雲端平台的風險管理

雲端平台的風險評估與分析

Image result for risk management

企業IT的主要任務是結合公司的業務提供前線單位方便快速的IT系統服務,從企業IT角度來看,雲端運算基本上就是一種IT外包(outsourcing)作業。變成是企業供應鏈管理的其中一部分。既然是外包作業哪就一定有不可抗力的因素會發生而且是企業本身自己無法控制的。這樣一來雲端平台的風險管控就變得相對重要。這一篇文章我們來看一下針對雲端平台的風險管理有哪點需要注意.
既能讓我們有使用雲端的益處又可以把風險降低到最小。

組織與政策上的風險
之前說到當我們選擇使用雲端運算時就是將一些IT外包出去了。既然外包這些IT需求哪就可能發生一些情況
1. 被某個特定廠商給綁死,怕用了之後要去到別的平台很困難或是轉移成本很高
2. 失去控制權,雲端平台的特性讓我們在管理上不像傳統機房一樣有很大的控制權
3. 法規法令上的風險,有些法令法規可能有的雲端平台無法符合.例如HIPPA/PCI-DSS/ISO27001等等
4. 雲端業者無法經營下去,例如小型的雲端業者.

ㄧ般性風險
這邊大都是技術性問題,雲端平台的效能問題可用性可靠性等等的問題。但通常來說雲端業者的平台的這些狀況會比您的傳統的資料中心來得少。因為他們的規模通常都是很大的所以雲端業者的技術含量或規模都會比一般傳統企業來得好。但所有的事情有一體兩面,所以也有以下的狀況產生
1. 高度集中的服務意味著當嚴重的事件發生時也會有高度的衝擊影響
2. 雲端業者也需要有很強的IT工程師們才能維護這個雲端平台
3. 把大部分技術風險轉移給雲端雲台業者(這對客戶是好事)

虛擬層的風險
1. 備份或snapshot 的image沒有作好管控,若image被複製到其他地方則敏感資料就可能外洩
2. 不受控制的VM增長,若沒有做好相對應的權限控管與核可機制。您會發現會有越來越多的虛擬機與image不斷的增生.

雲端特有的風險
1. 管理控制台/介面被入侵,由於雲端的管理介面是向internet開放的.所以外部的駭客或內部惡意的使用者都有可能去入侵並取得最高管理權限
2. 雲端資源被耗盡,大部分可能是DDoS的發生造成資源不足,或是有可能程式更新後沒有注意到資源的使用方式等等
3. 不安全或不完整的資料刪除,由於資料的備份與移動性可能會有資料刪除遺留的問題發生。

法律上的風險:
1. 資料保護,一些法規法令的需求。 例如台灣的個資法,這些法令的要求可能雲端平台上無法配合需要第三方方案或是現行根本禁止放上雲端
2. 司法管轄權, 資料的真實存放地點可能會受到一個或多個國家法院的管控
3. 法律的強制性, 雲端業者有可能因資料中心所在地的國家因網路犯罪問題要求將硬體交給當地司法機關審查 .造成可能的資料外洩
4. 軟體授權問題,有一些軟體授權有可能根據使用地點不同而有不同的限制

以上大略性的介紹使用雲端可能有的風險,若做好這些管控.相信您在使用雲端平台時能得到更多效益.