本节省。
然而,这些优势是有代价的。 当不同的环境由多个提供商托管时,确保数据和云基础设施的安全并符合您的义务和控制可能具有挑战性。 围绕这些环境中的数据、配置和安全性讲述一个统一的故事几乎是不可能的。
CISO 正在拥抱 多云数据方法 必须重点关注两个主要安全问题:管理供应商及其不同云运营模型带来的风险,以及在多云世界中运营成本增加的情况下展示其安全控制和策略的价值。
跨云管理风险
随着对多云策略的关注不断升级,网络攻击的影响和频率也在不断增长。 勒索软件攻击、数据泄露和重大 IT 中断位居首位 安联风险晴雨表 今年是该调查历史上第二次出现这种情况,高管们将其列为比供应链中断、自然灾害和流行病更令人担忧的问题。 公司表达担忧是正确的:世界各地的组织都有丰富的经验 每周网络攻击增加 50% 2021年与2020年相比。
企业领导者正在认识到网络攻击的重要性,但大多数人对其供应商合作伙伴带来的风险知之甚少。 在普华永道的“2022 年全球数字信任洞察调查”,57% 的企业领导者表示,他们预计云服务受到的攻击将会激增,但只有 37% 的人表示他们了解云风险。 不同云提供商的安全方法和操作模型各不相同,防范风险是一项共同的责任,当您添加使用不同方法(例如身份和访问管理 (IAM) 或虚拟化服务器)的通用云服务时,这种责任只会变得更加复杂。
例如,不同的云供应商有自己的基于角色的访问方法。 Amazon Web Services 通过将 IAM 策略直接附加到虚拟服务器来处理身份,从而授予服务器执行操作的能力。 相比之下,谷歌云的产品专注于创建服务帐户(用户),然后将这些帐户附加到服务器,以便它可以与其他资源交互。 这些微小的差异在企业规模上累积起来,会增加安全复杂性,以确保跨两个云的最低特权和其他安全要求。
由于云服务并非旨在与竞争对手集成,因此学习如何使用每个云提供商的安全工具只是一个开始。 IT 团队需要使用安全信息事件管理 (SIEM) 工具以及其他第三方工具来集中进行安全监控,以提高云服务的互操作性。 这些添加的系统需要额外的培训和资源,甚至可能需要额外的 IT 人员来确保每个云平台的专业知识 和 这些平台如何协同工作。
除了服务之间的这些内在差异之外,大多数云供应商还优先考虑自己专门定制的安全产品。 这导致了一系列困扰云安全的复杂问题。 例如,云 Web 应用程序防火墙 (WAF) 可用于保护您的网络,但它只能与特定的云服务提供商配合使用,并且无法跨多个云产品进行扩展。 为不同的提供商复制这些功能需要复制团队来支持和管理这些关键安全工具,或者购买与云无关的服务——这又增加了另一个供应商。
这种额外的风险和成本通常要到多云模型部署后期才会发现,可能会推迟时间表、增加成本并引发审计结果。 如果未能规划和减轻这些风险,公司可能会遭受财务损失、监管行动、诉讼和声誉损害。
通过风险量化传达价值
Gartner 估计,到 2023 年, CISO 的效率为 30% 将取决于他们展示价值的能力。 随着多云数据策略成为常态,并且该策略中的安全控制成本不断增加,风险量化可以通过以明确的货币价值表达多云风险态势,帮助领导者一致地传达其价值。
普华永道表示,数据信任结果改善最显着的组织有两个共同点:他们预测网络安全支出会增加,并将商业智能和数据分析纳入其运营模型,包括风险量化。
为了评估多云战略的财务风险,CISO 必须权衡每个平台的成本和他们感知的风险。 这些考虑因素必须包括您正在考虑的所有云提供商的数据管理和网络安全实践,以及您将用于联合监控的任何与云无关的工具和平台。
由于影响因素如此之多,您不能依赖“低、中、高”和“红、黄、绿”等不精确、凭直觉的测量尺度。 用财务术语表达风险数据是一种强大的工具,因为它提供了一种通用语言来传达不断变化的风险优先级、改善 CISO 和董事会之间的一致性,并促进更明智的风险管理决策。
下面是一个示例:CISO 正在研究与多云架构的各种风险相关的财务价值。 通过比较缓解网络安全事件的策略,他们发现更好地控制管理权限比实施网络安全培训计划更能降低事件的财务成本。 虽然 CISO 了解多云架构中网络风险的技术细节,但高管层的其他成员将受益于与每种风险和缓解策略相关的明确的货币价值。 通过授权首席信息安全官向同事和董事会陈述自己的观点,风险量化为多云战略的许多移动部分带来了更大的透明度。
据 Gartner 预测,到 85 年,超过 2025% 的组织将实行云优先,如果不使用云原生技术,他们将无法完全实现数字化战略。 Gartner 的一位领导者是这样说的: “没有云战略就没有业务战略。”
企业领导者必须采取策略来保护其数据并传达其多云优先事项,从而在整个组织内采用共同的价值语言。
