戳藍字“CSDN云計算”關注我們哦！作者 |?Bruce Harpham
轉自 ｜ INSIDER責編 | 阿禿
云服務時代已經來臨，且企業也正在積極的擁抱云技術。之前的云服務僅限于簡單的存儲或者聯系人管理，而現在，像ERP這樣的企業核心服務也開始遷移上云。隨著越來越多的基本服務轉向云，關注當今云環境中固有的風險以及采取預防措施就顯得尤為重要。

那作為IT領導者，可以通過那些手段來評估和緩解云風險呢？
第一，評估企業對云風險的適應能力。
在銀行業，人們常常通過設置風險適應能力來指導組織決策。舉例來說，保險的風險適應能力可能會導致銀行減少利潤豐厚，但貸款“刀口舔血”式的風險適應能力或許會在繁盛時期帶來高收益。有利必有弊，下次危機來臨，銀行可能就會遭受重創。


從IT管理員的角度來說，企業的風險適應能力將會影響運維在盡職調查、持續監控以及投資降低風險措施方面的意愿。例如，運維可能會設置一個層級風險緩解法，從而最大化利用手頭有限的資源。
第一級的云服務失敗風險可以通過員工（比如設置一個專門的關系經理）、定期測試和花錢服務商支持服務來避免。第二，重新審視企業的云使用文化。云供應商一向喜歡強調其易用性和靈活性。企業一旦體驗到云的易用性，就很難再回到過去，繼續維護自己老舊的基礎設施。不過若是對云服務漫不經心，很有可能帶來其他風險。
AvePoint公司產品戰略副總裁John Hodges曾評論：“問題的關鍵在于,云服務經常鼓勵企業‘隨意使用’數據；企業可以在任何地方收集、搜索和存儲任何東西。我們經常在Box、DropBox和OneDrive等系統中看到這種情況,在內容存儲和共享方面確實存在混合使用的危險。”然而,簡單粗暴地禁止混合使用,也可能帶來各種問題。

杜絕使用高風險云服務在一定程度上有所幫助，但并不能從根本上解決問題。Hodges解釋道：“對于企業提供的帳戶,例如Slack渠道或者Microsoft Teams以及其他系統,用戶總是采取最簡單直接的辦法——數據共享。其實這種行為是極可能不符合數據共享的記錄保留政策或者限制。”。

所以一旦接到訴訟或者類似的調查,那和記錄保留政策有出入的應用就讓企業頭疼不已了。

第三，使用零信任模型來降低風險。

零信任是一種IT安全策略,企業要求防護周界內部和外部的每一名用戶、系統或者設備在連接到其系統之前都要進行驗證和認證。怎樣使用零信任模型來降低云風險呢?

對從事財產和意外保險服務和軟件的企業Insurity來說，零信任意味著限制極為嚴格的訪問。其首席信息官Jonathan Victor介紹：

“我們為對少數用戶提供滿足基本工作需求的最小權限和特權邏輯訪問權限，這種機制是經過我們企業內部審核的,也是我們年度SOC外審的一部分。”定期檢查用戶訪問級別,并自查一下這是否合理。事實證明，企業并不需要數十個具有管理訪問權限的用戶，每名超級用戶都會增加額外的風險。

第四，汲取失敗的教訓。

研究與云有關的失敗案例，從中汲取教訓，這有助于降低云風險。JetStream軟件公司的聯合創始人兼總裁Rich Petersen說：“我們關注的是數據是否丟失，所以我們從一些事件中學到了重要的經驗教訓。例如，2017年8月Meraki本地系統未能按照設計要求把數據備份到云服務中，最終導致數據丟失。”

思科也承認，云配置錯誤導致了數據丟失,從而導致工作效率下降。正如Register所報道，“Meraki公司犯下了如此重大的錯誤，更重要的是，缺乏修復這種偶發事件的數據保護工具，嚴重影響了企業聲譽。”

第五，重新考慮使用手動和自動云混合管理策略。

自動化、虛擬助理和數據處理不僅能夠幫助企業銷售更多的產品,而且還能夠管理他們的云服務。對于Barracuda網絡公司,自從云開始自動化流程以來,大幅縮減了人力成本。

Barracuda網絡公司數據保護平臺戰略總監Greg Arnette說：“我們已經放棄了人工安全檢查,開始采取自動掃描。因為越來越多的威脅，迫使我們時刻都要保持警惕,以確保系統的完整性和數據保護機制符合要求。”

