全球范圍內(nèi)的CrowdStrike宕機事件顯示了當(dāng)IT運營依賴單一供應(yīng)商時所面臨的風(fēng)險。重新考慮你企業(yè)的云集中風(fēng)險容忍度，并制定相應(yīng)的策略。

上周CrowdStrike有缺陷的內(nèi)容更新影響了數(shù)百萬Microsoft Windows終端，恢復(fù)工作可以說是一項重大任務(wù)。

這次中斷將企業(yè)、云服務(wù)提供商和關(guān)鍵基礎(chǔ)設(shè)施提供商置于危險境地，并引起了人們對CrowdStrike市場份額主導(dǎo)地位的關(guān)注，據(jù)估計，其占據(jù)了端點檢測和響應(yīng)(EDR)市場的24%。

這一領(lǐng)先地位和持續(xù)推動的平臺化數(shù)據(jù)安全方法是CrowdStrike入選CSO十大最強網(wǎng)絡(luò)安全公司名單的主要原因，但此次中斷事件也引發(fā)了對企業(yè)云戰(zhàn)略的質(zhì)疑，并重新引發(fā)了對過度授權(quán)軟件的討論，因為IT領(lǐng)導(dǎo)者在災(zāi)難性事件中尋找經(jīng)驗教訓(xùn)。

這也突顯了集中風(fēng)險的弊端。

什么是集中風(fēng)險?

CrowdStrike被業(yè)界許多人認(rèn)為是EDR和反惡意軟件保護(hù)市場中的“金標(biāo)準(zhǔn)”，其Falcon解決方案在每個終端設(shè)備上部署一個代理程序，持續(xù)監(jiān)控并響應(yīng)勒索軟件和惡意軟件等網(wǎng)絡(luò)威脅，這種基于代理的方法以及CrowdStrike快速響應(yīng)內(nèi)容驗證過程中存在的缺陷，是許多企業(yè)不得不解決的藍(lán)屏死機(BSOD)問題的核心原因。

隨著企業(yè)將系統(tǒng)重新上線，IT領(lǐng)導(dǎo)團隊必然會面臨有關(guān)其受影響程度以及真正暴露在這類事件中的問題。盡管近年來努力增加彈性，但在CrowdStrike事件后，所有人都將感到比以前更脆弱。

展望未來，IT領(lǐng)導(dǎo)者必須更加關(guān)注“集中風(fēng)險”以及如何更好地管理這些供應(yīng)鏈風(fēng)險。

正如金融行為監(jiān)管局(FCA)所指出的，集中風(fēng)險定義為：“由企業(yè)與單一客戶或一組關(guān)聯(lián)客戶之間的關(guān)系強度或范圍所帶來的風(fēng)險，或直接暴露于單一客戶或一組關(guān)聯(lián)客戶的風(fēng)險?！?/p>

用通俗的話來說，這就像把所有的雞蛋放在一個籃子里。我們應(yīng)該預(yù)期這個簡單的定義會被應(yīng)用，并且會受到監(jiān)管機構(gòu)的關(guān)注。我這么說是因為我最近與其他CISO和監(jiān)管機構(gòu)進(jìn)行了會面，他們表達(dá)了對集中風(fēng)險日益增加的擔(dān)憂。

即將出臺的監(jiān)管措施

監(jiān)管機構(gòu)會注意到所謂的“全球最大IT中斷”，并且他們將面臨采取措施防止類似情況再次發(fā)生的壓力。一旦塵埃落定，我預(yù)計不斷增加的云集中風(fēng)險將成為重要目標(biāo)。

大多數(shù)企業(yè)在向公有云遷移的過程中不斷取得進(jìn)展，多個大型機構(gòu)采用了“云優(yōu)先”的口號，這些轉(zhuǎn)型通常從單一云提供商開始，并逐漸根據(jù)具體用例和數(shù)據(jù)主權(quán)要求引入額外的云提供商。

云集中風(fēng)險現(xiàn)在出現(xiàn)在這些企業(yè)依賴單一云服務(wù)提供商(CSP)滿足所有關(guān)鍵業(yè)務(wù)需求時。在這種情況下，企業(yè)不再依賴自己的數(shù)據(jù)中心，而是將所有數(shù)據(jù)存儲、所有應(yīng)用運行在單一的云基礎(chǔ)設(shè)施上。

當(dāng)出現(xiàn)像CrowdStrike中斷這樣單一的事件時，云集中風(fēng)險就完全顯現(xiàn)出來，這種情況會使企業(yè)的整個運營陷入癱瘓。隨著企業(yè)越來越依賴相同的應(yīng)用程序和云提供商，這種情況在大規(guī)模上可能是災(zāi)難性的，正如我們在CrowdStrike事件中所見，這種情景還擴展到安全漏洞和其他可能對國家和行業(yè)產(chǎn)生系統(tǒng)性影響的事件。

來自UNSW網(wǎng)絡(luò)研究所(IFCYBER)的Matt Ryan博士解釋說，“在重大技術(shù)中斷事件期間，大型金融機構(gòu)將發(fā)現(xiàn)很難簡單地從一個云服務(wù)提供商轉(zhuǎn)向另一個，因為建立這種彈性的成本對于大多數(shù)商業(yè)企業(yè)來說實在太高?！?/p>

盡管如此，我們必須采取行動。

采用多云戰(zhàn)略

為了避免云集中風(fēng)險的危險，采用多云戰(zhàn)略至關(guān)重要，在這種戰(zhàn)略下，業(yè)務(wù)工作負(fù)載分布在多個云提供商之間。多云戰(zhàn)略的實施意味著當(dāng)一個提供商出現(xiàn)問題時，你在其他云中的運營可以繼續(xù)運行。

另一種選擇是采用混合云方法，結(jié)合私有云和公有云，這使你能夠更好地控制專有和敏感數(shù)據(jù)，同時仍然享受公有云的可擴展性。

但是，無論是多云還是混合云，這兩種方法都會帶來更多的復(fù)雜性和挑戰(zhàn)，如果管理不當(dāng)，可能會影響彈性。不幸的是，多供應(yīng)商的復(fù)雜性可能導(dǎo)致事件和新的風(fēng)險，包括云配置錯誤和故障排除的困難。

對于CIO來說，這些方法增加了供應(yīng)商的復(fù)雜性，需要跨不同的服務(wù)級別協(xié)議(SLA)和支持流程進(jìn)行管理。FinOps將需要實施，以管理多云環(huán)境中各個云提供商的成本以及合同。內(nèi)部來說，CIO必須管理這些云供應(yīng)商的安全策略，以及云提供商自身使用的任何第三方。

你的集中風(fēng)險容忍度是多少?

展望未來，了解你們企業(yè)可接受的集中風(fēng)險水平將是一個關(guān)鍵問題。董事會將希望管理團隊衡量這一風(fēng)險，以便定義他們的容忍度應(yīng)是什么。

云安全聯(lián)盟(Cloud Security Alliance)對此有一些好的見解，它推薦了一些方法來開發(fā)將風(fēng)險容忍度評估、數(shù)據(jù)/資產(chǎn)分類和業(yè)務(wù)需求轉(zhuǎn)化為公司政策、控制目標(biāo)和技術(shù)控制的流程。

我建議的方法是首先識別并記錄所有對業(yè)務(wù)至關(guān)重要的操作。一旦這些操作被定義，技術(shù)團隊就可以開始識別支持這些操作的所有基礎(chǔ)技術(shù)組件和供應(yīng)商。在這個階段，企業(yè)可以開始測試和識別可能需要進(jìn)一步處理或冗余的單點故障。