Ngày càng có nhiều doanh nghiệp áp dụng cách tiếp cận đa đám mây như một phần trong nỗ lực chuyển đổi kỹ thuật số của họ nhằm hỗ trợ các nhóm phân tán làm việc theo mô hình kết hợp và từ xa. Và cũng giống như môi trường làm việc kết hợp vẫn tồn tại, cách tiếp cận đa đám mây đã được phát huy. Gartner dự đoán doanh thu đám mây toàn cầu sẽ đạt $ 474 tỷ 2022, với 90% doanh nghiệp đã làm việc hướng tới chiến lược đa đám mây.
Khi được tận dụng một cách chính xác, chiến lược đa đám mây có thể giúp nhiều quy trình trở nên hiệu quả hơn. Nó cũng mang lại khả năng phục hồi cao hơn khi ngừng hoạt động và tính linh hoạt của nhà cung cấp cao hơn so với chiến lược một đám mây. Ưu điểm bổ sung bao gồm:
- Tránh bị khóa nhà cung cấp với một nhà cung cấp đám mây. Một tổ chức có phạm vi hoạt động toàn cầu và dữ liệu chuyên biệt có thể chọn vị trí đặt trung tâm dữ liệu ít ảnh hưởng nhất đến hoạt động kinh doanh của mình. Ví dụ: Microsoft Azure hiện dẫn đầu ở Trung Đông xét về vị trí trung tâm dữ liệu.
- Khả năng tận dụng các tính năng khác biệt được cung cấp bởi mỗi nhà cung cấp đám mây, chẳng hạn như các giải pháp cơ sở dữ liệu duy nhất trong Google Cloud hoặc khả năng quản lý tài nguyên tại chỗ và đám mây của bạn một cách liền mạch hơn nhiều trong Microsoft Azure.
- Chi phí tốt hơn và khả năng phục hồi kinh doanh tốt hơn, với các dịch vụ cụ thể ít tốn kém hơn thông qua một nhà cung cấp cụ thể và các biện pháp bảo vệ chống lại sự gián đoạn dịch vụ. Cả hai đều yêu cầu thiết kế dịch vụ của bạn để tận dụng lợi ích, nhưng sau khi thành lập, tổ chức của bạn có thể thu hồi vốn đầu tư sau hai đến ba năm, giúp tiết kiệm chi phí lâu dài.
Tuy nhiên, những lợi thế này phải trả giá. Việc đảm bảo cơ sở hạ tầng dữ liệu và đám mây được an toàn và phù hợp với nghĩa vụ cũng như quyền kiểm soát của bạn có thể gặp khó khăn khi các môi trường khác nhau được lưu trữ thông qua nhiều nhà cung cấp. Gần như không thể kể một câu chuyện thống nhất xung quanh dữ liệu, cấu hình và bảo mật trong các môi trường đó.
Các CISO đang nắm lấy một cách tiếp cận dữ liệu đa đám mây phải tập trung vào hai mối quan tâm bảo mật chính: quản lý rủi ro do các nhà cung cấp và các mô hình vận hành đám mây khác nhau của họ gây ra, đồng thời thể hiện giá trị của các chiến lược và biện pháp kiểm soát bảo mật của họ khi đối mặt với chi phí hoạt động gia tăng trong thế giới nhiều đám mây.
Quản lý rủi ro trên các đám mây
Tác động và tần suất của các cuộc tấn công mạng đã tăng lên song song với việc ngày càng tập trung vào các chiến lược đa đám mây. Các cuộc tấn công ransomware, vi phạm dữ liệu và sự cố ngừng hoạt động CNTT nghiêm trọng đứng đầu Phong vũ biểu rủi ro Allianz Năm nay chỉ là lần thứ hai trong lịch sử cuộc khảo sát, với việc các nhà điều hành xếp chúng là đáng lo ngại hơn sự gián đoạn chuỗi cung ứng, thiên tai và đại dịch. Các công ty có quyền bày tỏ mối quan ngại: Các tổ chức trên toàn thế giới có kinh nghiệm Thêm 50% các cuộc tấn công mạng hàng tuần năm 2021 so với năm 2020.
