當企業CIO試圖為其IT工作負載在云和本地之間找到理想的平衡時，他們可能會發現自己面臨著意想不到的意外 - 云的承諾和云供應商的承諾與企業IT的現實相去甚遠。

雖然云風險分析應該與任何其他第三方風險分析沒有什么不同，但許多企業對待云的態度更溫和，采取了不那么徹底的方法，這在很大程度上是因為企業傾向于使用可用的最大的云平臺——其中AWS、Microsoft Azure和Google Cloud Platform位居榜首，這些龐大的平臺極大地限制了它們能夠使一家企業進行IT盡職調查的程度。

最大的企業有時會有例外——比如沃爾瑪、埃克森美孚、CVS、伯克希爾哈撒韋等——但其他許多企業通常不會。此外，大多數企業云戰略涉及各種云供應商，包括在云中運營的點式解決方案SaaS供應商，這些不同合作伙伴之間的相互關系進一步復雜化了風險方程式。

你的云資產可能面臨的最明顯風險涉及云設置和配置。許多IT團隊花費大量精力微調他們的云實例、架構和環境的設置，以精確地匹配他們公司的需求，但后來卻發現，他們的云供應商的一名員工對該供應商的所有企業租戶進行了一些通用的更改，實際上覆蓋了IT團隊精心設計的設置。

但CIO在云計算領域還可能面臨其他意想不到的挑戰，他們應該意識到這一點，這里列出了幾個這樣的隱藏風險，并就如何緩解這些風險提出了建議。

供應商風險姿態的轉變

云供應商本身可能會遇到許多與業務相關的問題，這些問題可能會挑戰他們向簽署合同時承諾的標準企業CIO提供服務的能力，包括引入新的風險。

在執行云平臺允許的任何最低限度的盡職調查時 - SOC報告、GDPR合規性、PCIROC等 - 請記住，這只是評估時刻的快照，這一點至關重要，這就是合同發揮作用的地方。如果有任何變化會影響你的供應商的風險狀況，例如裁員影響其運營或削減非人力資源的預算，應該有明確的合同條款，要求云供應商有義務提醒你的團隊，理想情況下，讓你的團隊有選擇免費退出，包括退還未花費的資金。

安永負責網絡安全的董事總經理布萊恩·萊文表示：“我看不出這么做有什么壞處。 (云供應商)會堅持到底嗎?大概不會吧，他們很可能沒有這樣做的流程。為了訴訟的目的，有一個明示的條款總是比默示的條款更好。”

Sailpoint的CISO雷克斯·布斯(Rex Booth)同意這樣的條款無傷大雅，但需要做出很多解釋。他表示，一種更好的合同方法是，在合同中加入類似這樣的條款：“如果你按照獨立審計師的決定進行跳水，我們有權退出”，然而，布斯補充說，裁員并不一定意味著組織努力的減少。

新的數據主權令人頭痛

很長一段時間以來，數據主權一直是一個關鍵的IT問題，但現在出現了許多企業可能沒有預料到的特定于云的數據主權問題，例如，美國商務部在1月份提出了一項規則，禁止中國企業在美國云環境中培訓其LLM模型。盡管這最初似乎只會影響中國企業，但Forrester首席分析師Lee Sustar認為，這很容易牽涉到美國企業——不僅是云計算公司，還有那些擁有為客戶執行分析工作的部門的企業集團。

例如，如果一家中國公司聘請了一家美國人工智能公司，并付錢讓他們在這家美國公司的云環境中培訓各種LLM，那會怎么樣?這會違反商業規則嗎?更復雜的是，如果這家美國公司的客戶設在比利時或澳大利亞怎么辦?如果那家比利時公司的客戶碰巧是一家中國公司怎么辦?如果一家中國公司想要繞過這一規定，它很可能會通過多家非中國公司處理這一請求。

“現在你必須規劃你的云工作負載，不僅要考慮第三方的風險，還要考慮第四方的風險”，他說。

安永的萊文建議首席信息官在談判新的云協議時需要考慮的其他因素，一些云運營對記錄其環境中發生的情況收取額外費用。如果云租戶可以直接跟蹤活動，這不是一個大問題，但他們不能，因此必須依賴云平臺的日志。

“這是基本的，如果一家企業要為(云中發生的一切)負責，他們必須有相關日志才能負責，他們會把這些原木保存多久?”，萊文說。

在大范圍緊急情況下的可擴展性

許多企業IT高管認為，云提供了近乎無限的可擴展性——這在數學上是不正確的。云營銷對此沒有幫助，它強烈地暗示——如果不是直接的承諾——無限的可擴展性。

大多數情況下，云的彈性為其宗旨提供了極高級別的可擴展性，然而，網絡安全投資公司Team8的運營合伙人兼常駐CISO查爾斯·布勞納表示，當緊急情況發生時，所有的賭注都會取消。布勞納曾在花旗集團、德意志銀行和摩根大通擔任CISO。

BLauner指出，在9/11襲擊期間，他多次嘗試外包數據，但都以失敗告終，他在2012年颶風桑迪和美國新冠疫情最初幾周再次看到這種情況。“這只適用于第一批”將更多數據推向云端的公司。

企業希望能夠“在危機期間恢復到云環境中，然后911事件發生了，所有人都同時宣布進入緊急狀態。如果你不是第一批宣布這一消息的公司之一，(云服務供應商)會說，‘我們已經滿了’”，布勞納說。

BLauner說，解決方案是讓CIO們建立他們的緊急最低生存產品(MVP)職位，他的意思是讓企業識別他們最基本的服務——那些“你的客戶離不開的服務”——這樣，當緊急情況發生時，只有那些緊急服務才會轉移到云中。如果所有企業都這樣做，該行業就能挺過下一場危機。

例如，當BLauner在花旗工作時，MVP是國際資金轉移。如果我們不保護這一點，我們可能會遭遇全球經濟崩潰。在韓國，如果沒有花旗，你就無法進行轉賬。“對于世界上的每一家公司來說，都有這樣的事情。”

自身造成的安全風險和效率低下

Gartner云安全團隊的高級主管分析師Charlie Winckless同意危機發生時的可擴展性是一個令人擔憂的問題，但他認為IT領導者的典型解決方案正在形成一個不同的問題：通過與全球大量云環境達成協議來覆蓋他們在云方面的賭注。

CIO認為，通過使用多個云提供商，他們認為它正在提高可用性，但事實并非如此。它所做的一切只是增加了復雜性，而復雜性一直是安全的敵人。“使用云提供商的區域要劃算得多。”

咨詢公司麥肯錫負責監管企業網絡安全戰略實踐的合伙人里奇·伊森伯格認為，企業往往達不到云所承諾的財務和效率優勢，因為它們不愿充分信任云環境的機制。

企業IT的“阻力”在于他們不信任云自動化和技術。他們希望自己的團隊管理一切。Isenberg說，云包括云原生工具和自動化，但CIO仍然傾向于使用他們的團隊的老式方法，這些高管“依賴于他們的安全和訪問團隊，他們從他們首選的供應商那里獲得了他們的首選工具。”

這意味著許多云任務需要執行兩次，這就是效率優勢有時無法實現的原因。伊森伯格說，大多數IT高管“認為重大漏洞將威脅到他們的工作，但現實情況是，威脅是這些高管不是數字技術的先鋒。”如果高管們“不接受云本地[工具]和自動化，那么，是的，這將成為別人的工作。”

如今，云在所有企業系統中的集成程度都很高，無論是IaaS、PaaS還是SaaS，云戰略都需要成為默認假設。伊森伯格說：“無論你知道還是不知道，無論你想不想，你都會參與其中。”