很遺憾,因您的浏覽器版本過低導緻無法獲得最佳浏覽體驗,推薦下載安裝谷歌浏覽器!

雲唯IT培訓,關于雲計算風險來源及如何管理?

2018-06-19  來自: 雲計算培訓 浏覽次數:435

雲計算的高速發展為試圖重新聚焦關鍵業務目标的企業帶來了許多利好,例如提高産品上市的速度、增加企業競争的優勢以及降低資本和/或運行的開支等等。

來源:西部數碼

雲計算的高速發展為試圖重新聚焦關鍵業務目标的企業帶來了許多利好,例如提高産品上市的速度、增加企業競争的優勢以及降低資本和/或運行的開支等等。

通常來說,對諸如軟件即服務(SaaS)或基礎設施即服務(IaaS)的雲計算技術進行投資就能夠降低對企業内部傳統信息技術部門的服務需求。而由企業業務部門管理(例如培訓、人力資源、工資和醫療管理等)的服務也會随着雲計算的應用而逐步減少。

22

雖然投資資本與運營運行的成本有所降低,但是由于黑暗網絡中信息經紀人的興起雲計算的風險也有所增加。這些惡意的組織會交易和銷售包括個人身份、金融信息乃至知識産權在内的所有信息。

從傳統意義上來說,隻有保存在公司内部的信息才是安全的,因此實施雲計算必然會加劇信息洩露的風險。此外,那些專門從事信息中介業務的人士也讓雲計算供應商成為了他們的目标,因為他們非常了解他們所控制寶庫的相關信息。為了管理好雲計算風險,首先了解風險到底是什麼将是非常重要的。

雲計算風險的來龍去脈

所謂風險,也就是指我們不希望發生的事件發生的概率。在信息安全領域,風險就是一個惡意或非惡意暴露機密信息事件、或威脅數據一緻性以及幹擾系統和信息可用性事件發生的概率。任何接入互聯網的組織都處于風險之中,他們都應考慮黑暗網絡的彈性特性和擴展私有雲計算和公共雲計算網絡的能力。數據交換有合法的和非法的,而一家企業的互聯網接入就為合法的數據交換(例如電子郵件、VPN以及FTP等)以及諸如惡意軟件、信息收集和竊,聽等敵對性的數據交換提供了的信息傳輸回路。

敵對數據交換并不是一家組織或者甚至個人所希望進行的數據交換。通常情況下,其結果就是等待恢複的停機時間、收入損失、數據丢失、影響人力資本以及相關名譽受損。如果某個組織是一個受管制行業中的一員,那麼這個組織就有可能由于發生敵對事件的原因而受到處罰。即便企業沒有受到相關處罰,但是他們也無法承受因發生安全事件醜聞而造成客戶流失和商業合作夥伴失去信心這樣的嚴重後果。

一直以來,雲計算所倡導的就是:我們可以做得更好,更便宜。你來關注你的核心業務問題,而我們來更具成本效益地管理你的技術并保護你的數據。雖然這有可能是真的,但是雲計算供應商也與其他企業面臨着相同的挑戰。鑒于其特殊的業務模式,雲計算供應商可能比一家典型企業面臨着更多的挑戰。例如,雲計算供應商可能會迎合一個利基行業,如信用卡業。如果大家都知道這家雲計算供應商掌握了所有客戶持有的信,用卡信息,那麼它也就會成為黑暗信息經紀人的目标。信息經紀人會兜售客戶身份或信用卡或者制造僞,造的信用卡,而一個成功的黑客可能會從中受益。

雲計算供應商的風險還存在于使用雲計算服務的客戶中。無論客戶的物理、邏輯和虛拟隔離和細分的量有多少,雲計算基礎設施都共享了共同的能源、硬件、應用程序以及網絡資源。當雲計算服務供應商提供SaaS服務時,它會信任企業用戶并讓用戶自己确保其用戶ID和密碼的安全性。與之類似,用于訪問SaaS的計算資源也必須是安全的。如果企業用戶遭到入侵,諸如用戶ID和密碼等信息被洩露,那麼一個經驗豐富的信息收集者就有可能會憑此訪問SaaS應用程序并确定訪問其他客戶數據的方法。頃刻之間,其它企業用戶的雲計算環境的保密性、完整性以及可用性都岌岌可危了。

最後的風險就存在于雲計算供應商及其技術專業的水平了。供應商們必須接受風險轉移,并理解和遵守相關規定。他們也面臨着與其他所有企業相同的挑戰,其中尤其是吸引和留住人才。當人力資本不再是雲計算供應商成功吸引和留住人才的主要因素時,整個雲計算環境就有可能由于一個蟻穴而崩潰。缺乏可擴展性、無法提供豐富的功能集或者無法提供足夠的安全性和私密性保障都會影響雲計算供應商吸引和留住客戶的能力。