Các nhà lãnh đạo doanh nghiệp đang nắm bắt được tầm quan trọng của các cuộc tấn công mạng nhưng hầu hết đều thiếu hiểu biết về những rủi ro do các đối tác nhà cung cấp của họ gây ra. Trong “của PwCKhảo sát chuyên sâu về niềm tin kỹ thuật số toàn cầu năm 2022,” 57% lãnh đạo doanh nghiệp cho biết họ dự đoán trước sự gia tăng các cuộc tấn công vào dịch vụ đám mây, nhưng chỉ 37% cho biết họ hiểu rủi ro trên đám mây. Cách tiếp cận và mô hình vận hành bảo mật khác nhau giữa các nhà cung cấp đám mây và việc bảo vệ khỏi rủi ro là trách nhiệm chung chỉ trở nên phức tạp hơn khi bạn thêm các dịch vụ đám mây phổ biến sử dụng các phương pháp khác nhau, chẳng hạn như quản lý danh tính và quyền truy cập (IAM) hoặc máy chủ ảo hóa.
Ví dụ: các nhà cung cấp đám mây khác nhau có cách tiếp cận riêng đối với quyền truy cập dựa trên vai trò. Amazon Web Services xử lý danh tính bằng cách đính kèm chính sách IAM trực tiếp vào máy chủ ảo, cấp cho máy chủ khả năng thực hiện hành động. Ngược lại, việc cung cấp của Google Cloud tập trung vào việc tạo tài khoản dịch vụ (người dùng) và sau đó gắn các tài khoản đó vào máy chủ để nó có thể tương tác với một tài nguyên khác. Những khác biệt nhỏ này cộng lại ở quy mô doanh nghiệp, thúc đẩy sự phức tạp về bảo mật để đảm bảo ít đặc quyền nhất và các yêu cầu bảo mật khác trên cả hai đám mây.
Vì các dịch vụ đám mây không được thiết kế để tích hợp với đối thủ cạnh tranh nên việc học cách sử dụng các công cụ bảo mật cho từng nhà cung cấp đám mây chỉ là bước khởi đầu. Các nhóm CNTT sẽ cần tập trung việc giám sát bảo mật của họ bằng công cụ quản lý sự kiện thông tin bảo mật (SIEM), cùng với các công cụ khác của bên thứ ba để tăng khả năng tương tác của các dịch vụ đám mây. Các hệ thống bổ sung này yêu cầu đào tạo và nguồn lực bổ sung và thậm chí có thể bổ sung thêm nhân sự CNTT để đảm bảo chuyên môn trong từng nền tảng đám mây. và các nền tảng đó hoạt động cùng nhau như thế nào.
Ngoài những khác biệt cố hữu này giữa các dịch vụ của họ, hầu hết các nhà cung cấp đám mây đều ưu tiên các dịch vụ bảo mật được thiết kế riêng của riêng họ. Điều này gây ra một loạt các vấn đề phức tạp ảnh hưởng đến an ninh đám mây. Ví dụ: tường lửa ứng dụng Web trên đám mây (WAF) có thể được sử dụng để bảo vệ mạng của bạn, nhưng nó sẽ chỉ hoạt động với một nhà cung cấp dịch vụ đám mây cụ thể và không thể mở rộng trên nhiều dịch vụ đám mây. Việc sao chép các chức năng này cho các nhà cung cấp khác nhau yêu cầu phải có các nhóm sao chép để hỗ trợ và quản lý các công cụ bảo mật quan trọng này hoặc mua dịch vụ không phụ thuộc vào đám mây — điều này sẽ bổ sung thêm một nhà cung cấp khác vào danh sách kết hợp.
Rủi ro và chi phí bổ sung này thường không được phát hiện cho đến khi muộn trong quá trình triển khai mô hình đa đám mây, có thể đẩy lùi các mốc thời gian, tăng chi phí và gây ra các phát hiện kiểm tra. Việc không lập kế hoạch và giảm thiểu những rủi ro này có thể khiến công ty dễ bị tổn thất tài chính, bị kiện tụng, kiện tụng và tổn hại về danh tiếng.
