Technology

【顧問業】埃森哲採取工業化雲端管控策略

Vendor Icon

CIO Taiwan

6月. 07, 2024

安全曾經是全球最大管理諮詢公司埃森哲(Accenture)開發人員的阻礙。但自從將公司的合規控制集中化以來,這個流程從未如此簡單。

文/Aimee Chanthadavong‧譯/酷魯


埃森哲於 2015 年開啟其雲端之旅時,公司就知道一些重大變革即將來到,而且是朝著更好的方向變動。在第一年,該公司將其所有業務應用程式的雲端足跡從 9%擴大到 90%,因為該公司意識到雲端可以減少以規模和速度設計、構建和部署應用程式所需的時間和心力。在前三年裡,2023 CSO50 Award 大獎得主埃森哲省下了 2,000 多萬美元。

「我們採取了一種老派、前工業時代的做法來保護這些物件。它是定製的,而不是創建一個使安全從頭到尾成為開發生命周期不可或缺一部分的適當工業化流程,」埃森哲 CISO 資安長 Kris Burkhardt 指出。

這種方法最初是有效的,但隨著埃森哲的雲端安全需求變成一個橫跨數千個帳號並部署數百萬資料的更複雜流程後,很快就變得效率不彰。它涉及多個階段、多個閘道以及來自多個團隊的人員。埃森哲的多雲端(multi-cloud)環境進一步加劇了這個問題。

埃森哲構建了自己的安全套件

Burkhardt 解釋,由於當時缺乏現成的安全雲端解決方案,所以對安全採取定製的方式會是那個時候的最佳選擇。「那時沒有提供安全套件,當然更沒有跨雲端安全套件的供應商,所以我們不得不創建自己的安全套件,」他說。「我們這樣做是為了能勉強應付安全,而且用起來還不差,但隨著我們的開發人員規模擴大,並且能夠充份利用虛擬機器採購和雲端服務訂閱的靈活性和便利性,我們意識到我們必須做點不一樣的事。我們無法跟上我們開發人員的快速步伐。」

一些具體的安全問題出現了,包括確保只有相關使用者才可以有權限存取某些資料、物件、程式碼或應用服務。Burkhardt 補充說,訣竅在於「跟上物件流和伴隨每一個主要基本元件的兩三個獨特之處」。

雲端安全的複雜性也成為埃森哲開發人員的障礙。安全往往是事後才追加的,開發人員只在最後階段才考慮到安全問題,並將其視為產品上線前不太重要的一步。「我們希望我們的開發人員將創造力花在他們自己的專案項目上,而不是花在雲端安全上;雲端安全應該為他們服務,」Burkhardt 說。「我們擔心自己會拖慢他們的速度,因為我們的工作就是用最簡單的方式確保開發人員的安全,進而幫助他們取得更大的成功。我們意識到,為了保持速度,並保持競爭力或更具競爭力,我們就必須讓控制的發布速度加快。」

不幸的是,Burkhardt 承認,沒有人(甚至他自己)預見到問題的到來。「當你不再需要計劃採購合適大小的硬體,或者當你不再需要考慮資本投資,而可以按照節奏並以有意或無意中你所能實現的速度和規模來選擇任何你需要的虛擬機器和雲端物件時,這一切都變得令人難以置信,」他說。「確保其規模並真正理解如何跟上所有庫存,我認為這是一個沒有人真正理解到會即將發生的挑戰。」

透過集中化簡化安全性

一旦意識到問題只會愈來愈嚴重,埃森哲就開始調查研究可行在的解決方案,以便讓公司能夠簡化整個雲端安全合規程序並長期維持下去。該公司採用的解決方案是一個新的精實流程,涉及了與埃森哲長期市場合作夥伴之一的網路安全商 Palo Alto Networks 的合作,以及 Palo Alto 旗下 Prisma Cloud 雲端原生安全平台的採用。

埃森哲開發了一個虛擬雲端控制工廠,以支援五大全球雲端基礎設施供應商,並實現可靠的庫存;開發一致性的日誌和警報發送機制,以支援安全事件偵測;以及開發用於認證雲端服務和發布安全控制的可預測、穩定性和可重複的流程。

該工廠配置了五個虛擬「部門」。包括負責服務認證、控制定義、選擇、測量和持續再評估的研發部門;生產線設計與建置控制部門;品質保證測試控制部門;將控制與合規報告工具加以整合的進出貨部門;以及在控制機制上線為客戶提供支援的客戶服務部門。