風險轉移是雲計算的一個組成部分,因為供應商必須以合同協議的形式承諾提供一定的服務水平。該服務的一部分涉及到确保信息資産的安全性。如果由于雲計算供應商未能對行業最佳實踐和法規開展盡職的調查而發生相關惡性事件,那麼它就應負責通知受事件影響的相關人員并展開訴訟行動。一家雲計算供應商必須做好準備通過審核和認證,以确認其雲計算基礎設施将仍然保持可用性和安全性。它還必須為響應安全事件而做好準備。即便他們的初衷是良好的,但是諸如零日漏洞攻擊這樣的事件還是會發生,并滲透到最佳安全架構中。

同樣,了解必要的法規也是非常重要的。出于隐私性方面的考慮,金融誠信和國家安全組織通常至少必須遵守一項規定。大多數的組織都會有多個規定需要遵守。以下,讓我們來看看一個管理信用卡數據的全國性組織的例子。這家組織必須遵守聯邦政府的要求以及那些可能比聯邦法律更為嚴格的特定地區法規。而全球性組織則還需增加一層複雜性,即他們必須遵守美國的法規以及他們開展業務的所在國家的國際性法規。雲計算供應商們必須在理解法規以及如何遵守法規方面有大的投入,因為他們的違規也意味着企業用戶的違規,而他們有為他們的客戶和法規提供合規性保障的最終責任。

風險管理的三項内容

業務專家理解和接受與雲計算客戶和雲計算供應商相關的風險。無論你擔任了什麼樣的角色,要管理什麼樣不想要發生的潛在事件,都必須實施風險管理。在雲計算關系的特定情況下,雙方的風險管理工作都是必要的,其中企業用戶和雲計算供應商都必須擁有成熟的風險管理計劃。成熟度是通過一個有管理、有周期性報告以及維持低風險狀态定量證據的計劃來證明的。

而風險管理則是通過三個内容來實現的:風險識别、風險評估以及風險控制。

風險識别——企業用戶必須明确通過雲計算投資引入的各種風險。這就能夠讓企業确保在雲計算服務采購過程中務必執行必要的業務控制措施。此外,還應創建和/或更新合适的過程以支持由于雲計算相關停用而造成的中斷事件。

雲計算供應商必須識别風險以确定它最,好能夠提供哪些雲計算服務。一些供應商可能會确定他們更喜歡服務某個特定的行業,因此而成為一個利基供應商,從而減少監管環境。為各種行業的用戶提供雲計算服務所帶來的風險可能會過高。

風險評估——一家企業用戶必須了解它的哪些資産價值過高而不能冒把它們外包給第三方服務供應商的風險。相反,當第三方供應商的專業人士能夠管理和保護好數據時,此舉可有助于企業用戶認識到第三方供應商能夠提供更好的服務并保護目标的豐富資産。

風險控制——一旦風險已通過識别、評估并進行了量化,我們就可以選擇合适的控制措施以便于進行風險控制。在雲計算模式中,這是一個需要雲計算客戶和供應商共同分擔的責任,因此他們雙方應具有互補的風險管理程序。為雲計算供應商的應用程序控制設定期望是雲計算用戶的責任。而作為雲計算供應商,他們應當根據用戶的期望來确保控制措施的實施與維護,并為服務等級協議和合規性需求控制提供認證。

對于一些人來說,雲計算是有風險的,因為他們認為企業用戶需要把企業的資産托付給第三方進行照顧、維護以及保護。但是,鑒于雲計算技術在諸如醫療保健、電子商務以及政府管理等領域已得到的高度認可,大家都希望它能夠繼續保持作為一個降低成本和簡化業務運行的外包技術的特色。使用雲計算的第一步就是要了解其風險以及應如何進行風險管理。

關鍵詞: 雲計算培訓   雲計算實訓   IT培訓   IT實訓  

雲唯IT實訓 一家對結果負責的IT定崗實訓機構  專注雲計算培訓、大數據培訓的高新IT人才培訓基地

【0基礎 0費用 IT培訓 名企名師 高薪就業】隻專注在IT雲計算培訓,大數據培訓領域。


版權所有Copyright 2014 - 2019

技術支持:北京IT雲計算培訓 網站地圖 XML

本站關鍵字: IT培訓 雲計算培訓 大數據培訓 Web前端培訓 大數據營銷培訓


掃一掃訪問移動端