企業防「雲」端跌倒 專家建議「多雲」加強資訊韌性
微軟雲服務 7/19 無預警大當機,全球眾多產業遭潑及,國內企業上雲應留意哪些配套措施,才能防止成為「雲端跌倒、世界哀嚎」受災戶?專家建議除公有雲的服務配置,做適當的多雲、區域分散與合理的時間差配置,並有其他備援系統與人工作業的應變計劃,應該在規劃時就加以考量,加強資訊韌性。
微軟雲服務大當機,影響層面非常廣泛,除了國內、外多家跨國航空、醫療、旅宿業者等大型服務企業受到波及外、如倫敦證交所等金融業、特斯拉供應鏈,也受到不同程度的影響。
和班機被取消的無辜旅客,一起塞在美國機場人龍中的 KPMG 台灣多位資安專家表示,沒想到讓全球數千架飛機同時無法起飛的原因,竟是一次的雲服務更新失誤。這個被媒體形容成「IT 史上最慘」的災難也讓他們的公差回台之路,延遲 2 天以上,多轉了好幾次班機,迄今尚未扺台。
KPMG 安侯企管公司董事總經理謝昀澤解釋,國際航空公司大量使用雲端服務來處理登機、航機調度、旅客服務等核心作業,一旦雲服務停擺,相關地勤作業都無法進行。這個現象暴露了企業的各種服務上雲的需求驟增,但應變措施尚未與時俱進,也凸顯了雲服務的巨大潛在風險與脆弱性。
企業上雲好比過去每家公司都自己蓋房子住 (擁有自建的機房與伺服器),現在為了系統的應用效率及成本優化,快速搬入了集合式出租大樓 (採用公有雲服務),雖然集合式大樓外觀堅固又豪華,內部服務新潁又多元,但一旦風險發生,災情更慘重,賠償更有可能只有抵減租賃或訂閱費用。
謝昀澤觀察,公有雲已經成為世界經濟運作的關鍵基礎建設,重要程度不亞於油水電等設施。而資訊科技的世界裡,本來就不存在 100% 的韌性及永續,雖然企業選擇上公有雲,是強化資訊服務韌性的手段之一,如果沒有妥善的架構配合與流程規劃,不但這類「因安全更新而產生的不安全問題」事件會持續發生,未來恐怕有更多的雲端攻擊與資安災難,會讓上雲策略瞬間「由韌性變成嫩性」。
KPMG 亞太區政府領域資安主持人執行副總邱述琛分析,公有雲服務是一個複雜的生態系,所有的服務堆疊起來才能提供正常服務,目前在全球的公有雲服務運作實務中,不是所有的變更都會事先通知客戶。所以在公有雲的服務配置,做適當的多雲、區域分散與合理的時間差配置,並有其他備援系統與人工作業的應變計劃,應該在規劃時就加以考量。
另外,邱述琛也提醒台灣的金融業者,此次的事件也對部分本國金融單位的內部作業與外部服務產生了衝擊,台灣金管會雖已對金融業者用雲端服務有多項規定,包含委外的風險評估及第三方稽核等,除前述要求都應該落實執行外,也建議能參考「金融機構資訊作業韌性規範」要求,從行內核心業務範擴展至雲端服務。