企業的雲端治理要點

10 min readMay 3, 2023

現今的企業正在迅速將地端機房的基礎設施、軟體和其他IT技術遷移到雲端服務。根據Gartner的分析報告，現今的企業會將近一半的 IT 預算用於雲端服務，而且這一支出還在增長。使用雲端服務的效益是不可否認的(如企業有能力使用的話)，包括從CapEX轉換成OpEx。雲端技術可以提高速度和敏捷性，並可以可以在短時間內將IT服務提供給全世界客戶的能力。此外，使用雲端能讓企業專注於其核心業務，而不是維護資料中心。

然而，企業及其治理實踐無法跟上雲端的變化步伐。企業缺乏有效管理雲端的使用及其相關風險所需的技能和專業知識；因此，企業通常無法優化雲端的價值。此外，從很多既有的雲端案例來看，雲端服務經常被認為成本更高，這是因為缺乏明確或標準的雲端治理整合框架。目前，產業框架並未專門解決雲端對 IT 治理和管理流程的影響。 雲端運算是數位化轉型的關鍵基礎，也是數位治理的重要考量因素。因此，更加重視雲端治理以確保它與未來的業務需求保持一致非常重要。

認識雲端治理原則

要建立雲端治理原則，應考慮兩個問題。

雲端治理與 IT 治理有何不同？
雲端運算將實體 IT 軟硬體轉換為抽象層的服務，影響幾乎所有 IT 管理和治理流程。與傳統的地端機房環境相比，通過雲端運算，關鍵 IT 服務和基礎設施對第三方的依賴程度越來越高(從另一個方面來說，企業對IT發生了Lose Control)。因此，還應調整 IT 治理。
為什麼適當的雲端治理如此重要？
由於雲端的特性帶來的 IT 服務性質的根本變化（即資安方法、成本模型、人員技能），企業的 IT 治理流程需要適應因使用雲端服務而導入的新運營模式和基礎設施。鑒於全世界的雲端遷移的顯著加速，高階管理層與董事會在向雲端進行變革時考慮幾項原則非常重要。 快速靈活的實踐和控制是關鍵，而不是永遠不變的。 政策應該是中心化的，但政策執行卻是去中心化的。

下圖呈現了企業應有的雲端治理原則。

上圖中，外圈代表治理領域。內圈會受到雲端遷移影響的典型 IT 管理流程的簡略說明。高階管理層和董事會應考量雲端治理框架的原則，以幫助確保管理良好且增加業務價值的雲端環境。

雲端治理的組件與風險

本文建議的雲端治理框架有 14 個主要治理領域。理解這些雲端治理框架的每一個主題都會很有幫助。

1.建立雲端策略與業務案例

與企業的數位業務戰略整合的雲端策略是雲端之旅的重要起點。企業通常直接選擇"多雲(Multi-Cloud)和雲端優先(Cloud First)"策略，但沒有考量到雲端遷移的時間或雲端將如何實現其數位業務策略。企業應制定業務和效益案例，考慮雲端策略和企業的相關需求和效益、TCO(total cost of ownership)以及敏捷性等策略因素和效率。

如果沒有經過仔細思考與討論雲端策略，企業將面臨多種風險包括：

在整個企業中實施不一致的雲端遷移。不同的組織部門或業務部門可能會使用不同的方法來使用雲端並應用不同的原則，這可能會對實現其目標的業務產生不利影響。
雲端遷移並沒有帶來預期的效益和價值。雲端的一些效益，例如敏捷性可能會打折。
不明確和沒有受到管理的第三方(通常是雲端服務供應商)依賴風險。這可能會導致系統中斷、資安漏洞和不合規等問題。
不明確和沒有受到管理的網路安全和隱私風險。這可能會導致網路安全漏洞和隱私法規的不合規。

2.建立一個雲端治理運作模型

雲端治理運作模型是指支援雲端服務的組織結構、角色和職責、資源、技能和業務流程。 雲端支援企業的數位業務策略和業務運營模式；因此，IT 維運模型，包括 IT 治理維運模型，應該與雲端保持一致。 IT 維運模型應通過與業務利害關係人的協商與業務運營模式保持一致。 一旦 IT 維運模式保持一致，IT 治理維運模式就必須適應雲端帶來的風險和挑戰。

不充分的雲端治理維運模式可能帶來的風險包括：

企業的結構可能無法有效管理雲端遷移、開發和應用程式。
雲端相關作業可能不支援業務策略，這可能會使企業面臨不受控的風險因素。
雲端成本可能過高，無法立即識別或無法管理。

3.尋求雲端的合規性

監管機構和其他重要的利害關係人期望遵守法律、法規和產業標準。企業必須遵守的一些合規要求包括歐盟的GDPR、ISO標準(如ISO22316)。雲端還必須遵守許多產業標準，這就是為什麼採用雲端服務的企業將雲端整合到其合規流程中很重要的原因。

未能將雲端集成到合規流程中可能產生的常見風險包括：

企業可能不符合當地或國際法律、法規或產業標準。
企業可能會失去其運營許可（例如，由於違反隱私規則而失去處理個人資訊的權利）。

4. 專注於資安的協同作業

使用雲端服務並不能自動確保資訊安全。雲端服務提供商(以下簡稱CSP)和客戶之間的角色和責任應該針對網路安全流程和控制進行明確定義。還應考量與所使用的雲端服務類型相關的共同責任模型。

