以下是云遷移失敗的三大原因，以及一些可能有助于扭轉局面的關鍵指導。

譯自Why Cloud Migrations Fail，作者 Shai Morag。

近 60% 的 IT 領導者計劃今年將更多工作負載遷移到云?？梢岳斫獾氖?，可擴展性的承諾、成本節約和增強的協作使這成為一個引人注目的提議。然而，這是一個細致入微且規模龐大的任務，需要時間、關注和對安全有效使用的承諾。

有時，云遷移會變得非常復雜或難以駕馭，以至于無法實現預期的效益，導致成本超支和延誤，或者過度依賴第三方。最終，復制和粘貼從少數幾個善意但可能被過度炒作的案例研究中得出的路線圖根本行不通。

在這里，我將回顧云遷移失敗的三大主要原因，并提供一些關鍵指導，這些指導可能有助于企業安全團隊和決策者糾正航向。

共享責任模型

云之旅中的一個絆腳石是對共享責任模型的誤解或混淆。此框架界定了云服務提供商 (CSP) 的安全義務（歸結為保護底層基礎設施）和客戶（即保護數據、訪問、應用程序和配置）。該模型需要對最終用戶義務有清晰的理解，并強調協作和勤勉的必要性。

對 CSP 提供的安全監督水平的廣泛假設會導致安全/數據泄露，美國國家安全局 (NSA)指出，“發生的頻率可能比報告的要高”。值得注意的是，82% 的泄露事件在 2023 年涉及云數據。

在云“遷移”的情況下，這種混淆往往會加劇，在這種情況下，照常運營、架構和實踐只是被推送到云中，而沒有適應其新的環境。在這些情況下，組織可能難以及時實施適當的程序、監控和人員，以匹配其新的云環境的安全限制。

雖然嵌入式安全級別可以根據所選的云模型（軟件即服務、基礎設施即服務、平臺即服務）而有所不同，但客戶通常必須實施嚴格的安全和身份和訪問管理 (IAM)控制來保護其環境。如今，后者變得越來越重要，考慮到近 40%的勒索軟件事件在 2023 年始于被盜的合法憑據。

NSA在其指南中還警告說：“客戶通常認為 CSP 保護客戶數據的責任范圍比實際范圍更廣，導致客戶未能采取必要的措施。”

因此，云用戶必須開發和壓力測試事件響應手冊，積極尋找入侵，部署多因素身份驗證，也許最重要的是，仔細審查“細則”，即他們與提供商的服務級別協議 (SLA)。

數據主權障礙

我不能不提另一個房間里的大象：合規性。根據 2024 年云安全聯盟報告，61% 的 IT 和安全領導者最近將合規性標準一致性列為 SaaS 環境中的主要挑戰。法規增加了復雜性，尤其是在“數據主權”等及時考慮因素方面，即數據受其存儲或處理所在國家/地區的法律和法規約束。

全球范圍內，數據本地化法律的執行力度不斷加強，部分原因是歐盟的《通用數據保護條例 (GDPR)》和《加州消費者隱私法 (CCPA)》等更廣泛法規中的規定。這兩項法規都對數據隱私和保護提出了嚴格的指導方針，包括對數據處理、存儲和傳輸方式的強制性要求。

這可能給企業團隊帶來新的挑戰，他們必須制定全面的治理框架，其中包括：

• 加密實踐
• 嚴格的 CSP 選擇標準（包括選擇擁有本地數據中心的 CSP）
• 強制性、持續的審計等等

總而言之，在未考慮監管影響的情況下進行云遷移可能會增加成本、減緩進度，并可能需要在后期進行完全重新設計以補救控制措施。

遷移后監督

數據和應用程序遷移后，云之旅仍在繼續。有效的管理需要一支高效的云運營團隊來提供重要的支持功能，包括：

• 性能監控，以檢測和解決問題
• 持續的安全評估，以防范已知和零日漏洞
• 身份控制，以管理對云應用程序的訪問
• 成本管理，以防止預算超支
• 資源退役流程，以降低云蔓延或成本螺旋式上升的風險

正如科技培訓平臺InfoSec Institute 警告那樣，“[云] 比本地部署更復雜，需要了解……基本原理和原則?！?它補充道：“忽視新的范式……會帶來巨大的風險?！?我完全同意。

組織必須規劃永久性監督，并在項目啟動時就提出這個問題。

確保順利遷移

盡管存在挑戰，但云計算擁有巨大的潛力，并能為團隊節省大量前期投資于物理基礎設施的成本。

通過定制設計、經過驗證的控制措施和有效的管理，企業可以確保更順利的云遷移之旅，并充分發揮其優勢。經驗豐富或思想開放的領導層和核心技術人員也將有助于順利過渡。

每個組織都會有獨特的路徑。但是，在適當的指導下，團隊可以避免笨拙、昂貴或有風險的流程，并在云中蓬勃發展。