以下是云遷移失敗的三大原因，以及一些可能有助于扭轉(zhuǎn)局面的關(guān)鍵指導(dǎo)。

譯自Why Cloud Migrations Fail，作者 Shai Morag。

近 60% 的 IT 領(lǐng)導(dǎo)者計(jì)劃今年將更多工作負(fù)載遷移到云?？梢岳斫獾氖牵蓴U(kuò)展性的承諾、成本節(jié)約和增強(qiáng)的協(xié)作使這成為一個(gè)引人注目的提議。然而，這是一個(gè)細(xì)致入微且規(guī)模龐大的任務(wù)，需要時(shí)間、關(guān)注和對(duì)安全有效使用的承諾。

有時(shí)，云遷移會(huì)變得非常復(fù)雜或難以駕馭，以至于無(wú)法實(shí)現(xiàn)預(yù)期的效益，導(dǎo)致成本超支和延誤，或者過(guò)度依賴第三方。最終，復(fù)制和粘貼從少數(shù)幾個(gè)善意但可能被過(guò)度炒作的案例研究中得出的路線圖根本行不通。

在這里，我將回顧云遷移失敗的三大主要原因，并提供一些關(guān)鍵指導(dǎo)，這些指導(dǎo)可能有助于企業(yè)安全團(tuán)隊(duì)和決策者糾正航向。

共享責(zé)任模型

云之旅中的一個(gè)絆腳石是對(duì)共享責(zé)任模型的誤解或混淆。此框架界定了云服務(wù)提供商 (CSP) 的安全義務(wù)（歸結(jié)為保護(hù)底層基礎(chǔ)設(shè)施）和客戶（即保護(hù)數(shù)據(jù)、訪問(wèn)、應(yīng)用程序和配置）。該模型需要對(duì)最終用戶義務(wù)有清晰的理解，并強(qiáng)調(diào)協(xié)作和勤勉的必要性。

對(duì) CSP 提供的安全監(jiān)督水平的廣泛假設(shè)會(huì)導(dǎo)致安全/數(shù)據(jù)泄露，美國(guó)國(guó)家安全局 (NSA)指出，“發(fā)生的頻率可能比報(bào)告的要高”。值得注意的是，82% 的泄露事件在 2023 年涉及云數(shù)據(jù)。

在云“遷移”的情況下，這種混淆往往會(huì)加劇，在這種情況下，照常運(yùn)營(yíng)、架構(gòu)和實(shí)踐只是被推送到云中，而沒(méi)有適應(yīng)其新的環(huán)境。在這些情況下，組織可能難以及時(shí)實(shí)施適當(dāng)?shù)某绦?、監(jiān)控和人員，以匹配其新的云環(huán)境的安全限制。

雖然嵌入式安全級(jí)別可以根據(jù)所選的云模型（軟件即服務(wù)、基礎(chǔ)設(shè)施即服務(wù)、平臺(tái)即服務(wù)）而有所不同，但客戶通常必須實(shí)施嚴(yán)格的安全和身份和訪問(wèn)管理 (IAM)控制來(lái)保護(hù)其環(huán)境。如今，后者變得越來(lái)越重要，考慮到近 40%的勒索軟件事件在 2023 年始于被盜的合法憑據(jù)。

NSA在其指南中還警告說(shuō)：“客戶通常認(rèn)為 CSP 保護(hù)客戶數(shù)據(jù)的責(zé)任范圍比實(shí)際范圍更廣，導(dǎo)致客戶未能采取必要的措施?！?/p>

因此，云用戶必須開發(fā)和壓力測(cè)試事件響應(yīng)手冊(cè)，積極尋找入侵，部署多因素身份驗(yàn)證，也許最重要的是，仔細(xì)審查“細(xì)則”，即他們與提供商的服務(wù)級(jí)別協(xié)議 (SLA)。

