شرکتهای بیشتری به عنوان بخشی از تلاشهای تحول دیجیتال خود برای حمایت از تیمهای توزیعشده که در مدلهای ترکیبی و از راه دور کار میکنند، رویکرد چند ابری را اتخاذ میکنند. و درست همانطور که محیط های کاری ترکیبی اینجا هستند، رویکرد چند ابری نیز پابرجاست. گارتنر پیشبینی میکند که درآمد ابر جهانی به آن برسد 474 میلیارد $ در 2022، با 90 درصد از شرکت ها در حال حاضر به سمت یک استراتژی چند ابری کار می کند.
هنگامی که یک استراتژی چند ابری به درستی استفاده شود، می تواند بسیاری از فرآیندها را کارآمدتر کند. همچنین نسبت به استراتژی تک ابری، انعطاف پذیری بیشتری در برابر قطع و انعطاف پذیری فروشنده بیشتر ارائه می دهد. مزایای اضافی عبارتند از:
- اجتناب از قفل شدن فروشنده با یک ارائه دهنده ابر. یک سازمان با ردپای جهانی و داده های تخصصی می تواند مکان مرکز داده را با کمترین تأثیر بر تجارت خود انتخاب کند. به عنوان مثال، Microsoft Azure در حال حاضر از منظر مکان یابی مرکز داده در خاورمیانه پیشتاز است.
- توانایی استفاده از ویژگیهای متمایز ارائه شده توسط هر فروشنده ابری، مانند راهحلهای پایگاه داده منحصربهفرد در Google Cloud یا توانایی مدیریت یکپارچهتر منابع داخلی و ابری خود در Microsoft Azure.
- هزینه های بهتر و انعطاف پذیری کسب و کار، با خدمات خاص ارزان تر از طریق یک فروشنده خاص و محافظت در برابر اختلالات خدمات. هر دو نیاز به طراحی خدمات شما برای استفاده از مزایا دارند، اما پس از تأسیس، سازمان شما میتواند سرمایهگذاری خود را طی دو تا سه سال پسانداز کند و در نتیجه در درازمدت صرفهجویی در هزینهها به همراه داشته باشد.
با این حال، این مزایا هزینه دارد. هنگامی که محیطهای متفاوت از طریق چندین ارائهدهنده میزبانی میشوند، اطمینان از ایمن بودن دادهها و زیرساختهای ابری و همسو با تعهدات و کنترلهای شما میتواند چالش برانگیز باشد. گفتن یک داستان متحد در مورد داده ها، پیکربندی و امنیت در آن محیط ها تقریباً غیرممکن است.
CISOهایی که از الف رویکرد داده چند ابری باید بر دو نگرانی اصلی امنیتی تمرکز کند: مدیریت ریسکهای ناشی از فروشندگان و مدلهای مختلف عملیات ابری آنها، و نشان دادن ارزش کنترلها و استراتژیهای امنیتی آنها در مواجهه با افزایش هزینههای عملیات در دنیای چند ابری.
مدیریت ریسک در سراسر ابرها
تأثیر و فراوانی حملات سایبری به موازات افزایش تمرکز بر استراتژیهای چند ابری افزایش یافته است. حملات باجافزاری، نقض دادهها و قطعیهای بزرگ فناوری اطلاعات در صدر قرار گرفتند فشارسنج ریسک آلیانز امسال برای دومین بار در تاریخ این نظرسنجی، مدیران اجرایی آنها را نگرانتر از اختلال زنجیره تامین، بلایای طبیعی و همهگیری رتبهبندی کردند. شرکتها حق دارند نگرانی خود را نشان دهند: سازمانهای با تجربه در سراسر جهان 50 درصد بیشتر حملات سایبری هفتگی در سال 2021، در مقایسه با سال 2020.
رهبران کسب و کار در حال پیگیری اهمیت حملات سایبری هستند، اما بیشتر آنها در مورد خطرات ناشی از شرکای فروشندگان خود اطلاعات کافی ندارند. در PwC”نظرسنجی جهانی اعتماد دیجیتال 202257 درصد از رهبران کسبوکار گفتند که پیشبینی میکنند حملات به سرویسهای ابری افزایش یابد، اما تنها 37 درصد گفتند که خطرات ابر را درک میکنند. رویکرد و مدلهای عملیاتی امنیت در میان ارائهدهندگان ابری متفاوت است، و محافظت در برابر خطر یک مسئولیت مشترک است که تنها با افزودن سرویسهای ابری رایج که از رویکردهای متفاوتی استفاده میکنند، مانند مدیریت هویت و دسترسی (IAM) یا سرورهای مجازی، پیچیدهتر میشود.
به عنوان مثال، فروشندگان ابری مختلف رویکرد خاص خود را برای دسترسی مبتنی بر نقش دارند. خدمات وب آمازون با پیوست کردن خط مشی های IAM به طور مستقیم به یک سرور مجازی، هویت را کنترل می کند، که به سرور توانایی انجام اقدامات را می دهد. در مقابل، پیشنهاد Google Cloud بر ایجاد حسابهای سرویس (کاربران) و سپس پیوست کردن آن حسابها به سرور متمرکز است تا بتواند با منبع دیگری تعامل داشته باشد. این تفاوتهای کوچک در مقیاس سازمانی افزایش مییابد و پیچیدگی امنیتی را برای تضمین حداقل امتیاز و سایر الزامات امنیتی در هر دو ابر افزایش میدهد.
