当企业CIO试图为其IT上班负载在云和本地之间找到理想的平衡时,他们或者会发现自己面临着意想不到的异常 -云的承诺和云供应商的承诺与企业IT的理想相去甚远。
虽然云危险剖析应该与任何其余第三方危险剖析没有什么不同,但许多企业看待云的态度更平和,采取了不那么彻底的方法,这在很大水平上是由于企业偏差于经常使用可用的最大的云平台——其中AWS、MicrosoftAzure和Google Cloud Platform位居榜首,这些宏大的平台极大地限制了它们能够使一家企业启动IT失职考查的水平。
最大的企业有时会有例外——比如沃尔玛、埃克森美孚、CVS、伯克希尔哈撒韦等——但其余许多企业通常不会。此外,大少数企业云战略触及各种云供应商,包含在云中运营的点式处置打算SaaS供应商,这些不同协作同伴之间的相互相关进一步复杂化了危险方程式。
你的云资产或者面临的最清楚危险触及云设置和性能。许多IT团队破费少量精神微调他们的云实例、架构和环境的设置,以准确地婚配他们公司的需求,但起初却发现,他们的云供应商的一名员工对该供应商的一切企业租户启动了一些通用的更改,实践上笼罩了IT团队精心设计的设置。
但CIO在云计算畛域还或者面临其余意想不到的应战,他们应该看法到这一点,这里列出了几个这样的暗藏危险,并就如何缓解这些危险提出了倡导。
供应商危险姿态的转变
云供应商自身或者会遇到许多与业务相关的疑问,这些疑问或者会应战他们向签订合同时承诺的规范企业CIO提供服务的才干,包含引入新的危险。
在口头云平台准许的任何最低限制的失职考查时 - SOC报告、GDPR合规性、PCIROC等 -请记住,这只是评价时辰的快照,这一点至关关键,这就是合同施展作用的中央。假设有任何变动会影响你的供应商的危险状况,例如裁员影响其运营或增添非人力资源的估算,应该有明白的合同条款,要求云供应商有义务提示你的团队,理想状况下,让你的团队有选用收费分开,包含退还未破费的资金。
安永担任网络安保的董事总经理布莱恩·莱文示意:“我看不出这么做有什么坏处。(云供应商)会保持究竟吗?大略不会吧,他们很或者没有这样做的流程。为了诉讼的目的,有一个明示的条款总是比默示的条款更好。”
Sailpoint的CISO雷克斯·布斯(RexBooth)赞同这样的条款无伤大雅,但须要做出很多解释。他示意,一种更好的合同方法是,在合同中参与相似这样的条款:“假设你依照独立审计师的选择启动跳水,咱们有权分开”,但是,布斯补充说,裁员并不必定象征着组织致力的缩小。
新的数据主权令人头痛
很长一段时期以来,数据主权不时是一个关键的IT疑问,但如今出现了许多企业或者没有预料到的特定于云的数据主权疑问,例如,美国商务部在1月份提出了一项规则,制止中国企业在美国云环境中培训其LLM模型。虽然这最后仿佛只会影响中国企业,但Forrester首席剖析师LeeSustar以为,这很容易关涉到美国企业——不只是云计算公司,还有那些领有为客户口头剖析上班的部门的企业团体。
例如,假设一家中国公司延聘了一家美国人工智能公司,并付钱让他们在这家美国公司的云环境中培训各种LLM,那会怎样样?这会违犯商业规则吗?更复杂的是,假设这家美国公司的客户设在比利时或澳大利亚怎样办?假设那家比利时公司的客户碰巧是一家中国公司怎样办?假设一家中国公司想要绕过这一规则,它很或者会经过多家非中国公司处置这一恳求。
“如今你必定布局你的云上班负载,不只要思考第三方的危险,还要思考第四方的危险”,他说。
安永的莱文倡导首席信息官在谈判新的云协定时须要思考的其余要素,一些云运营对记载其环境中出现的状况收取额外费用。假设云租户可以间接跟踪优惠,这不是一个大疑问,但他们不能,因此必定依赖云平台的日志。
“这是基本的,假设一家企业要为(云中出现的一切)担任,他们必定有相关日志才干担任,他们会把这些原木保留多久?”,莱文说。
在大范围紧急状况下的可裁减性
许多企业IT高管以为,云提供了近乎有限的可裁减性——这在数学上是不正确的。云营销对此没有协助,它剧烈地暗示——假设不是间接的承诺——有限的可裁减性。
大少数状况下,云的弹性为其宗旨提供了极初级别的可裁减性,但是,网络安保投资公司Team8的运营合伙人兼常驻CISO查尔斯·布劳纳示意,当紧急状况出现时,一切的赌注都会敞开。布劳纳曾在花旗团体、德意志银行和摩根大通担任CISO。
BLauner指出,在9/11袭击时期,他屡次尝试外包数据,但都以失败告终,他在2012年飓风桑迪和美国新冠疫情最后几周再次看到这种状况。“这只实用于第一批”将更少数据推向云端的公司。
企业宿愿能够“在危机时期复原到云环境中,而后911事情出现了,一切人都同时发表进入紧急形态。假设你不是第一批发表这一信息的公司之一,(云服务供应商)会说,‘咱们曾经满了’”,布劳纳说。
BLauner说,处置打算是让CIO们建设他们的紧急最低生活产品(MVP)职位,他的意思是让企业识别他们最基本的服务——那些“你的客户离不开的服务”——这样,当紧急状况出现时,只要那些紧急服务才会转移到云中。假设一切企业都这样做,该行业就能挺过下一场危机。
例如,当BLauner在花旗上班时,MVP是国内资金转移。假设咱们不包全这一点,咱们或者会遭逢环球经济解体。在韩国,假设没有花旗,你就不可启动转账。“关于环球上的每一家公司来说,都有这样的事情。”
自身形成的安保危险和效率低下
Gartner云安保团队的初级主管剖析师CharlieWinckless赞同危机出现时的可裁减性是一个令人担心的疑问,但他以为IT指导者的典型处置打算正在构成一个不同的疑问:经过与环球少量云环境达成协定来笼罩他们在云方面的赌注。
CIO以为,经过经常使用多个云提供商,他们以为它正在提高可用性,但理想并非如此。它所做的一切只是参与了复杂性,而复杂性不时是安保的死敌。“经常使用云提供商的区域要划算得多。”
咨询公司麦肯锡担任监管企业网络安保战略通常的合伙人里奇·伊森伯格以为,企业往往达不到云所承诺的财务和效率长处,由于它们不愿充沛信赖云环境的机制。
企业IT的“阻力”在于他们不信赖云智能化和技术。他们宿愿自己的团队治理一切。Isenberg说,云包含云原生工具和智能化,但CIO依然偏差于经常使用他们的团队的老式方法,这些高管“依赖于他们的安保和访问团队,他们从他们首选的供应商那里取得了他们的首选工具。”
这象征着许多云义务须要口头两次,这就是效率长处有时不可成功的要素。伊森伯格说,大少数IT高管“以为严重破绽将要挟到他们的上班,但理想状况是,要挟是这些高管不是数字技术的先锋。”假设高管们“不接受云本地[工具]和智能化,那么,是的,这将成为他人的上班。”
如今,云在一切企业系统中的集成水平都很高,无论是IaaS、PaaS还是SaaS,云战略都须要成为自动假定。伊森伯格说:“无论你知道还是不知道,无论你想不想,你都会介入其中。”