【CSAGCR】金融行业:云环境下的金融服务现状
云计算技术的快速发展,如云原生、无服务器等概念层出不穷,催生了很多新的云服务模式,也带来了诸多安全风险,对云计算安全的关注将成为持续的话题。同时,各行各业也开始大量采用云计算基础设施,构建基于云原生的服务。特别是金融行业,云优先(CloudFirst)和只有云(CloudOnly)已经成为企业构建新业务的策略。云计算业务日益增加的使用,与不断增加的监管要求和有限安全投入之间形成了客观上的冲突。
对于企业的负责人而言,需要关注云安全新技术的发展,例如人工智能、量子计算和DevSecOps;又要借鉴头部企业在云化趋势下安全的最佳实践,包括人员、流程和技术层面所需要做的工作。
金融服务多云化是当前现状
依赖单一的云服务提供商,还是同时注册使用多家云服务,是困扰企业的一个普遍问题。对企业多云使用的目的表明,许多企业已经认识到云提供商多样化的好处,例如可以降低供应商锁定的风险,确保云环境更具有灵活性和弹性。通过使用多家云服务,企业还可以利用每个供应商的独特功能和最佳功能,避免被某一单一供应商绑定,从而优化其云战略,最大限度地提高投资价值。
调查显示,57%的企业目前使用多家云服务来满足其IaaS/PaaS需求。
尽管政府监管机构要求支持多云服务使用以提高企业业务弹性,但受访的企业首席信息安全官们提到了当前多云发展方面所面临的挑战。主要使用单一云服务商来提供IaaS/PaaS的受访者人数略有增加,这也从侧面印证了首席信息安全官们的观点。第三方云服务之间的信息互通可操作性、信息可移植性、可视性、数据管理、安全策略等方面的复杂性导致了使用多云环境的困难。
加强云的数据管理能力
对于金融服务业来说,数据的机密性以及了解数据的流向和路由方式至关重要。数据在存储、传输和使用过程中都必须受到保护,以便确认公司货币会计的合法性,并保护在该企业托管资金的所有消费者。此外,还需要数据的可追溯性和清晰的审计跟踪,随时了解数据的移动和保护情况。几位受访者表示,在云端记录财务数据的可扩展性优于许多本地部署方法,这为向云端迁移提供了保障,但必须保持数据可靠性和一致性。
云计算通过将关键数据和应用程序安全地存储在第三方服务和基础设施中,以降低数据丢失和现场基础设施故障的风险,从而确保金融服务的业务连续性。同时,这些服务的设计必须始终符合不断变化的金融服务业安全标准和要求。金融监管机构、审计员和检查员一直在问类似于"如果云服务提供商完全瘫痪怎么办?”这样的问题。这凸显了制定包括备份和灾难恢复解决方案在内的强大多云管理策略的必要性。但是,这可能需要付出云端的效率和运营成本。
满足云端监管要求
金融服务机构在其运营或开展国际业务的所有司法管辖区都受到当地法律和联邦法律的监管。近年来,调查受访者指出,监管机构对第三方(尤其是云服务提供商)的审查力度加大,要求其提供文件并证明其符合各种标准框架,称监管机构对第三方的关注能够影响安全性。受访者提到,备受瞩目的金融数据泄露事件和新法规的出台是引起这种关注的催化剂。
尽管如此,大多数金融服务机构在合规数据方面仍然使用云计算,其中有59%的受访者表示其在云服务中存储或处理受监管的银行信息,只有25%的受访者表示未来没有这样的计划。
近年来,金融服务业对云服务的使用大幅增长,预计其将伴随着使用和集成云服务提供商(CSP)所提供的功能进一步增长,以替代传统的银行业、商业和其他金融交易方式以及交换金融数据的方法。金融科技公司的首席信息安全官(CISO)和云架构师表示,利用可扩展性和快速推向市场的能力,将创新引入市场比以往的做法更划算。此外,银行业专业人员表示,受新冠疫情的影响,利用云服务实现远程办公或快速的动态更新、部署新的软件服务的主要原因是其能够提供符合法规的一致部署协调的安全策略。
然而,新的方案伴随着新的风险,受访者表示,尽管云服务的使用正在不断增加,但其进展需要与CSP和金融服务业展示其符合法规、整体数据保护的能力以及员工对管理工作的舒适程度保持相对一致。除了监管之外的主题还包含数据管理的重要性、访问的完整性、威胁情报和良好的企业风险管理。最明显的一点是云服务正在不断深入金融服务的各个方面并有望被长时间使用。云服务是否被采用已不在是问题,而更多问题是“如何”使用。如何采取云原生安全策略,如何应用零信任方法,如何指导员工、监管机构和云合作伙伴等所有相关合作方。
自新冠疫情以来,金融服务业使用云服务的情况不断增长,几乎所有金融机构都在使用某类云计算服务。98%的受访者表示他们公司正在使用云计算服务,高于2020年的91%。许多受访者讨论了增长的原因,其中一部分是疫情导致新工作场景带来新的发展需求,以适应远程办公和客户对其账户的远程访问。
目前,业界对于在业务关键中使用云计算工作负载的把握已有显著增加。2020年的调查结果显示,当被问及在生产中的“关键业务”工作负载占比时,约66%的服务提供商表示没有关键业务(20%)或关键业务占比小于十分之一(46%)。这些数字在2023年的调查结果中有了显著下降(43%),拥有高占比关键业务工作负载的公司数量几乎翻了一倍,从17%增加到32%。
