云计算带来了更高效率、改进数据安全和增加利润的诱人承诺。但云计算并非万无一失,中断是不可避免的。这是IT领导者需要了解的内容。
云中断可能由多种原因导致:软件错误、电源故障、配置错误、资源耗尽和数据中心冷却问题。云计算提供商可以从每个事件中学习,积累可以帮助他们防止未来中断的知识。
但云计算客户必须管理在云中断期间被切断其基于云的操作的后果。停电时间越长,造成的损失就越大。再保险商GuyCarpenter公司和网络风险分析平台CyberCube公司在2019年的一份报告中指出,云中断是可能影响业务的最昂贵的单点故障之一。
这些损失可以准确量化吗?企业有什么追索权来追回它们?云计算提供商是否容易在中断后受到诉讼?
云中断的成本
对云中断成本的估计各不相同——从受影响的行业到业务规模,各种变量都会发挥作用:
- 云性能优化商计算出平均企业的停机成本为每分钟5,600美元。
- 研究机构估计成本最高可达每分钟9,000美元。
- 劳埃德公司2018年的一份报告表明,中小企业在停电期间的损失最为惨重,可能承担63%的损失负担。
尽管有这些令人痛心的统计数据,但Veritas公司在2017年的一份报告估计,只有不到四分之一的企业估计了他们在云中断期间可能遭受的损失。
根据Forrester公司的研究,考虑到计划外停机时间每分钟的成本比计划停机时间高35%,未评估其漏洞的企业面临的风险要大得多。
在特定中断期间确定特定公司的损失是复杂的。严重依赖云计算服务的企业可能会比同时使用云平台和内部部署运营的企业遭受更多损失。影响一小部分基于云的运营的中断将比破坏企业在云中的整个运营的中断更便宜。中断时间越长,损失就越大。如果中断与数据泄露有关,云客户也可能面临罚款,而且由于未能进行尽职调查而导致的其他监管后果可能即将出现。
然后是更难评估的软成本。在社交媒体时代,企业业务遭遇中断的消息将迅速传开。当很明显他们无法提供无缝服务时,即使是在很短的时间内,企业也很容易失去现有客户和潜在客户的信任和合作。
如何构建云提供商协议
云服务提供商本身不太可能承担因中断而产生的任何成本。
行业标准服务水平协议非常严格,大多数云服务提供商几乎不承担任何责任。服务信用是客户在停机后通常可以期望从云计算提供商那里获得的最多。
虽然一些云计算提供商已经开始确保自己的保险政策,谷歌云现在提供自己的网络保险插件,但这远非常态。
美国保险追偿律师事务所的合伙人CindyJordano说:“值得询问云计算提供商他们也有什么样的保险,或者达成某种赔偿协议。”
即使提供商确实有保险,这些保单的条款也不太可能覆盖客户产生的费用的一小部分。
网络保险服务商Resilience公司的首席理赔官MichaelPhillips建议:“协商公司承担多少风险,以及云服务提供商保留多少风险。现在不幸的是,许多主要的云服务提供商都不愿意承担自己失败的风险。”
公共云是一个多租户环境,使责任问题进一步复杂化。
CulhaneMeadows律师事务所的合伙人LisaRovinsky说,“许多云计算提供商目前不提供有意义的服务水平协议(SLA),他们认为应用程序必须满足多个客户的需求。我认为随着客户变得更加复杂和混合云解决方案的发展,这种权力结构将会发生变化。”
这让客户有责任确保他们的云协议从一开始就尽可能密封。样板合同不太可能提供粗略的保护,因此定制越来越成为游戏的名称。定制合同在前端几乎肯定会更昂贵,但在发生代价高昂的中断时可能会节省一些费用。
IT咨询实践咨询机构InfosysConsulting的首席信息官顾问合伙人ElizabethEbert警告说,“云计算可用的服务水平往往非常高:达到99.9%以上。可用性每增加百分之一,成本就会急剧增加。”
保险范围
在保险损失方面,全球三大云计算供应商之一业务中断三到六天的成本可能超过147亿美元。而研究机构在2020年10月的一项研究表明:
- 由于单一运营服务提供商的故障而导致的数据丢失可能导致高达238亿美元的保险损失。
- 云计算服务提供商的大规模数据丢失可能导致高达222亿美元的保险损失。
- 长期的云中断将造成143亿美元的损失。
- 对主要云提供商的勒索软件攻击将造成115亿美元的损失。
因此,明确的网络政策越来越成为必要。但即使是这些政策也不一定包括云中断覆盖,或者在有限的基础上这样做。
但是,有一些方法可以降低成本。云计算系统的数据完整性和冗余性的证据对保险公司很有吸引力。保持严格的数据库存可以降低在发生云泄露事件时发生未知泄漏的可能性。在不同的云计算服务器上进行多个备份大大降低了数据不可恢复的可能性。
考虑中断的原因
还值得考虑潜在云中断的多个来源。典型的网络政策通常涵盖勒索软件和其他网络攻击。但并非所有云中断都与网络安全有关。
保险商Parametrix公司联合创始人兼首席技术官NetaRozy澄清说,“停机时间和网络安全是两件不同的事情,”网络安全更适用于网络攻击。停机时间是不可避免的。我们都生活在一个数字世界中。数据中心并不完美。因此,网络政策不太可能涵盖因停电或软件错误导致的云停机。”
Parametrix公司构建了一个专有系统,用于监控公共云中存在的跨数据中心的云平台和云应用程序可用性。该系统收集的数据使公司能够计算云风险并为其政策提供保障。该公司的知识产权还允许它消除保险领域中典型的索赔流程。
Rozy解释说,“我们确定停机时间,然后我们的客户实际上不必经历索赔流程,因为我们确切知道在给定时间哪些云停机或云服务停机,以及客户的承保范围。”
云计算风险是广泛的。客户可能会因勒索软件或其他形式的网络攻击而丢失数据,并且他们可能会遇到与网络安全无关的中断相关后果。这可能意味着企业需要购买不止一种类型的策略来为云中断的后果提供足够的保护。
从小众云保险一直到更全面的网络保险,一系列产品可能会在不久的将来出现。
对于首席信息官和其他决策者而言,为云中断覆盖范围选择保险是确定风险承受能力并找到一个或多个政策的问题,其价格足以解决商定的业务风险。
不过值得注意的是,一些系统性故障可能本质上是无法承保的,因此企业应该做出相应的计划。