安全曾經是全球最大管理諮詢公司埃森哲(Accenture)開發人員的阻礙。但自從將公司的合規控管集中化以來,這個流程從未如此簡單!
文/Aimee Chanthadavong‧譯/酷魯
當埃森哲於 2015 年開啟其雲端之旅時,公司就知道一些重大變革即將來到,而且是朝著更好的方向變動。在第一年,該公司將其所有業務應用程式的雲端足跡從 9%擴大到 90%,因為埃森哲意識到雲端可以減少以規模和速度設計、構建和部署應用程式所需的時間和心力。在頭三年裡,2023 CSO50 Award 大獎得主埃森哲省下了 2,000 多萬美元。
「我們採取了一種老派、前工業時代的做法來保護這些物件。這做法是定製的,而不只是創建一個適當工業化流程,使安全從頭到尾成為開發生命周期的一部分。」埃森哲 CISO 資安長 Kris Burkhardt 指出。
這種方法最初獲得好的成效,但隨著埃森哲的雲端安全需求變成一個橫跨數千個帳號,並部署數百萬資料的更複雜流程後,很快地就遇到瓶頸了。它涉及多個階段、多個閘道以及來自多個團隊的人員。埃森哲的多雲端(multi-cloud)環境進一步加劇了這個問題。
為了應對這些挑戰,埃森哲採取了一系列措施來提高雲端的安全性。
埃森哲構建了自己的安全套件
Burkhardt 解釋,由於當時缺乏現成的安全雲端解決方案,所以對安全採取定製的方式會是那個時候的最佳選擇。
「那時沒有提供安全套件,當然更沒有跨雲端安全套件的供應商,所以我們不得不創建自己的安全套件,」他說。「我們這樣做是為了能勉強應付安全,而且用起來還不差,但隨著我們的開發人員規模擴大,並且能夠充份利用虛擬機器採購和雲端服務訂閱的靈活性和便利性,我們意識到我們必須做點不一樣的事。我們無法跟上我們開發人員的快速步伐。」
一些具體的安全問題出現了,包括確保只有相關使用者才可以有權限存取某些資料、物件、程式碼或應用服務。Burkhardt 補充說,訣竅在於「跟上物件流和伴隨每一個主要基本元件的兩三個獨特之處」。
[ 推薦閱讀:資訊長現正關注 SaaS 過度擴張問題 ]
雲端安全的複雜性也成為埃森哲開發人員的障礙。安全往往是事後才追加的,開發人員只在最後階段才考慮到安全問題,並將其視為產品上線前不太重要的一步。
「我們希望我們的開發人員將創造力花在他們自己的專案項目上,而不是花在雲端安全上;雲端安全應該為他們服務,」Burkhardt 說。
「我們擔心自己會拖慢他們的速度,因為我們的工作就是用最簡單的方式確保開發人員的安全,進而幫助他們取得更大的成功。我們意識到,為了保持速度,並保持競爭力或更具競爭力,我們就必須讓控制的發佈速度加快。」
不幸的是,Burkhardt 承認,將有一個始料未及的問題,連他自己都未曾想過。「當你不再需要計劃採購合適大小的硬體,或者當你不再需要考慮成本投資,而是可以隨心所欲地選擇任何你需要的虛擬機器和雲端物件時,並且能以超乎預期的速度與規模進行,這一切都會變得令人難以置信,」他說。
「確保這些資源的規模,並真正掌握如何跟上所有資料清冊,將會是一個挑戰,因為沒有人真正理解它即將發生!」
以集中化管理簡化雲端安全合規程序
意識到問題只會愈來愈嚴重後,埃森哲就開始調查研究可行的解決方案,讓公司能夠簡化整個雲端安全合規程序,並長期維持下去。
埃森哲採用的解決方案是一個新的精實流程,涉及了與埃森哲長期市場合作夥伴之一的網路安全商 Palo Alto Networks 的合作,以及 Palo Alto 旗下 Prisma Cloud 雲端原生安全平台的採用。
埃森哲開發了一個虛擬雲端控制工廠,以支援五大全球雲端基礎設施供應商,並實現可靠的資產清冊;開發一致性的日誌和警報發送機制,以支援安全事件偵測;以及開發用於認證雲端服務和發布安全控制的可預測、穩定性和可重複的流程。
[ 熱門精選:Huber 如何打造跨部門的創新引擎? ]
該工廠配置了五個虛擬「部門」。包括負責服務認證、控制定義、選擇、測量和持續再評估的研發部門;生產線設計與建置控制部門;品質保證測試控制部門;將控制與合規報告工具加以整合的進出貨部門;以及在控制機制上線為客戶提供支援的客戶服務部門。