از آنجایی که سرویسهای ابری برای ادغام با رقبای خود طراحی نشدهاند، یادگیری نحوه استفاده از ابزارهای امنیتی برای هر ارائهدهنده ابری تازه آغاز راه است. تیم های فناوری اطلاعات باید نظارت بر امنیت خود را با ابزار مدیریت رویداد اطلاعات امنیتی (SIEM) همراه با سایر ابزارهای شخص ثالث برای افزایش قابلیت همکاری سرویس های ابری متمرکز کنند. این سیستم های اضافه شده به آموزش و منابع اضافی و شاید حتی کارکنان فناوری اطلاعات اضافی برای اطمینان از تخصص در هر پلت فرم ابری نیاز دارند و چگونه آن پلتفرم ها با هم کار می کنند.
علاوه بر این تفاوتهای داخلی بین سرویسهایشان، اکثر فروشندگان ابری پیشنهادات امنیتی خاص خود را اولویتبندی میکنند. این منجر به مجموعه ای از عوارضی می شود که امنیت ابر را تهدید می کند. به عنوان مثال، یک فایروال برنامه کاربردی وب ابری (WAF) می تواند برای محافظت از شبکه شما استفاده شود، اما فقط با یک ارائه دهنده خدمات ابری خاص کار می کند و نمی تواند در چندین پیشنهاد ابری گسترش یابد. کپی کردن این قابلیتها برای ارائهدهندگان مختلف نیازمند تیمهای تکراری برای پشتیبانی و مدیریت این ابزارهای امنیتی کلیدی یا خرید یک سرویس ابری ناشناس است - که فروشنده دیگری را به این ترکیب اضافه میکند.
این ریسک و هزینه اضافی، که معمولاً تا اواخر استقرار یک مدل چند ابری کشف نمیشود، میتواند جدولهای زمانی را حذف کند، هزینه را افزایش دهد و یافتههای حسابرسی را آغاز کند. عدم برنامه ریزی و کاهش این خطرات می تواند شرکت را مستعد زیان مالی، اقدامات نظارتی، دعوی قضایی و آسیب به شهرت کند.
ارتباط ارزش با کمیت ریسک
گارتنر تخمین می زند که تا سال 2023، 30 درصد از اثربخشی CISO به توانایی آنها در نشان دادن ارزش بستگی دارد. همانطور که استراتژیهای داده چند ابری به هنجار تبدیل میشوند و هزینه کنترلهای امنیتی در آن استراتژی افزایش مییابد، کمیسازی ریسک میتواند به رهبران کمک کند تا ارزش خود را به طور مداوم با بیان وضعیت ریسک چند ابری در مقادیر پولی واضح بیان کنند.
به گفته PwC، سازمانهایی که بیشترین بهبود را در نتایج اعتماد دادهها گزارش کردهاند، دو چیز مشترک داشتند: آنها افزایش هزینههای امنیت سایبری خود را پیشبینی کردند، و هوش تجاری و تجزیه و تحلیل دادهها را در مدلهای عملیاتی خود، از جمله کمیسازی ریسک، گنجاندند.
برای ارزیابی ریسکهای مالی یک استراتژی چند ابری، CISO باید هزینههای هر پلتفرم را که در مقابل ریسکهای درک شده آنها سنجیده میشود، در نظر بگیرند. این ملاحظات باید شامل مدیریت دادهها و شیوههای امنیت سایبری همه ارائهدهندگان ابری مورد نظر شما، همراه با ابزارها و پلتفرمهایی باشد که برای نظارت مشترک استفاده میکنید.
با وجود عوامل بسیار زیاد، نمیتوانید به مقیاسهای اندازهگیری نادقیق و حسی مانند «کم، متوسط، زیاد» و «قرمز، زرد، سبز» اعتماد کنید. بیان دادههای ریسک در شرایط مالی ابزار قدرتمندی است زیرا زبان مشترکی را برای برقراری ارتباط با اولویتهای ریسک در حال تغییر، بهبود همسویی بین CISO و هیئت مدیره، و تسهیل تصمیمگیریهای مدیریت ریسک با آگاهی بهتر ارائه میدهد.
در اینجا یک مثال آورده شده است: یک CISO به ارزش مالی مرتبط با خطرات مختلف معماری چند ابری نگاه می کند. با مقایسه تاکتیکهای کاهش یک حادثه امنیت سایبری، آنها دریافتند که کنترل بهتر بر امتیازات اداری هزینه مالی رویداد را بسیار بیشتر از اجرای یک برنامه آموزشی امنیت سایبری کاهش میدهد. در حالی که CISO جزئیات فنی ریسک سایبری را در معماری چند ابری درک میکند، بقیه قسمتهای C-suite از وضوح ارزشهای پولی مرتبط با هر تاکتیک ریسک و کاهش سود خواهند برد. با توانمند ساختن CISOها برای ارائه نظرات خود به همکاران و هیئت مدیره، کمی سازی ریسک شفافیت بیشتری را برای بسیاری از بخش های متحرک یک استراتژی چند ابری به ارمغان می آورد.
به گفته گارتنر، بیش از 85 درصد از سازمانها تا سال 2025 به عنوان ابر اول عمل خواهند کرد و نمیتوانند بدون استفاده از فناوریهای بومی ابری، استراتژیهای دیجیتال خود را به طور کامل محقق کنند. یکی از رهبران گارتنر اینگونه بیان می کند: هیچ استراتژی تجاری بدون استراتژی ابری وجود ندارد.
ضروری است که رهبران کسبوکار استراتژیهایی را برای محافظت از دادههای خود و برقراری ارتباط با اولویتهای چند ابری خود دنبال کنند، و در سراسر سازمان با یک زبان ارزشی مشترک هماهنگ شوند.