平衡IT安全与AI和云创新

网络安全专家就如何管理IT供应商合同中的服务级别、潜在锁定条款和安全漏洞提供见解

云服务与AI战略的安全挑战

组织日益依赖云服务推动创新和运营效率。随着更多人工智能工作负载使用基于公共云的AI加速，组织的AI战略与这些服务的安全性和可用性紧密相连。

Quorum Cyber首席信息安全官John Bruce指出，CISO面临着一个持续挑战：如何将云提供商的服务等级协议与企业安全性和可用性要求对齐。

Aryaka安全工程和AI战略副总裁Aditya Sood表示，虽然SLA通常涵盖正常运行时间、支持响应时间和服务性能等指标，但经常忽略数据保护、违规响应和法规遵从等关键要素。

Sood指出，这造成了责任差距，对责任方的假设可能导致严重的盲点。例如，客户可能假设云提供商的SLA保证数据保护，结果却发现自己的配置错误或薄弱的身份管理实践导致了数据泄露。

Bruce根据经验表示，SLA与企业IT要求不一致的情况比许多领导者意识到的更为常见。“无论是初创企业的尖端AI平台、安全保证有限的专业软件即服务，甚至是标准SLA达不到监管要求的成熟云提供商，提供商提供的服务与企业需求之间的差距可能很大。”

Bruce建议采用结构化方法评估和缓解这些差距：

Bruce指出，现代云生态系统呈现复杂格局。虽然主要云提供商如AWS、Azure和Google Cloud已经显著成熟了其安全产品和服务等级协议，但更广泛的生态系统包括数千家专业提供商。

IT决策者可能面临创新悖论：有前景的AI或机器学习平台提供突破性能力，但只提供基本安全保证和99.5%的正常运行时间承诺，而组织需要99.99%的可用性。

Sood强调，SLA保证云提供商对"云安全"的承诺，但明确不涵盖客户在云中安全的责任。即使提供商的SLA承诺其基础设施99.99%的正常运行时间，客户的配置错误、薄弱身份管理或未打补丁的应用程序仍可能导致数据泄露或服务中断。

Bruce还提到"合规差距"，即SaaS提供商提供基本功能，但其数据驻留、加密或审计日志功能不符合组织的监管要求。

除了管理IT安全责任的协调外，IT领导者还应警惕在公共云平台中使用增值服务的程度。

前内阁办公室IT战略和政策主任Bill McCluggage表示，每年只有不到1%的客户更换云提供商，因为系统被操纵。例如，从公共提供商数据中心传输数据的出口费用不透明。McCluggage指出，出口费用加上专有API和具有约束力的企业协议，通常使更换公共云提供商的成本过高。

McCluggage警告，这种锁定不仅抑制竞争，还破坏了英国政府成为AI强国的雄心。随着AI工作负载日益依赖高性能云基础设施，继续依赖仅有的两家主导超大规模提供商，可能将能力、控制和创新集中在少数人手中。

Quorum Cyber的Bruce警告，试图消除所有SLA差距将意味着放弃可能具有变革性的技术。相反，成功的CISO需要开发框架，做出明智的风险决策，在保持适当控制的同时实现创新。

Sood敦促IT决策者采用主动的治理、风险和合规方法，通过更新组织的内部安全政策和程序来适应新的云服务及其特定风险状况。

通过采用这些策略，IT和安全领导者可以自信地采用创新云技术，最小化固有风险，并确保强大的合规态势，即使面对最初不符合所有期望标准的SLA。

Bruce总结道：“问题不是是否接受风险，而是如何智能地管理风险以追求业务目标。”