云计算技术的快速发展,如云原生、无服务器等概念层出不穷,催生了很多新的云服务模式,也带来了诸多安全风险,对云计算安全的关注将成为持续的话题。同时,各行各业也开始大量采用云计算基础设施,构建基于云原生的服务。特别是金融行业,云优先(CloudFirst)和只有云(CloudOnly)已经成为企业构建新业务的策略。云计算业务日益增加的使用,与不断增加的监管要求和有限安全投入之间形成了客观上的冲突。
对于企业的负责人而言,需要关注云安全新技术的发展,例如人工智能、量子计算和DevSecOps;又要借鉴头部企业在云化趋势下安全的最佳实践,包括人员、流程和技术层面所需要做的工作。
金融服务多云化是当前现状
依赖单一的云服务提供商,还是同时注册使用多家云服务,是困扰企业的一个普遍问题。对企业多云使用的目的表明,许多企业已经认识到云提供商多样化的好处,例如可以降低供应商锁定的风险,确保云环境更具有灵活性和弹性。通过使用多家云服务,企业还可以利用每个供应商的独特功能和最佳功能,避免被某一单一供应商绑定,从而优化其云战略,最大限度地提高投资价值。
调查显示,57%的企业目前使用多家云服务来满足其IaaS/PaaS需求。
尽管政府监管机构要求支持多云服务使用以提高企业业务弹性,但受访的企业首席信息安全官们提到了当前多云发展方面所面临的挑战。主要使用单一云服务商来提供IaaS/PaaS的受访者人数略有增加,这也从侧面印证了首席信息安全官们的观点。第三方云服务之间的信息互通可操作性、信息可移植性、可视性、数据管理、安全策略等方面的复杂性导致了使用多云环境的困难。
加强云的数据管理能力
对于金融服务业来说,数据的机密性以及了解数据的流向和路由方式至关重要。数据在存储、传输和使用过程中都必须受到保护,以便确认公司货币会计的合法性,并保护在该企业托管资金的所有消费者。此外,还需要数据的可追溯性和清晰的审计跟踪,随时了解数据的移动和保护情况。几位受访者表示,在云端记录财务数据的可扩展性优于许多本地部署方法,这为向云端迁移提供了保障,但必须保持数据可靠性和一致性。
云计算通过将关键数据和应用程序安全地存储在第三方服务和基础设施中,以降低数据丢失和现场基础设施故障的风险,从而确保金融服务的业务连续性。同时,这些服务的设计必须始终符合不断变化的金融服务业安全标准和要求。金融监管机构、审计员和检查员一直在问类似于"如果云服务提供商完全瘫痪怎么办?”这样的问题。这凸显了制定包括备份和灾难恢复解决方案在内的强大多云管理策略的必要性。但是,这可能需要付出云端的效率和运营成本。
满足云端监管要求
金融服务机构在其运营或开展国际业务的所有司法管辖区都受到当地法律和联邦法律的监管。近年来,调查受访者指出,监管机构对第三方(尤其是云服务提供商)的审查力度加大,要求其提供文件并证明其符合各种标准框架,称监管机构对第三方的关注能够影响安全性。受访者提到,备受瞩目的金融数据泄露事件和新法规的出台是引起这种关注的催化剂。
尽管如此,大多数金融服务机构在合规数据方面仍然使用云计算,其中有59%的受访者表示其在云服务中存储或处理受监管的银行信息,只有25%的受访者表示未来没有这样的计划。