數(shù)據(jù)主權(quán)障礙

我不能不提另一個(gè)房間里的大象：合規(guī)性。根據(jù) 2024 年云安全聯(lián)盟報(bào)告，61% 的 IT 和安全領(lǐng)導(dǎo)者最近將合規(guī)性標(biāo)準(zhǔn)一致性列為 SaaS 環(huán)境中的主要挑戰(zhàn)。法規(guī)增加了復(fù)雜性，尤其是在“數(shù)據(jù)主權(quán)”等及時(shí)考慮因素方面，即數(shù)據(jù)受其存儲(chǔ)或處理所在國(guó)家/地區(qū)的法律和法規(guī)約束。

全球范圍內(nèi)，數(shù)據(jù)本地化法律的執(zhí)行力度不斷加強(qiáng)，部分原因是歐盟的《通用數(shù)據(jù)保護(hù)條例 (GDPR)》和《加州消費(fèi)者隱私法 (CCPA)》等更廣泛法規(guī)中的規(guī)定。這兩項(xiàng)法規(guī)都對(duì)數(shù)據(jù)隱私和保護(hù)提出了嚴(yán)格的指導(dǎo)方針，包括對(duì)數(shù)據(jù)處理、存儲(chǔ)和傳輸方式的強(qiáng)制性要求。

這可能給企業(yè)團(tuán)隊(duì)帶來(lái)新的挑戰(zhàn)，他們必須制定全面的治理框架，其中包括：

• 加密實(shí)踐
• 嚴(yán)格的 CSP 選擇標(biāo)準(zhǔn)（包括選擇擁有本地?cái)?shù)據(jù)中心的 CSP）
• 強(qiáng)制性、持續(xù)的審計(jì)等等

總而言之，在未考慮監(jiān)管影響的情況下進(jìn)行云遷移可能會(huì)增加成本、減緩進(jìn)度，并可能需要在后期進(jìn)行完全重新設(shè)計(jì)以補(bǔ)救控制措施。

遷移后監(jiān)督

數(shù)據(jù)和應(yīng)用程序遷移后，云之旅仍在繼續(xù)。有效的管理需要一支高效的云運(yùn)營(yíng)團(tuán)隊(duì)來(lái)提供重要的支持功能，包括：

• 性能監(jiān)控，以檢測(cè)和解決問(wèn)題
• 持續(xù)的安全評(píng)估，以防范已知和零日漏洞
• 身份控制，以管理對(duì)云應(yīng)用程序的訪問(wèn)
• 成本管理，以防止預(yù)算超支
• 資源退役流程，以降低云蔓延或成本螺旋式上升的風(fēng)險(xiǎn)

正如科技培訓(xùn)平臺(tái)InfoSec Institute 警告那樣，“[云] 比本地部署更復(fù)雜，需要了解……基本原理和原則?！?它補(bǔ)充道：“忽視新的范式……會(huì)帶來(lái)巨大的風(fēng)險(xiǎn)?！?我完全同意。

組織必須規(guī)劃永久性監(jiān)督，并在項(xiàng)目啟動(dòng)時(shí)就提出這個(gè)問(wèn)題。

確保順利遷移

盡管存在挑戰(zhàn)，但云計(jì)算擁有巨大的潛力，并能為團(tuán)隊(duì)節(jié)省大量前期投資于物理基礎(chǔ)設(shè)施的成本。

通過(guò)定制設(shè)計(jì)、經(jīng)過(guò)驗(yàn)證的控制措施和有效的管理，企業(yè)可以確保更順利的云遷移之旅，并充分發(fā)揮其優(yōu)勢(shì)。經(jīng)驗(yàn)豐富或思想開放的領(lǐng)導(dǎo)層和核心技術(shù)人員也將有助于順利過(guò)渡。

每個(gè)組織都會(huì)有獨(dú)特的路徑。但是，在適當(dāng)?shù)闹笇?dǎo)下，團(tuán)隊(duì)可以避免笨拙、昂貴或有風(fēng)險(xiǎn)的流程，并在云中蓬勃發(fā)展。