多云环境中的风险管理.docxVIP

PAGE 1 PAGE 1 多云环境中的风险管理  随着企业越来越多地将运营业务转移到多个公共云，企业面临着不断变化的风险。企业必需学习如何在多云环境中管理风险。  如今，企业最有价值资产的性质已经演变。传统上，企业资产负债表上通常是有形资本和人力资本;现在，它是定义数字时代的应用资本，受到Facebook、亚马逊、优步等公司商业模式的启发，很多现代公司的价值越来越无形，并且存在于其应用和数据中。  随着价值概念的发展，保护价值所需的方法也在发展。现代企业正在管理复杂的IT资产，这些资产通常涉及IT架构和部署模型的混合，更多地依靠于多个基于云计算的数字服务。这些软件曾经被安置在企业的私有IT环境中，但现在正在成为“软件即服务”(SaaS)，虚拟化计算基础设施(IaaS)以及用于开发、运行和管理应用程序(PaaS)的平台进行管理。  获取这些服务为企业供应了更强大的基础，可以提高效率和卓越运营，并为新企业进行创新。调研机构IDC预估，到2020年，超过90%的企业将使用多种云计算服务和平台。“多云”为转变业务和增加员工和客户体验创造了战略需求。  在云平台运行应用程序，通常可以通过比企业独立管理更高的安全性得到加强，究竟，云计算供应商每年在基础设施和人才上花费大量资金来保证数据安全。随着向多云世界的转变，基本的网络安全假设正在发生变化。企业必需建立一个管理风险的框架，以探索多云环境可以供应的真正好处。  不断变化的风险格局  企业现在面临着巨大的IT风险。网络犯罪分子越来越复杂，他们使用各种策略来攻击企业数据——其中很多对黑客来说并不费劲，但对组织来说却带来了持续的苦痛和挫折。此类武器包括通过“僵尸网络”实现的自动攻击，可在短短15秒内激活，并占据网络攻击的77%(Verizon2017数据泄露调查报告)和分布式拒绝服务(DDoS)攻击，将对企业业务造成巨大损害。  对于企业来说，其后果可能是极端的。严重的经济损失有时会因企业声誉和利益相关者的信任造成无法弥补的损害而加剧，这个风险并不遥远。在2018年，近五分之一的公司遭遇了数据泄露行为，估计有50亿个凭证在数据泄露中被盗。  谈到公共云数据，网络罪犯并不是唯一的威逼。企业需要留意自己员工产生错误的风险。有一些值得留意的云计算资源配置错误，导致私人信息暴露在互联网上。在共同责任模式下，防范这一点的责任在于客户而不是云计算服务供应商。  获得应用程序的可见性和掌握  为了确保基于公共云的应用程序和数据的使用安全，企业面临的一个主要问题是可见性。很多企业仍旧不清晰自己在云计算中的消费量。据估计，一般大型企业使用大约730个单独的云计算服务和功能。企业员工了解如何使用云计算可以帮助降低风险，使他们能够更好地将资源导向最易受攻击的领域。  实现这一目标的方法不在技术层面，而在人员层面。假如IT安全团队不知道应用程序正在被使用，他们就不能采取行动来保护应用程序。不同部门的员工可以轻松地启动应用程序，但假如从一开始就不涉及IT，可能会暴露出漏洞。为了将使用不可信服务的风险降到最低，IT部门可以为首选供应商制定企业范围的政策，并鼓舞员工采用该服务。  一个常见的例子是使用Dropbox等基于云计算的存储应用程序。假如IT团队知道用户需要此服务，他们可以设置企业许可证、安装访问过程，并采取措施来降低风险。假如用户不参与其中，而是开设一个免费帐户，然后使用该帐户存储敏感数据，则会面临一系列风险，从拥有登录凭据的人员到在云计算服务器上拥有数据的人员。  需要治理协议  多云的安全使用需要强大的治理协议。可以理解的是，很多企业都在努力快速修改其政策和程序，以跟上员工采用新的云计算功能的步伐。强大的治理需要全面了解组织的云计算网络，包括业务消费、如何添加新服务、风险缓解系统，以及数据和隐私政策和流程。  然而，没有专业学问就无法开展治理。因此，企业需要专注于整个业务的培训和意识建设，以提高对如何安全使用多个云计算服务的理解。简而言之，为了使治理有效，安全性需要嵌入到组织文化中。  保护企业免受新威逼  多云架构是指允许员工无缝地访问他们实现业务目标所需的一系列服务。这是关于转变内部IT的运作方式，朝着消费“即服务”的方向发展，并让工具以安全和可持续的方式跨云平台进行设计。  公共云的创新正在以惊人的速度进行，因此随着技术世界的发展，企业必需做好重新评估决策的预备。在这种快速变化的背景下，创建每隔几年重新审查的长期IT战略不太可能有效。相反，组织应当在源代码中嵌入安全性，强调管理多云环境的技术掌握和人员。  最重要的是要重视可视性、