「我們決定將雲端控制的開發集中化,將所有需求集中到一個地方,開始以一種我們可以透過工廠運行的方式組織它們,如此一來人們就可以使用通用的控制、通用的架構,有機會跟上工程師在主要雲端平台之創新的創新步伐,」Burkhardt 表示。
豐田模式的安全控管
精簡安全控制遵循了「豐田模式(The Toyota Way,TTW)」,這是一種基於 14 條原則的管理哲學。埃森哲已使用它來幫助定義其控制和雲端安全合規所需的流程和工具。
「TTW 是一種製造方式。我們對製造式的管理方法感興趣的原因,是因為我們需要將安全控管的生產流程加以工業化,」Burkhardt 說。
「就製造品質、速度和規模而言,Toyota 可能是比較值得研究的公司之一,因為我們需要大規模產製這些安全控管措施。既然如此,我們就希望能夠在這方面做得出色,而與其自己重新發明系統,我們決定先向擅長大規模製造的企業學習。」
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
Burkhardt 解釋了埃森哲已付諸實踐的一些 TTW 原則,包括確保參與雲端安全合規流程的每個人都能夠做出貢獻,以便持續不斷地改進該流程,並已經成立了一個使用者驗收委員會(user acceptance board),開發人員和工程師皆參與其中,任何人都可以發表意見並提出改進建議。
Burkhardt 解釋說,另一個原則是在從供應商到終端客戶之供應鏈上下游建立牢固的關係。「我們花了很多時間來了解我們的開發人員將如何普遍地使用物件,以及從安全控制的角度來檢視,我們提供的哪些方式對他們有用,哪些方式沒用,」
他表示。「我們不想成為象牙塔安全組織之一,只會規定一些不切合安全現實的標準。相反的,我們想幫助我們的開發人員,所以我們試圖了解他們如何使用它。同樣的,我們想要和我們的供應商合作,開發我們所需的安控機制,讓他們參與進來,讓他們了解我們正在努力實現的目標。」
標準化和效率也是 Burkhardt 特別強調之 TTW 背後的另外兩個關鍵原則。「與其讓不同的開發團隊試圖以各種在他們領域可行的不同方式來解決這些標準問題,我們會希望由一個團隊以開發人員期望以及他們可以信賴的方式,創建適用於所有人的控制措施,」他表示。
從設計一開始就強調安全性
自導入雲端控制工廠(cloud control factory)和 Prisma Cloud 以來,埃森哲便實現了可靠的資產清冊,準確掌握雲端資料的種類和數量,從而更好地管理和保護這些資料;一致的日誌和警報發送,以支援安全事件偵測;以及用於認證雲端服務並發布安全控制措施之可預測、穩定定和可重複的流程。
因此,埃森哲每個月認證服務的數量超過 2 倍,一年內發布管控(release control)增加了 84%。此外,前後發布之間的時間間隔減少了 50%。
根據埃森哲的說法,其他顯著的好處還包括增加了關鍵雲端控制和合規檢查的生產,透過減少事件應變和矯正所需的時間和資源,進而讓業務營運更加精簡高效。
新方法和平台的採用也支持了埃森哲下一階段的計畫,亦即從威脅建模到控制部署再到預防措施等大多數安全流程的自動化,該公司表示。
[ 熱門精選:進退兩難?掌握 TCO 助 IT 採購決策 ]
如今,埃森哲的開發人員也可以專注於解決業務問題和創新等主要任務,而不必再過多考慮安全問題。現在有一個獨立的團隊負責確保雲端控制工廠發布的任何控制措施皆合規且安全。
「開發人員很高興他們可以更快地使用經批准的雲端物件,因為我們可以更快地批准它們,如此一來我們就可以更快地發布各種控制,」Burkhardt 表示。
「他們很高興他們不必為整合問題傷透腦筋;他們知道公司將為他們搞定這個問題。這讓他們少了一件需要擔心的事。在這個領域裡,無論你的安全工作做得有多好,你的工作就是要低調地隱身在幕後,只要我們成功當個隱形人,並且不防礙到我們的開發人員,就會得到世界最好的讚美。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)
