企业如何正确理解云计算的风险?
理解云计算的风险所在是保护以云计算为中心的企业的关键。在本文中,Ravila Helen White解释了云计算风险的三个必知内容。
云计算的高速发展也为试图重新聚焦关键业务目标的企业带来了许多利好,例如提高产品上市的速度、增加企业竞争的优势以及降低资本和/或运行的开支等等。
通常来说,对诸如软件即服务[注](SaaS[注])或基础设施即服务[注](IaaS[注])的云计算技术进行投资就能够降低对企业内部传统信息技术部门的服务需求。而由企业业务部门管理(例如培训、人力资源、工资和医疗管理等)的服务也会随着云计算的应用而逐步减少。
虽然投资资本与运营运行的成本有所降低,但是由于黑暗网络中信息经纪人的兴起云计算的风险也有所增加。这些恶意的组织会交易和销售包括个人身份、金融信息乃至知识产权在内的所有信息。
从传统意义上来说,只有保存在公司内部的信息才是安全的,因此实施云计算必然会加剧信息泄露的风险。此外,那些专门从事信息中介业务的人士也让云计算供应商成为了他们的目标,因为他们非常了解他们所控制宝库的相关信息。为了管理好云计算风险,首先了解风险到底是什么将是非常重要的。
云计算风险的来龙去脉
所谓风险,也就是指我们不希望发生的事件发生的概率。在信息安全领域,风险就是一个恶意或非恶意暴露机密信息事件、或威胁数据一致性以及干扰系统和信息可用性事件发生的概率。任何接入互联网的组织都处于风险之中,他们都应考虑黑暗网络的弹性特性和扩展私有云[注]计算和公共云计算网络的能力。数据交换有合法的和非法的,而一家企业的互联网接入就为合法的数据交换(例如电子邮件、VPN以及FTP等)以及诸如恶意软件、信息收集和窃听等敌对性的数据交换提供了的信息传输回路。
敌对数据交换并不是一家组织或者甚至个人所希望进行的数据交换。通常情况下,其结果就是等待恢复的停机时间、收入损失、数据丢失、影响人力资本以及相关名誉受损。如果某个组织是一个受管制行业中的一员,那么这个组织就有可能由于发生敌对事件的原因而受到处罚。即便企业没有受到相关处罚,但是他们也无法承受因发生安全事件丑闻而造成客户流失和商业合作伙伴失去信心这样的严重后果。
一直以来,云计算所倡导的就是:我们可以做得更好,更便宜。你来关注你的核心业务问题,而我们来更具成本效益地管理你的技术并保护你的数据。虽然这有可能是真的,但是云计算供应商也与其他企业面临着相同的挑战。鉴于其特殊的业务模式,云计算供应商可能比一家典型企业面临着更多的挑战。例如(+微信关注网络世界),云计算供应商可能会迎合一个利基行业,如信用卡业。如果大家都知道这家云计算供应商掌握了所有客户持有的信用卡信息,那么它也就会成为黑暗信息经纪人的目标。信息经纪人会兜售客户身份或信用卡或者制造伪造的信用卡,而一个成功的黑客可能会从中受益。
云计算供应商的风险还存在于使用云计算服务的客户中。无论客户的物理、逻辑和虚拟隔离和细分的量有多少,云计算基础设施都共享了共同的能源、硬件、应用程序以及网络资源。当云计算服务供应商提供SaaS服务时,它会信任企业用户并让用户自己确保其用户ID和密码的安全性。与之类似,用于访问SaaS的计算资源也必须是安全的。如果企业用户遭到入侵,诸如用户ID和密码等信息被泄露,那么一个经验丰富的信息收集者就有可能会凭此访问SaaS应用程序并确定访问其他客户数据的方法。顷刻之间,其它企业用户的云计算环境的保密性、完整性以及可用性都岌岌可危了。