「我們決定將雲端控制的開發集中化,將所有需求集中到一個地方,開始以一種我們可以透過工廠運行的方式組織它們,如此一來人們就可以使用通用的控制、通用的架構,有機會跟上 [我們工程師] 基於 [主要雲端平台] 之創新的創新步伐,」Burkhardt 表示。

塑造豐田模式之安全控制

精簡安全控制的決定遵循了所謂的豐田模式(The Toyota Way,TTW),這是一種基於 14 條原則的管理哲學。埃森哲已使用它來幫助定義其控制和雲端安全合規所需的流程和工具。

「TTW 是一種製造方式。我們對製造式的方法感興趣的原因是因為我們需要將我們的安全控制生產加以工業化,」Burkhardt 說。「就製造品質、速度和規模而言,Toyota 可能是比較值得研究的更有趣公司之一……我們知道我們需要大規模生產製造這些控制措施。我們想在這方面做得很好,所以我們與其試圖重新發明輪子,我們決定最好看看一些真正擅長大規模製造的人。」

Burkhardt 解釋了埃森哲已付諸實踐的一些 TTW 原則,包括確保參與雲端安全合規流程的每個人都能夠做出貢獻,以便持續不斷地改進該流程。該公司已經成立了一個使用者驗收委員會(user acceptance board),開發人員和工程師皆參與其中,任何人都可以發表意見並提出改進建議。

Burkhardt 解釋說,另一個原則是在從供應商到終端客戶之供應鏈上下游建立牢固的關係。「我們花了很多時間來了解我們的開發人員將如何普遍地使用物件,以及從安全控制的角度來檢視,我們提供的哪些方式對他們有用,哪些方式沒用,」他表示。「我們不想成為象牙塔安全組織之一,只會規定一些不切合安全現實的標準。相反的,我們想幫助我們的開發人員,所以我們試圖了解他們如何使用它。同樣的,我們想要和我們的供應商合作,開發我們所需的安控機制,讓他們參與進來,讓他們了解我們正在努力實現的目標。」

標準化和效率也是 Burkhardt 特別強調之 TTW 背後的另外兩個關鍵原則。「與其讓不同的開發團隊試圖以各種在他們領域可行的不同方式來解決這些標準問題,我們會希望由一個團隊以開發人員期望以及他們可以信賴的方式,創建適用於所有人的控制措施,」他表示。

從設計一開始就強調安全性

自引入雲端控制工廠(cloud control factory)和 Prisma Cloud 以來,埃森哲便實現了可靠的庫存;一致的日誌和警報發送,以支援安全事件偵測;以及用於認證雲端服務並發布安全控制措施之可預測、穩定定和可重複的流程。

因此,埃森哲每個月認證服務的數量超過兩倍,一年內發布管控(release control)增加了 84%。此外,前後發布之間的時間間隔減少了 50%。根據埃森哲的說法,其他顯著的好處還包括增加了關鍵雲端控制和合規檢查的生產,透過減少事件應變和矯正所需的時間和資源,進而讓業務營運更加精簡高效。新方法和平台的採用也支持了埃森哲下一階段的計畫,亦即從威脅建模到控制部署再到預防措施等大多數安全流程的自動化,該公司表示。

如今,埃森哲的開發人員也可以專注於解決業務問題和創新等主要任務,而不必再過多考慮安全問題。現在有一個獨立的團隊負責確保雲端控制工廠發布的任何控制措施皆合規且安全。

「[開發人員] 很高興他們可以更快地使用經批准的雲端物件,因為我們可以更快地批准它們,如此一來我們就可以更快地發布各種控制,」Burkhardt 表示。「他們很高興他們不必為整合問題傷透腦筋;他們知道公司將為他們搞定這個問題。這讓他們少了一件需要擔心的事。在這個領域裡,無論你的安全工作做得有多好,你的工作就是要低調地隱身在幕後,只要我們成功當個隱形人並且不防礙到 [我們的開發人員],就會得到世界最好的讚美。」


(本文授權非營利轉載,請註明出處:CIO Taiwan)

The post 【顧問業】埃森哲採取工業化雲端管控策略 first appeared on CIO Taiwan.

內容來源

author avatar
CIO Taiwan
IDG集團的媒體品牌CIO於1987年創刊,為國際性最權威的IT管理專業雜誌。擁有全球最頂尖的IT管理專家作者群,因此能寫出最權威的分析評論、最先進的IT管理觀念。
donate plan

充電計畫

喜歡這篇文章嗎?歡迎幫作者充電,好內容值得更多人支持