云风险策略完美无缺？别忘了考虑你的用户群体

云风险管理策略旨在通过缓解风险，让高风险变成较低的风险。你在制定策略时应该采取分四步走的方法，并且充分考虑到不同的用户们会如何认识和看待该策略（比如，有些用户需要的灵活性高于策略中规定的灵活性。）

如何制定云风险管理策略？

第一步：确认和识别资产

软件即服务（SaaS）用户仅限于他们用来访问SaaS应用程序的台式机、笔记本电脑，以及/或者平板电脑。

平台即服务（PaaS）开发人员使用更多的资产。PaaS开发人员可使用计算机及其工具来开发和管理应用程序；开发人员还在服务提供商提供的操作系统上运行其开发的应用程序。

基础设施即服务（IaaS）专家使用服务提供商提供的网络、存储或计算资源。

第二步：评估和分析风险

你需要评估每种资产的风险，然后将它们分类成低风险、中风险或高风险。至于风险是人为风险（比如错误的应用程序逻辑），还是自然灾害（比如地震频发地区），那没有什么关系。

第三步：实施防范措施

在实施防范措施之前，你应该确保它可以因此将高风险缓解成较低的风险。典型的防范措施包括故障切换机制、闰年识别、嵌套式防火墙以及双因子验证（比如强密码外加面部识别）。如果针对某项资产的防范措施未能带来积极的投资回报，你就应该为该资产投保。

第四步：评审资产、风险和防范措施

• 你应该定期评审资产、风险和防范措施（通常是每三个月或每六个月评审一次）。你在这么做的过程中可能会发现：
• 已购置了新的资产。比如说，你从贵企业获得最新款式的平板电脑，你用它来访问SaaS应用程序。回到第一步即识别资产，从头来过。
• 由于你用PaaS开发的某个应用程序的业务需求发生了变化，因而出现了新的风险。如果你的资产库里面没有出现任何新的资产，就回到第二步即评估风险。不然，就回到第一步，从头来过。
• 可能需要实施新的防范措施。某项新技术可能让防范措施花较少的钱就能获得更高的成效，或者出现新的风险时，就可能需要实施新的防范措施。至于你是PaaS开发人员还是IaaS基础设施专家，那没有关系。再次执行分四步走的过程。

不同的用户可能会如何认识和看待策略？

用户怎样认识和看待云风险管理的好处，这受到以下因素的影响：

• 他们扮演的云角色；
• 他们所在的部门；
• 云服务提供商授予他们的控制措施

SaaS用户的认识

在任何一家组织，SaaS用户拥有的唯一控制权就是，可以从他们选择的任何设备来访问SaaS应用程序――该应用程序涉及会计、人力资源还是供应链跟踪，那无关紧要。该用户无法控制应用程序的开发或虚拟机。

SaaS用户可能会认为服务提供商的云风险管理策略很有限，因为提供商不会让用户使用其安全工具来扫描查找SaaS应用程序的安全漏洞。

PaaS开发人员的认识

PaaS开发人员可以使用自己喜欢的任何一种安全工具；因此，他们认为提供商的风险管理策略很灵活。PaaS开发人员控制整个应用程序的生命周期：从概念阶段直到部署阶段，他们还可以开发及构建测试防范措施的安全工具。SaaS用户对给黑客设置重重障碍、无法逾越的任何防范措施都会很满意。

PaaS开发人员无法控制操作系统的更新和支持PaaS平台的虚拟机。提供商不允许开发人员针对操作系统和虚拟机实施防范措施，他们因而可能会感到失望。

IaaS网络专家的认识

IaaS网络专家可以在虚拟基础设施中使用其自己的安全工具。网络专家可能会认为提供商的云风险管理策略非常灵活。

IaaS网络专家对防范虚拟机避免非计划停运时间所需要的工具拥有控制权。提供商不允许IaaS网络专家控制其物理服务器和网络组成的基础设施，他们可以理解。

总结

想缓解或杜绝与云有关的安全问题，你最稳妥的办法就是要搞清楚哪些人将使用该策略，以及各方可能会对你管理风险的方法做出怎样的反应。