当企业CIO试图为其IT工作负载在云和本地之间找到理想的平衡时,他们可能会发现自己面临着意想不到的意外 - 云的承诺和云供应商的承诺与企业IT的现实相去甚远。
虽然云风险分析应该与任何其他第三方风险分析没有什么不同,但许多企业对待云的态度更温和,采取了不那么彻底的方法,这在很大程度上是因为企业倾向于使用可用的最大的云平台——其中AWS、Microsoft Azure和Google Cloud Platform位居榜首,这些庞大的平台极大地限制了它们能够使一家企业进行IT尽职调查的程度。
最大的企业有时会有例外——比如沃尔玛、埃克森美孚、CVS、伯克希尔哈撒韦等——但其他许多企业通常不会。此外,大多数企业云战略涉及各种云供应商,包括在云中运营的点式解决方案SaaS供应商,这些不同合作伙伴之间的相互关系进一步复杂化了风险方程式。
你的云资产可能面临的最明显风险涉及云设置和配置。许多IT团队花费大量精力微调他们的云实例、架构和环境的设置,以精确地匹配他们公司的需求,但后来却发现,他们的云供应商的一名员工对该供应商的所有企业租户进行了一些通用的更改,实际上覆盖了IT团队精心设计的设置。
但CIO在云计算领域还可能面临其他意想不到的挑战,他们应该意识到这一点,这里列出了几个这样的隐藏风险,并就如何缓解这些风险提出了建议。
供应商风险姿态的转变
云供应商本身可能会遇到许多与业务相关的问题,这些问题可能会挑战他们向签署合同时承诺的标准企业CIO提供服务的能力,包括引入新的风险。
在执行云平台允许的任何最低限度的尽职调查时 - SOC报告、GDPR合规性、PCIROC等 - 请记住,这只是评估时刻的快照,这一点至关重要,这就是合同发挥作用的地方。如果有任何变化会影响你的供应商的风险状况,例如裁员影响其运营或削减非人力资源的预算,应该有明确的合同条款,要求云供应商有义务提醒你的团队,理想情况下,让你的团队有选择免费退出,包括退还未花费的资金。
安永负责网络安全的董事总经理布莱恩·莱文表示:“我看不出这么做有什么坏处。 (云供应商)会坚持到底吗?大概不会吧,他们很可能没有这样做的流程。为了诉讼的目的,有一个明示的条款总是比默示的条款更好。”
Sailpoint的CISO雷克斯·布斯(Rex Booth)同意这样的条款无伤大雅,但需要做出很多解释。他表示,一种更好的合同方法是,在合同中加入类似这样的条款:“如果你按照独立审计师的决定进行跳水,我们有权退出”,然而,布斯补充说,裁员并不一定意味着组织努力的减少。
新的数据主权令人头痛
很长一段时间以来,数据主权一直是一个关键的IT问题,但现在出现了许多企业可能没有预料到的特定于云的数据主权问题,例如,美国商务部在1月份提出了一项规则,禁止中国企业在美国云环境中培训其LLM模型。尽管这最初似乎只会影响中国企业,但Forrester首席分析师Lee Sustar认为,这很容易牵涉到美国企业——不仅是云计算公司,还有那些拥有为客户执行分析工作的部门的企业集团。
例如,如果一家中国公司聘请了一家美国人工智能公司,并付钱让他们在这家美国公司的云环境中培训各种LLM,那会怎么样?这会违反商业规则吗?更复杂的是,如果这家美国公司的客户设在比利时或澳大利亚怎么办?如果那家比利时公司的客户碰巧是一家中国公司怎么办?如果一家中国公司想要绕过这一规定,它很可能会通过多家非中国公司处理这一请求。
“现在你必须规划你的云工作负载,不仅要考虑第三方的风险,还要考虑第四方的风险”,他说。
安永的莱文建议首席信息官在谈判新的云协议时需要考虑的其他因素,一些云运营对记录其环境中发生的情况收取额外费用。如果云租户可以直接跟踪活动,这不是一个大问题,但他们不能,因此必须依赖云平台的日志。
“这是基本的,如果一家企业要为(云中发生的一切)负责,他们必须有相关日志才能负责,他们会把这些原木保存多久?”,莱文说。
在大范围紧急情况下的可扩展性
许多企业IT高管认为,云提供了近乎无限的可扩展性——这在数学上是不正确的。云营销对此没有帮助,它强烈地暗示——如果不是直接的承诺——无限的可扩展性。
大多数情况下,云的弹性为其宗旨提供了极高级别的可扩展性,然而,网络安全投资公司Team8的运营合伙人兼常驻CISO查尔斯·布劳纳表示,当紧急情况发生时,所有的赌注都会取消。布劳纳曾在花旗集团、德意志银行和摩根大通担任CISO。
BLauner指出,在9/11袭击期间,他多次尝试外包数据,但都以失败告终,他在2012年飓风桑迪和美国新冠疫情最初几周再次看到这种情况。“这只适用于第一批”将更多数据推向云端的公司。
企业希望能够“在危机期间恢复到云环境中,然后911事件发生了,所有人都同时宣布进入紧急状态。如果你不是第一批宣布这一消息的公司之一,(云服务供应商)会说,‘我们已经满了’”,布劳纳说。
BLauner说,解决方案是让CIO们建立他们的紧急最低生存产品(MVP)职位,他的意思是让企业识别他们最基本的服务——那些“你的客户离不开的服务”——这样,当紧急情况发生时,只有那些紧急服务才会转移到云中。如果所有企业都这样做,该行业就能挺过下一场危机。
例如,当BLauner在花旗工作时,MVP是国际资金转移。如果我们不保护这一点,我们可能会遭遇全球经济崩溃。在韩国,如果没有花旗,你就无法进行转账。“对于世界上的每一家公司来说,都有这样的事情。”
自身造成的安全风险和效率低下
Gartner云安全团队的高级主管分析师Charlie Winckless同意危机发生时的可扩展性是一个令人担忧的问题,但他认为IT领导者的典型解决方案正在形成一个不同的问题:通过与全球大量云环境达成协议来覆盖他们在云方面的赌注。
CIO认为,通过使用多个云提供商,他们认为它正在提高可用性,但事实并非如此。它所做的一切只是增加了复杂性,而复杂性一直是安全的敌人。“使用云提供商的区域要划算得多。”
咨询公司麦肯锡负责监管企业网络安全战略实践的合伙人里奇·伊森伯格认为,企业往往达不到云所承诺的财务和效率优势,因为它们不愿充分信任云环境的机制。
企业IT的“阻力”在于他们不信任云自动化和技术。他们希望自己的团队管理一切。Isenberg说,云包括云原生工具和自动化,但CIO仍然倾向于使用他们的团队的老式方法,这些高管“依赖于他们的安全和访问团队,他们从他们首选的供应商那里获得了他们的首选工具。”
这意味着许多云任务需要执行两次,这就是效率优势有时无法实现的原因。伊森伯格说,大多数IT高管“认为重大漏洞将威胁到他们的工作,但现实情况是,威胁是这些高管不是数字技术的先锋。”如果高管们“不接受云本地[工具]和自动化,那么,是的,这将成为别人的工作。”
如今,云在所有企业系统中的集成程度都很高,无论是IaaS、PaaS还是SaaS,云战略都需要成为默认假设。伊森伯格说:“无论你知道还是不知道,无论你想不想,你都会参与其中。”