隨着企業採用雲優先，供應商管理變得更加重要。企業正在與多家供應商合作，將工作負載遷移到雲端。幾乎所有的企業都制定了多雲战略，選擇不同的供應商來提供關鍵功能並避免單獨採購的業務連續性風險。

隨着圍繞雲安全的大量營銷，一些領導者可能會認爲他們的雲合作夥伴承擔這些風險的所有責任，但事實並非如此。

超大規模企業及其客戶對保護雲基礎設施、應用和數據負有共同責任。領先的雲服務提供商將提供身份和訪問管理（IAM）、威脅檢測、網絡和應用保護、數據保護和事件響應。他們還將提供合規服務，使客戶能夠滿足領先的行業法規，例如健康保險流通和責任法案(HIPAA)和支付卡行業數據安全標准(PCIDSS)。

然而，企業最終對其設備、應用和數據的安全性和健康負責。這就是爲什么許多人採用分層安全方法，在整個環境中進行控制。他們還使用零信任模型，這意味着對每個連接進行身份驗證，持續識別可能表明未經授權的訪問嘗試的行爲異常。最後，許多企業正在採用雲原生工具來發現、監控、保護和修復數據。

風險評估的重要性

組織經常錯過通過記錄關鍵供應商，並完成風險評估來更全面地了解風險的機會。此流程應在加入新供應商之前完成，並根據供應商的風險狀況定期更新。

作爲此流程的一部分，IT團隊將評估其潛在或當前合作夥伴的安全協議和流程、他們將管理哪些數據和應用，以及是否有其他企業將支持這項工作。然後，他們可以使用這些風險評級來確定是否與供應商合作，或要求他們在與供應商合作之前糾正風險。企業還可以通過與多個提供商合作或制定在不滿足服務級別協議時，轉移到另一個提供商的計劃來提高業務連續性。

第三方和第四方帶來的風險日益增加

盡管許多企業認爲他們了解第三方風險，但這種信念可能是錯誤的。調查發現，超過80%的法律和合規領導者在初次入職和盡職調查後發現了關鍵的第三方風險，因此他們將2.5倍的提供商列爲高風險。此外，大多數組織的風險評估工作都集中在盡職調查和重新認證上，只有27%的組織負責審查合作關系過程中可能出現的新風險。

更不爲人所知的是第四方或分供應商帶來的風險。雲服務提供商有無數各方幫助他們維護和運營其業務，其中一些可能有權訪問客戶數據和系統。實施零信任計劃、強制授予最低權限以及檢查安全數據是否存在異常可以幫助企業降低這些未知風險。

了解雲安全責任

選擇供應商後，風險緩解工作繼續進行。團隊將詳細審查合同，創建角色和職責矩陣，並與合作夥伴協調災難應對計劃。

雲服務提供商提供許多不同的功能，但並非所有功能都默認啓用。因此，它們可能需要正確配置才能啓用可降低風險的新安全功能。舉例來說，確保PCI合規性要求IT服務提供商及其客戶完成關鍵行動。

其他示例包括多重身份驗證(MFA)和數據丟失防護。MicrosoftOffice365和Microsoft365尋求強制執行MFA，但必須由每個用戶啓用。Johnson表示，Office365等雲服務中的DLP也必須進行配置，而且這不是一個簡單的過程。

此外，企業需要制定如何處理安全和合規數據的計劃。Office365使組織能夠管理和監控用戶發送敏感數據的嘗試，例如包含社會保障或信用卡號碼的內容。但企業IT團隊需要確定是否只是報告這些嘗試、阻止它們，還是與其他員工或合作夥伴加密共享這些數據。

IT團隊可以通過深入審查合同、適當配置服務並確保供應商之間的配置一致來建立成功的供應商關系。例如，當使用集中式數據庫或第三方工具是更好的選擇時，企業可能會跨雲分散身份和訪問管理。

通過使用這些策略，企業可以改進其供應商風險管理實踐。它們將降低禁用中斷、數據泄露或其他可能損害性能並造成客戶問題的問題的風險。

---

標題：如何改善供應商管理和網絡安全

地址：https://www.utechfun.com/post/344819.html