使用自動化工具檢測云中的問題,并將配置進行標準化，員工可以把更多的時間集中在處理復雜問題上,例如培養并管理好與云提供商的關系。

即便如此,當涉及到降低云風險時,轉移到自動化也還是有很大的局限性。畢竟,企業不可能做到自動對云提供商進行風險評估。

第六，針對供應商最敏感的審核問題提出解決方法。

企業是否有權審核云供應商是一個熱門話題。如果簽署的合同和協議缺少這一條款，一旦發生意外，企業必會感到束手束腳。

UpperEdge項目執行咨詢業務負責人Ted Rogers說：“關于審核，很多云提供商正在反過來給企業施壓,不允許企業擁有審核他們的數據中心及其流程、程序和安全措施的權利。”因為他們不愿意讓第三方進行審核。相反，供應商聲稱自己是合規的，因為如果他們不這樣做，將可能會因為合同之外的其他原因而陷入麻煩，比如泄露事件。

一種解決方案是批判性地評估由云供應商開發的審核方法。Rogers建議使用以下替代方案：“訪問云提供商的審核文檔。具體來說，就是看他們是否已經參考臉書在數據隱私方面遇到的困難進行了改進。某些云提供商表示，他們只是數據處理器。他們聲稱，自己不接觸數據、也不會泄露數據。”這就引出了一個問題：如何知道提供商是否遵守了他們的承諾？

事實上，即使云提供商不愿意把審核權提供給企業,仍然有辦法來降低這種風險。企業可以要求更全面的報告，并強調要提供主要風險指標。同時要求企業的內部審核部門在討論合同時發表意見。

第七，反思避險作為一種風險緩解策略。

攻擊和安全并不是唯一要考慮的風險，落后也是需要考慮的風險之一。

畢馬威的網絡安全服務美國地區負責人Tony Buffomante評論說：“對我們那些不太成熟的客戶來說，關鍵的風險并不是積極地去追求云轉型和服務。云不僅是一種新技術,同樣也改變了很多行業的運營模式，使其業務變得更靈活、更具競爭力。”

另外，很少有企業有建立數據中心的預算或意愿。他們也不愿意自己開發所有的軟件，并建設本地基礎設施。顯然，IT能力較弱的公司受益于大型云提供商的風險管理能力更為明顯。

ACL首席技術官Keith Cerny說：“根據我們的經驗，像亞馬遜、微軟和谷歌這種大規模的云提供商自身有能力提供安全的IT環境，讓本地和數據中心配置相形見絀。我們還堅信，回避云計算會給我們的業務帶來重大風險。最直觀的表現是，一個設計良好的云環境在某種程度上滿足了安全、隱私和可用性需求,而這是我們無法通過其他手段能夠實現的。2016年，我們總部搬新時,深刻意識到業務不中斷，為我們帶來的重要優勢。員工可以使用我們的云服務遠程工作,從而實現無縫過渡。”

通過數據管理降低成本誘惑固然可以理解，但是從短期來看，最終可能導致企業長期花費更多成本。在此，誠摯建議企業根據自身需要制定正確的策略，大幅降低云風險。

?

???特邀各路大大免費入駐CSDN啦，除云計算相關書籍免費贈送外，還有海量福利奧～詳情戳?下方圖片，么么噠～

福利掃描添加小編微信，備注“姓名+公司職位”，入駐【CSDN博客】，加入【云計算學習交流群】，和志同道合的朋友們共同打卡學習！

推薦閱讀：

• 【建議收藏】數據中心服務器基礎知識大全
  
• 博文強識｜支付寶 App 是如何建設移動 DevOps 的？
  

• 不服！身邊程序員同事竟說自己敲代碼速度快！Ctrl+C、Ctrl+V ？
  

• 如何解決多機房、多網絡下的物聯網部署方案？
  

• 從4個維度深度剖析閃電網絡現狀，在CKB上實現閃電網絡的理由 | 博文精選

• 華為印度主管稱準備與該國簽署“無后門”協議；蘋果回應向騰訊傳輸數據；Google 宣布將 AMP 項目交給 OpenJS ……
  

真香，朕在看了！

總結

以上是生活随笔為你收集整理的【终于等到你】7种策略解除云风险警报的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。