雲計算風險的三個必知內容

雲計算的高速發展也為試圖重新聚焦關鍵業務目標的企業帶來了許多利好，例如提高產品上市的速度、增加企業競爭的優勢以及降低資本和/或運行的開支等等。

通常來說，對諸如軟體即服務(SaaS)或基礎設施即服務(IaaS)的雲計算技術進行投資就能夠降低對企業內部傳統資訊技術部門的服務需求。 而由企業營業單位管理(例如培訓、人力資源、工資和醫療管理等)的服務也會隨著雲計算的應用而逐步減少。

雖然投資資本與運營運行的成本有所降低，但是由於黑暗網路中資訊經紀人的興起雲計算的風險也有所增加。 這些惡意的組織會交易和銷售包括個人身份、金融資訊乃至智慧財產權在內的所有資訊。

從傳統意義上來說，只有保存在公司內部的資訊才是安全的，因此實施雲計算必然會加劇資訊洩露的風險。 此外，那些專門從事資訊仲介業務的人士也讓雲計算供應商成為了他們的目標，因為他們非常瞭解他們所控制寶庫的相關資訊。 為了管理好雲計算風險，首先瞭解風險到底是什麼將是非常重要的。

雲計算風險的來龍去脈

所謂風險，也就是指我們不希望發生的事件發生的概率。 在資訊安全領域，風險就是一個惡意或非惡意暴露機密資訊事件、或威脅資料一致性以及干擾系統和資訊可用性事件發生的概率。 任何接入互聯網的組織都處於風險之中，他們都應考慮黑暗網路的彈性特性和擴展私有雲計算和公共雲計算網路的能力。 資料交換有合法的和非法的，而一家企業的互聯網接入就為合法的資料交換(例如電子郵件、VPN以及FTP等)以及諸如惡意軟體、資訊收集和竊聽等敵對性的資料交換提供了的資訊傳輸回路。

敵對資料交換並不是一家組織或者甚至個人所希望進行的資料交換。 通常情況下，其結果就是等待恢復的停機時間、收入損失、資料丟失、影響人力資本以及相關名譽受損。 如果某個組織是一個受管制行業中的一員，那麼這個組織就有可能由於發生敵對事件的原因而受到處罰。 即便企業沒有受到相關處罰，但是他們也無法承受因發生安全事件醜聞而造成客戶流失和商業合作夥伴失去信心這樣的嚴重後果。

一直以來，雲計算所宣導的就是：我們可以做得更好，更便宜。 你來關注你的核心業務問題，而我們來更具成本效益地管理你的技術並保護你的資料。 雖然這有可能是真的，但是雲計算供應商也與其他企業面臨著相同的挑戰。 鑒於其特殊的業務模式，雲計算供應商可能比一家典型企業面臨著更多的挑戰。 例如，雲計算供應商可能會迎合一個利基行業，如信用卡業。 如果大家都知道這家雲計算供應商掌握了所有客戶持有的信用卡資訊，那麼它也就會成為黑暗資訊經紀人的目標。 資訊經紀人會兜售客戶身份或信用卡或者製造偽造的信用卡，而一個成功的駭客可能會從中受益。

雲計算供應商的風險還存在於使用雲計算服務的客戶中。 無論客戶的物理、邏輯和虛擬隔離和細分的量有多少，雲計算基礎設施都共用了共同的能源、硬體、應用程式以及網路資源。 當雲計算服務供應商提供SaaS服務時，它會信任企業使用者並讓使用者自己確保其使用者ID和密碼的安全性。 與之類似，用於訪問SaaS的計算資源也必須是安全的。 如果企業使用者遭到入侵，諸如使用者ID和密碼等資訊被洩露，那麼一個經驗豐富的資訊收集者就有可能會憑此訪問SaaS應用程式並確定訪問其他客戶資料的方法。 頃刻之間，其它企業使用者的雲計算環境的保密性、完整性以及可用性都岌岌可危了。

