作者:Gartner高级研究总监高峰
Gartner高级研究总监赵宇
Gartner研究总监陈延全
随着地缘政治紧张局势不断升级以及合规和本地监管规则愈加严格,在中国经营的跨国企业当前面对的业务环境更加复杂。这些挑战促使许多企业对其IT系统进行解耦,以更好地适应中国市场要求和支持其中国境内业务。但是,解耦并非总是解决这些难题的最适合方法;而且,这一决策往往会因为忽略业务成本而有失偏颇,带来成本高昂、复杂性增加和用户体验下降等问题。
Gartner发现,企业在中国实施IT解耦时常常会遇到一些陷阱。CIO及其安全和风险管理(SRM)领导者应根据场景对IT解耦进行评估,以避免掉入常见陷阱。
陷阱1:使用防火墙来隔离企业在中国的网络基础设施
一些企业机构在中国采用网络隔离技术进行IT解耦。该方法使用防火墙来隔离中国大陆境内和境外的网络基础设施。这一做法虽然降低了合规风险,却增加了管理防火墙规则的复杂性,以及因防火墙配置不正确而导致网络中断的风险;此外,当今用户往往通过互联网而非企业内网对网络进行访问,因此仅隔离内网对于控制网络连接来说无济于事。
为避免这一陷阱,企业应制定身份优先战略,建立精确和灵活的访问控制,以改善安全态势并减少网络合规风险。身份优先安全策略将基于身份的控制作为企业机构网络安全架构基础要素。采用这一方法,在中国运营的跨国企业机构可以对发生在任何网络地点的数据访问实施精确控制。
陷阱2:未进行风险评估就实施应用解耦
由于对要求解耦的应用未设立标准,许多企业机构根据应用的关键性进行决策,但关键应用并不一定面临高风险。
为避免这一陷阱,企业机构应进行风险评估,以确定需要解耦的应用。风险评估应平衡网络安全合规要求与业务收益。如果风险评估结果表明需要解耦,企业机构还须对不同的实施方案进行评估。
陷阱3:采用本土安全工具以满足中国的网络安全合规要求
全球安全工具往往是云交付解决方案,但并非所有工具都在中国设有因特网接⼊点(POP)。如果安全提供商在中国大陆没有设立POP,流量将被重定向到中国境外进行安全过滤。在其他情况下(如使用身份识别系统等),个人数据会被转移到中国大陆以外的国家和地区。这些情况增加了违反中国数据出境法规的风险。一些在中国运营的跨国公司寻求采用本土安全工具来满足中国的网络安全合规要求。
然而,本土安全工具增加了技术复杂性,并且无法提供某些功能,从而导致安全违规风险增加。用户会抱怨体验不一致,而安全运营团队则难以管理在中国使用的额外工具。此外,采用本土工具并不意味着合规,因为网络安全法规中并未要求采用本土工具。
为避免这一陷阱,企业机构应基于对所需能力及其网络安全合规要求的评估,选择网络安全工具。安全工具因提供商而异;因此,额外工具增加了安全团队的复杂性。此外,出于网络安全合规目的在中国采用本土安全工具,可能导致在安全控制方面出现漏洞。安全工具的选择应始终基于对企业机构网络安全合规要求和安全要求的仔细评估。
关于Gartner
Gartner(纽约证券交易所代码:IT)为企业机构提供可行动的客观洞察,推动企业在最关键的优先事项上作出明智决策,实现卓越业绩。欲了解更多信息,请访问http://www.gartner.com/cn。