吳明宜研究:多雲策略可能提高安全風險 比單雲策略的公司多兩倍
英國安全廠商 Nominet 一項研究顯示,多雲儲存策略用戶遭受的資安風險是使用混合雲或單一雲的人的兩倍。
這家安全公司根據針對近 300 位 CxO 和 IT 專家進行調查發現,採用多雲環境的企業有 52% 在過去 12 個月中曾發生資料外洩,而使用混合雲及單一雲的企業只有 24%。
此外,擁抱多雲策略的企業也較常發生資料外洩。69% 的多雲用戶過去 12 個月來發生 11 到 30 次資料外洩,而發生那麼高的單一雲及混合雲用戶的比例則各為 19% 和 13%。
而這些數字恐怕讓已經很保守的企業更加卻步。71% 的受訪者對存在於雲端儲存的惡意活動頗為、非常或極度擔心,尤其是以產業法規嚴格的企業。健康照護業以 55% 居冠,其次是金融業的 47% 及製藥業的 46%。而一些國際企業則擔心 GDPR 的高額罰金。56% 的受訪者說資料外洩的罰金是一大威脅,此外,日新月異的網路犯罪手法也讓企業很頭痛。
建立多雲策略的挑戰為何?
多雲策略儲存的主要目的是減少單一雲端業者的依賴。它和混合雲不同之處在於它使用多種雲服務,而非多種部署模式。多雲策略不需要在不同廠商間進行同步,企業可以用多家不同廠商的雲端儲存或基礎架構代管方案(IaaS)、平台(PaaS)和軟體(SaaS)。
但是魔鬼藏在細節中。美國馬里蘭大學電腦科學系教授 Jim Purtilo 說,理論上企業可找到對的架構、介面、工具和作法來確保多雲順暢與穩當運作,但實際上系統複雜性往往遮蓋了許多隱晦的功能,沒有人去看管,直到某一天發生故障。而另一方面,IT 部門一些做得太快的決策也會帶來意想不到的問題,包括技術缺陷或弱點,而駭客比你更早發現。因此整合的雲愈多,就會帶進愈多交錯介面,意謂這些缺陷和弱點有更高機會變成駭客眼中的攻擊面(attack surface)。
Purtilo 說,當企業建立了多雲環境,等於你可以被駭的網路邊界更長,而你的控管能力也削弱了,另外,企業也需了解,在多雲環境下,其中一種雲,如 IaaS 遭駭可能波及其他 PaaS 或 SaaS 元素。因此他的架構設計原則是儘量不要採用太多網路邊界(即防火牆)以外的服務。此外,當你的雲端供應商愈多,就更容易讓他們發生事情時互相指責、推諉塞責。
Nominet 因此建議,如果下次企業考慮建構大規模應用系統需要「多雲整合」時請謹記一個原則:「簡單就是美」,牽涉太多雲的大型專案,該公司說沒見過成功的例子。