金融服务中的云采用：风险与机遇

金融服务公司历来对是否为其大部分工作负载采用云犹豫不决，更愿意在选择使用云的用途时具有战略意义。

然而，根据麦肯锡最近的一项调查，今年金融服务中的云采用率可能会继续增长。

该研究发现，超过一半的受访者 (54%) 表示，他们预计在未来五年内将至少一半的工作负载转移到公共云中。

Symmetry Systems 数据安全首席布道师 Claude Mandy 解释说：“随着云的使用扩展到以前被排除在外的物质工作负载，云采用率的增加表明金融服务和监管机构对云安全的信任度越来越高。”

他说，最佳实践和案例研究的出现为更多公司在与监管机构打交道时效仿提供了路线图。

同时，用于云安全管理的新工具使公司更加确定和信任数据在云中受到保护和合规。

“云的主要安全优势是对数据和身份发生的情况进行详细的遥测——这是不可能在云之外大规模创建的，”Mandy 补充道。“这为组织提供了比以往任何时候都更详细的数据可见性和控制。”

云的弹性适合行业

Valtix 的首席安全研究员 Davis McCarthy 解释说，金融服务是有弹性的，工作负载的潮起潮落与许多云技术所接受的弹性资源消耗的概念相得益彰。

他说：“考虑在纳税到期前用户活动激增的税务准备服务，或者在利率较低时看到更多应用程序的融资服务。”

然而，当合规标准与新兴技术相交时，创新就有可能被扼杀。

“金融交易通常包括符合各种数据隐私和安全标准的 PII [个人身份信息]，金融机构对其季度收益的完整性负责，”他解释道。

Mandy 解释说，大多数金融服务公司主要担心网络犯罪，包括网络钓鱼和勒索软件，以及盗窃、丢失或对受监管数据的不当访问。

“关键的安全风险对于非金融服务公司来说没有什么不同，它们与是否使用云也没有太大区别，”他说。“在每个安全风险中，由于数据的机密性、完整性或可用性的丧失而导致的业务后果。”

然而，他承认这些风险如何发生的机制在云中确实有所不同，越来越多的是通过错误配置或对数据的过度特权。

竞争迫使云转换

Tigera 总裁兼首席执行官 Ratan Tipirneni 补充说，金融科技初创企业正在以令人眼花缭乱的速度进行创新，并对金融服务公司构成“巨大”威胁——这种新的竞争因素正在迫使人们改变习惯。

“大型现有金融公司必须加快软件创新和服务的步伐，”他说。“要做到这一点，他们需要让开发人员摆脱束缚，让他们能够快速进行试验。”

他指出，云可以提供的按需基础设施被认为是实现这一目标的“赌注”——也是提高开发人员生产力的先决条件。

另外，监管机构已实施审批要求，以评估和避免可能影响整个金融服务行业的事件的影响。

“监管机构的必要批准鼓励公司确保数据的安全性，”曼迪说。“必须仔细考虑和评估对云外包和供应商锁定的总体风险的担忧。”

他指出，仅请求批准的努力已经阻止了许多公司采用云。

解决云合规性问题

Mandy 指出，金融服务行业的监管主要集中在两个监管领域：确保公司充分保护数据，并进一步确保该行业具有弹性。

“由于存在多个监管机构和法规，遵守法规对金融服务公司来说已变得具有挑战性，”他说。

Mandy 指出，各种类型的数据可能会受到重叠法规的约束，这使得组织更难以确定适用哪些强制要求——例如，一家总部位于加利福尼亚州的公司拥有有关 18 岁以下同时也是欧洲公民的消费者的信息。

“数据隐私、数据主权、数据驻留需要深入了解数据类型、数据位置以及访问者，”他解释道。

Tipirneni 表示，金融服务中云的合规性问题来自他们在本地面临的相同合规性要求列表。

“迁移到云并没有改变这个等式，并且标准设置在同一水平，”他说。

在他看来，有效的云安全策略需要以他们试图保护的数据为中心。

“与任何其他行业相比，这些数据更直接代表金钱——客户的金钱、赚取的收入，以及金融服务公司有责任保护的价值，”他说。

纵深防御

有效的安全策略将注意力集中在实施一组协调的功能上，以识别、保护、检测、响应安全事件并从中恢复。

“这创造了弹性和纵深防御，”Tipirneni 说。“云采用会产生一种错误的安全感，因为租户负责工作负载的安全。”

他提倡使用最小特权的零信任模型，以减少攻击面并防止攻击，并能够检测来自系统/容器和网络的已知和未知威胁。

McCarthy 补充说，云的整合攻击面使 CSP 成为威胁参与者有利可图的目标。

“威胁行为者还知道许多组织在云中失去了可见性，并努力利用这一事实，”他警告说。“金融服务公司的有效云安全策略必须基于机密性、完整性和可用性的原则。”