金融服務中的云采用：風險與機遇

金融服務公司歷來對是否為其大部分工作負載采用云猶豫不決，更愿意在選擇使用云的用途時具有戰略意義。

然而，根據麥肯錫最近的一項調查，今年金融服務中的云采用率可能會繼續增長。

該研究發現，超過一半的受訪者 (54%) 表示，他們預計在未來五年內將至少一半的工作負載轉移到公共云中。

Symmetry Systems 數據安全首席布道師 Claude Mandy 解釋說：“隨著云的使用擴展到以前被排除在外的物質工作負載，云采用率的增加表明金融服務和監管機構對云安全的信任度越來越高。”

他說，最佳實踐和案例研究的出現為更多公司在與監管機構打交道時效仿提供了路線圖。

同時，用于云安全管理的新工具使公司更加確定和信任數據在云中受到保護和合規。

“云的主要安全優勢是對數據和身份發生的情況進行詳細的遙測——這是不可能在云之外大規模創建的，”Mandy 補充道。“這為組織提供了比以往任何時候都更詳細的數據可見性和控制。”

云的彈性適合行業

Valtix 的首席安全研究員 Davis McCarthy 解釋說，金融服務是有彈性的，工作負載的潮起潮落與許多云技術所接受的彈性資源消耗的概念相得益彰。

他說：“考慮在納稅到期前用戶活動激增的稅務準備服務，或者在利率較低時看到更多應用程序的融資服務。”

然而，當合規標準與新興技術相交時，創新就有可能被扼殺。

“金融交易通常包括符合各種數據隱私和安全標準的 PII [個人身份信息]，金融機構對其季度收益的完整性負責，”他解釋道。

Mandy 解釋說，大多數金融服務公司主要擔心網絡犯罪，包括網絡釣魚和勒索軟件，以及盜竊、丟失或對受監管數據的不當訪問。

“關鍵的安全風險對于非金融服務公司來說沒有什么不同，它們與是否使用云也沒有太大區別，”他說。“在每個安全風險中，由于數據的機密性、完整性或可用性的喪失而導致的業務后果。”

然而，他承認這些風險如何發生的機制在云中確實有所不同，越來越多的是通過錯誤配置或對數據的過度特權。

競爭迫使云轉換

Tigera 總裁兼首席執行官 Ratan Tipirneni 補充說，金融科技初創企業正在以令人眼花繚亂的速度進行創新，并對金融服務公司構成“巨大”威脅——這種新的競爭因素正在迫使人們改變習慣。

“大型現有金融公司必須加快軟件創新和服務的步伐，”他說。“要做到這一點，他們需要讓開發人員擺脫束縛，讓他們能夠快速進行試驗。”

他指出，云可以提供的按需基礎設施被認為是實現這一目標的“賭注”——也是提高開發人員生產力的先決條件。

另外，監管機構已實施審批要求，以評估和避免可能影響整個金融服務行業的事件的影響。

“監管機構的必要批準鼓勵公司確保數據的安全性，”曼迪說。“必須仔細考慮和評估對云外包和供應商鎖定的總體風險的擔憂。”

他指出，僅請求批準的努力已經阻止了許多公司采用云。

解決云合規性問題

Mandy 指出，金融服務行業的監管主要集中在兩個監管領域：確保公司充分保護數據，并進一步確保該行業具有彈性。

“由于存在多個監管機構和法規，遵守法規對金融服務公司來說已變得具有挑戰性，”他說。

Mandy 指出，各種類型的數據可能會受到重疊法規的約束，這使得組織更難以確定適用哪些強制要求——例如，一家總部位于加利福尼亞州的公司擁有有關 18 歲以下同時也是歐洲公民的消費者的信息。

“數據隱私、數據主權、數據駐留需要深入了解數據類型、數據位置以及訪問者，”他解釋道。

Tipirneni 表示，金融服務中云的合規性問題來自他們在本地面臨的相同合規性要求列表。

“遷移到云并沒有改變這個等式，并且標準設置在同一水平，”他說。

在他看來，有效的云安全策略需要以他們試圖保護的數據為中心。

“與任何其他行業相比，這些數據更直接代表金錢——客戶的金錢、賺取的收入，以及金融服務公司有責任保護的價值，”他說。

縱深防御

有效的安全策略將注意力集中在實施一組協調的功能上，以識別、保護、檢測、響應安全事件并從中恢復。

“這創造了彈性和縱深防御，”Tipirneni 說。“云采用會產生一種錯誤的安全感，因為租戶負責工作負載的安全。”

他提倡使用最小特權的零信任模型，以減少攻擊面并防止攻擊，并能夠檢測來自系統/容器和網絡的已知和未知威脅。

McCarthy 補充說，云的整合攻擊面使 CSP 成為威脅參與者有利可圖的目標。

“威脅行為者還知道許多組織在云中失去了可見性，并努力利用這一事實，”他警告說。“金融服務公司的有效云安全策略必須基于機密性、完整性和可用性的原則。”