Truyền đạt giá trị bằng việc định lượng rủi ro
Gartner ước tính rằng đến năm 2023, 30% hiệu quả của CISO sẽ phụ thuộc vào khả năng chứng minh giá trị của họ. Khi chiến lược dữ liệu đa đám mây trở thành tiêu chuẩn và chi phí kiểm soát bảo mật trong chiến lược đó tăng lên, việc định lượng rủi ro có thể giúp các nhà lãnh đạo truyền đạt giá trị của họ một cách nhất quán bằng cách thể hiện tình hình rủi ro đa đám mây bằng các giá trị tiền tệ rõ ràng.
Theo PwC, các tổ chức báo cáo sự cải thiện đáng kể nhất về kết quả tin cậy dữ liệu có hai điểm chung: Họ dự đoán sự gia tăng chi tiêu cho an ninh mạng và họ kết hợp trí tuệ kinh doanh và phân tích dữ liệu vào mô hình hoạt động của mình, bao gồm cả định lượng rủi ro.
Để đánh giá rủi ro tài chính của chiến lược đa đám mây, CISO phải tính đến chi phí của từng nền tảng so với rủi ro mà họ nhận thấy. Những cân nhắc đó phải bao gồm các biện pháp quản lý dữ liệu và an ninh mạng của tất cả các nhà cung cấp đám mây mà bạn đang xem xét, cùng với mọi công cụ và nền tảng bất khả tri về đám mây mà bạn sẽ sử dụng để giám sát chung.
Với rất nhiều yếu tố đang diễn ra, bạn không thể dựa vào các thang đo không chính xác, theo trực giác như “thấp, trung bình, cao” và “đỏ, vàng, xanh lục”. Việc thể hiện dữ liệu rủi ro bằng thuật ngữ tài chính là một công cụ mạnh mẽ vì nó cung cấp một ngôn ngữ chung để truyền đạt các ưu tiên về rủi ro đang thay đổi, cải thiện sự liên kết giữa CISO và hội đồng quản trị, đồng thời tạo điều kiện thuận lợi cho các quyết định quản lý rủi ro sáng suốt hơn.
Đây là một ví dụ: CISO đang xem xét giá trị tài chính liên quan đến các rủi ro khác nhau của kiến trúc đa đám mây. Bằng cách so sánh các chiến thuật nhằm giảm thiểu sự cố an ninh mạng, họ nhận thấy rằng việc kiểm soát tốt hơn các đặc quyền quản trị sẽ giảm chi phí tài chính của sự kiện nhiều hơn so với việc thực hiện chương trình đào tạo an ninh mạng. Mặc dù CISO hiểu các chi tiết kỹ thuật về rủi ro mạng trong kiến trúc đa đám mây, nhưng phần còn lại của C-Suite sẽ được hưởng lợi từ sự rõ ràng của các giá trị tiền tệ liên quan đến từng chiến thuật giảm thiểu và rủi ro. Bằng cách trao quyền cho CISO trình bày vấn đề của họ với đồng nghiệp và hội đồng quản trị, việc định lượng rủi ro mang lại sự minh bạch hơn cho nhiều bộ phận chuyển động của chiến lược đa đám mây.
Theo Gartner, hơn 85% các tổ chức sẽ hoạt động dựa trên nền tảng đám mây vào năm 2025 và họ sẽ không thể hiện thực hóa đầy đủ các chiến lược kỹ thuật số của mình nếu không sử dụng các công nghệ gốc đám mây. Một nhà lãnh đạo Gartner đã nói như sau: “Không có chiến lược kinh doanh nào nếu không có chiến lược đám mây.”
Điều bắt buộc là các nhà lãnh đạo doanh nghiệp phải theo đuổi các chiến lược để bảo vệ dữ liệu và truyền đạt các ưu tiên đa đám mây của họ, thống nhất trong toàn tổ chức với ngôn ngữ chung về giá trị.