最後的風險就存在於雲計算供應商及其技術專業的水準了。 供應商們必須接受風險轉移，並理解和遵守相關規定。 他們也面臨著與其他所有企業相同的挑戰，其中尤其是吸引和留住人才。 當人力資本不再是雲計算供應商成功吸引和留住人才的主要因素時，整個雲計算環境就有可能由於一個蟻穴而崩潰。 缺乏可擴充性、無法提供豐富的功能集或者無法提供足夠的安全性和私密性保障都會影響雲計算供應商吸引和留住客戶的能力。

風險轉移是雲計算的一個組成部分，因為供應商必須以合同協定的形式承諾提供一定的服務水準。 該服務的一部分涉及到確保資訊資產的安全性。 如果由於雲計算供應商未能對行業最佳實踐和法規開展盡職的調查而發生相關惡性事件，那麼它就應負責通知受事件影響的相關人員並展開訴訟行動。 一家雲計算供應商必須做好準備通過審核和認證，以確認其雲計算基礎設施將仍然保持可用性和安全性。 它還必須為回應安全事件而做好準備。 即便他們的初衷是良好的，但是諸如零日漏洞攻擊這樣的事件還是會發生，並滲透到最佳安全架構中。

同樣，瞭解必要的法規也是非常重要的。 出於隱私性方面的考慮，金融誠信和國家安全性群組織通常至少必須遵守一項規定。 大多數的組織都會有多個規定需要遵守。 以下，讓我們來看看一個管理信用卡資料的全國性組織的例子。 這家組織必須遵守聯邦政府的要求以及那些可能比聯邦法律更為嚴格的特定地區法規。 而全球性組織則還需增加一層複雜性，即他們必須遵守美國的法規以及他們開展業務的所在國家的國際性法規。 雲計算供應商們必須在理解法規以及如何遵守法規方面有大的投入，因為他們的違規也意味著企業使用者的違規，而他們有為他們的客戶和法規提供合規性保障的最終責任。

風險的三項內容

業務專家理解和接受與雲計算客戶和雲計算供應商相關的風險。 無論你擔任了什麼樣的角色，要管理什麼樣不想要發生的潛在事件，都必須實施風險管理。 在雲計算關係的特定情況下，雙方的風險管理工作都是必要的，其中企業使用者和雲計算供應商都必須擁有成熟的風險管理計劃。 成熟度是通過一個有管理、有週期性報告以及維持低風險狀態定量證據的計畫來證明的。

而風險管理則是通過三個內容來實現的：風險識別、風險評估以及風險控制。

• 風險識別——企業使用者必須明確通過雲計算投資引入的各種風險。 這就能夠讓企業確保在雲計算服務採購過程中務必執行必要的業務控制措施。 此外，還應創建和/或更新合適的過程以支援由於雲計算相關停用而造成的中斷事件。

雲計算供應商必須識別風險以確定它最好能夠提供哪些雲計算服務。 一些供應商可能會確定他們更喜歡服務某個特定的行業，因此而成為一個利基供應商，從而減少監管環境。 為各種行業的使用者提供雲計算服務所帶來的風險可能會過高。

• 風險評估——一家企業使用者必須瞭解它的哪些資產價值過高而不能冒把它們外包給協力廠商服務供應商的風險。 相反，當協力廠商供應商的專業人士能夠管理和保護好資料時，此舉可有助於企業使用者認識到協力廠商供應商能夠提供更好的服務並保護目標的豐富資產。

• 風險控制——一旦風險已通過識別、評估並進行了量化，我們就可以選擇合適的控制措施以便於進行風險控制。 在雲計算模式中，這是一個需要雲計算客戶和供應商共同分擔的責任，因此他們雙方應具有互補的風險管理程式。 為雲計算供應商的應用程式控制設定期望是雲計算使用者的責任。 而作為雲計算供應商，他們應當根據使用者的期望來確保控制措施的實施與維護，並為服務等級協定和合規性需求控制提供認證。

對於一些人來說，雲計算是有風險的，因為他們認為企業使用者需要把企業的資產託付給協力廠商進行照顧、維護以及保護。 但是，鑒於雲計算技術在諸如醫療保健、電子商務以及政府管理等領域已得到的高度認可，大家都希望它能夠繼續保持作為一個降低成本和簡化業務運行的外包技術的特色。 使用雲計算的第一步就是要瞭解其風險以及應如何進行風險管理。