全球范圍內的CrowdStrike宕機事件顯示了當IT運營依賴單一供應商時所面臨的風險。重新考慮你企業(yè)的云集中風險容忍度，并制定相應的策略。

上周CrowdStrike有缺陷的內容更新影響了數(shù)百萬Microsoft Windows終端，恢復工作可以說是一項重大任務。

這次中斷將企業(yè)、云服務提供商和關鍵基礎設施提供商置于危險境地，并引起了人們對CrowdStrike市場份額主導地位的關注，據(jù)估計，其占據(jù)了端點檢測和響應(EDR)市場的24%。

這一領先地位和持續(xù)推動的平臺化數(shù)據(jù)安全方法是CrowdStrike入選CSO十大最強網(wǎng)絡安全公司名單的主要原因，但此次中斷事件也引發(fā)了對企業(yè)云戰(zhàn)略的質疑，并重新引發(fā)了對過度授權軟件的討論，因為IT領導者在災難性事件中尋找經(jīng)驗教訓。

這也突顯了集中風險的弊端。

什么是集中風險?

CrowdStrike被業(yè)界許多人認為是EDR和反惡意軟件保護市場中的“金標準”，其Falcon解決方案在每個終端設備上部署一個代理程序，持續(xù)監(jiān)控并響應勒索軟件和惡意軟件等網(wǎng)絡威脅，這種基于代理的方法以及CrowdStrike快速響應內容驗證過程中存在的缺陷，是許多企業(yè)不得不解決的藍屏死機(BSOD)問題的核心原因。

隨著企業(yè)將系統(tǒng)重新上線，IT領導團隊必然會面臨有關其受影響程度以及真正暴露在這類事件中的問題。盡管近年來努力增加彈性，但在CrowdStrike事件后，所有人都將感到比以前更脆弱。

展望未來，IT領導者必須更加關注“集中風險”以及如何更好地管理這些供應鏈風險。

正如金融行為監(jiān)管局(FCA)所指出的，集中風險定義為：“由企業(yè)與單一客戶或一組關聯(lián)客戶之間的關系強度或范圍所帶來的風險，或直接暴露于單一客戶或一組關聯(lián)客戶的風險?！?/p>

用通俗的話來說，這就像把所有的雞蛋放在一個籃子里。我們應該預期這個簡單的定義會被應用，并且會受到監(jiān)管機構的關注。我這么說是因為我最近與其他CISO和監(jiān)管機構進行了會面，他們表達了對集中風險日益增加的擔憂。

即將出臺的監(jiān)管措施

監(jiān)管機構會注意到所謂的“全球最大IT中斷”，并且他們將面臨采取措施防止類似情況再次發(fā)生的壓力。一旦塵埃落定，我預計不斷增加的云集中風險將成為重要目標。

大多數(shù)企業(yè)在向公有云遷移的過程中不斷取得進展，多個大型機構采用了“云優(yōu)先”的口號，這些轉型通常從單一云提供商開始，并逐漸根據(jù)具體用例和數(shù)據(jù)主權要求引入額外的云提供商。

云集中風險現(xiàn)在出現(xiàn)在這些企業(yè)依賴單一云服務提供商(CSP)滿足所有關鍵業(yè)務需求時。在這種情況下，企業(yè)不再依賴自己的數(shù)據(jù)中心，而是將所有數(shù)據(jù)存儲、所有應用運行在單一的云基礎設施上。

當出現(xiàn)像CrowdStrike中斷這樣單一的事件時，云集中風險就完全顯現(xiàn)出來，這種情況會使企業(yè)的整個運營陷入癱瘓。隨著企業(yè)越來越依賴相同的應用程序和云提供商，這種情況在大規(guī)模上可能是災難性的，正如我們在CrowdStrike事件中所見，這種情景還擴展到安全漏洞和其他可能對國家和行業(yè)產(chǎn)生系統(tǒng)性影響的事件。

來自UNSW網(wǎng)絡研究所(IFCYBER)的Matt Ryan博士解釋說，“在重大技術中斷事件期間，大型金融機構將發(fā)現(xiàn)很難簡單地從一個云服務提供商轉向另一個，因為建立這種彈性的成本對于大多數(shù)商業(yè)企業(yè)來說實在太高?！?/p>

盡管如此，我們必須采取行動。

采用多云戰(zhàn)略

為了避免云集中風險的危險，采用多云戰(zhàn)略至關重要，在這種戰(zhàn)略下，業(yè)務工作負載分布在多個云提供商之間。多云戰(zhàn)略的實施意味著當一個提供商出現(xiàn)問題時，你在其他云中的運營可以繼續(xù)運行。

另一種選擇是采用混合云方法，結合私有云和公有云，這使你能夠更好地控制專有和敏感數(shù)據(jù)，同時仍然享受公有云的可擴展性。

但是，無論是多云還是混合云，這兩種方法都會帶來更多的復雜性和挑戰(zhàn)，如果管理不當，可能會影響彈性。不幸的是，多供應商的復雜性可能導致事件和新的風險，包括云配置錯誤和故障排除的困難。

對于CIO來說，這些方法增加了供應商的復雜性，需要跨不同的服務級別協(xié)議(SLA)和支持流程進行管理。FinOps將需要實施，以管理多云環(huán)境中各個云提供商的成本以及合同。內部來說，CIO必須管理這些云供應商的安全策略，以及云提供商自身使用的任何第三方。

你的集中風險容忍度是多少?

展望未來，了解你們企業(yè)可接受的集中風險水平將是一個關鍵問題。董事會將希望管理團隊衡量這一風險，以便定義他們的容忍度應是什么。

云安全聯(lián)盟(Cloud Security Alliance)對此有一些好的見解，它推薦了一些方法來開發(fā)將風險容忍度評估、數(shù)據(jù)/資產(chǎn)分類和業(yè)務需求轉化為公司政策、控制目標和技術控制的流程。

我建議的方法是首先識別并記錄所有對業(yè)務至關重要的操作。一旦這些操作被定義，技術團隊就可以開始識別支持這些操作的所有基礎技術組件和供應商。在這個階段，企業(yè)可以開始測試和識別可能需要進一步處理或冗余的單點故障。