無效或不充分的資安偕同作業相關的常見風險包括：

企業沒有有效地管理 CSP 風險，導致違反企業的資安政策和程序。
使用雲端服務的企業沒有考量並充分實施client-user 互補控制措施，這可能導致控制環境出現漏洞並增加企業的風險曝險。
沒有到位的監控機制來確保 CSP 繼續實施商定和簽約的資安措施。

5.保護個人資訊

在使用任何雲端服務之前，管理層應仔細評估隱私風險。應根據企業的隱私政策對 CSP 進行評估，並應建立監控機制以確保持續遵守隱私要求。此外，還要建立適當的事故管理流程，以確保在事故發生時有適當的防護措施來處理事故。關於資安事故管理，可參考本部落格資訊安全事故管理文章。

未能保護個人資訊可能帶來的風險包括：

由於安全漏洞而導致的潛在私人或機密資訊洩露
潛在的不合規的規章制度可能會對企業產生負面影響，例如政府制裁、財務損失或商譽損害

6.確保資料治理，以實現數位化

資料治理是資料驅動型企業和數位化的關鍵推動因素。企業可以利用多種與雲端資料相關的服務來進行預測分析、競爭優勢和業務效益。 管理層應建立控制措施，以確保在雲端中存儲和處理的資訊的integrity、accuracy、confidentiality、availability和completeness。

資料完整性和質量(integrity and quality)的不一致管理是與資料治理相關的關鍵風險。 企業必須採用並實施適當的資料治理框架和資料管理流程，例如資料質量管理，同時還要涵蓋雲端資料。

7.雲端的財務管理(別名FinOps)

為防止雲端支出不受控制地增長，必須優先集中監控和報告雲端成本，以及持續評估、優化和預測雲端支出。管理層應建立流程和控制措施，例如標記、報告和分配成本。隨著雲端使用的增長，標記(tagging)對於在企業內正確分配成本非常重要。 而雲端的財務管理的詳細資訊可參考本部落格的FinOps相關文章，如什麼是FinOps與其六個原則。

與雲端財務管理相關的常見風險來源包括：

缺乏對雲端支出的財務控制可能會導致企業無法優化雲端使用或交付預期價值。
孤立的雲端計算成本管理方法可能不是最優的。它可能會減緩或停止雲端採用、削弱創新或降低服務產品的質量。
雲端蔓延(不受控制的成長)或雲端資源利用率不足會導致更高的支出。

8.考慮稽核權和第三方保證

保證(Assurance)仍然是一個挑戰，尤其是在流程和治理結構尚未正規化且相對較小的 CSP 的情況下。較小的 CSP 可能無法負擔獨立的第三方保證來發布服務組織報告，而大型的公有雲CSP(如AWS, Azure, GCP等)則沒有這一類的問題。小型CSP也可能無法應對稽核或執行不同詳細程度的風險自我評估的多個要求。企業應考慮在 CSP 合約中包括稽核權和提交第三方保證報告。這對於 SaaS 供應商尤其重要，因為 SaaS 的IT運作是一個黑盒子，在這個黑盒子中，供應商的風險和控制環境對企業是不可見的。

不幸的是，未能監控 CSP 的風險緩解和控制是企業風險的常見來源。這可能會導致未知和無法管控的風險，從而導致日常業務運營中斷。

9.謹慎選擇CSP還有與之簽約

供應商的DD(Due Diligence)、選擇和簽約對於確保企業保護其合法權利非常重要。 CSP 合約通常是單方面的公版合約(顯示在其公開網頁中)，企業幾乎沒有追索權。 應特別注意所有權，特別是在 SaaS 合約的情況下，企業可能會投入大量資源來為他們的客戶客製雲端解決方案。

常見的風險因素包含：

如果服務中斷或對所有權或移動 CSP 等事項產生爭議，企業可能無法行使合法權利。這可能會導致企業遭受經濟損失或長期的法律糾紛。但這些在大型的公有雲供應商的公版合約已經說明得很清楚。
企業可能無法理解與 CSP 相關的風險因素及其應對這些風險的能力，因此可能無法有效緩解和監控這些風險因素。
企業需要考量當使用小型CSP的雲端服務時，小型的CSP可能因營運因素可能會退出雲端市場。

10.達成有效的CSP治理與管理

CSP 的治理和管理，無論是使用 IaaS、PaaS 還是 SaaS，都是制衡CSP典型的黑盒子效應的重要部分。 企業應始終保留治理責任。治理不能將治理委託給 CSP。企業應主動管理CSP，並擁有與業務戰略相一致的強大內部治理結構，尤其是整體的數位轉型計劃。如果企業不能有效地管理CSP，結果可能是 CSP 缺乏控制和無效管理。

11.留心服務等級管理(Service-Level Management)

企業應積極監控和管理 CSP 服務等級(通常這視乎企業付多少服務費用而定)。定期的服務等級會議和報告(這些作業如果使用量不夠大，大型的CSP不會理你)對於確保服務提供商滿足企業的要求至關重要。對於大多數 IT 團隊來說，這不是一個新概念；但是，企業應考慮利用特定於雲端的工具來監控商定的服務水平。如果沒有此類工具，企業將面臨 CSP 服務無法滿足業務要求或定義的服務等級的風險。因為CSP不可能提供100%的服務保證，這是很多使用雲端的企業一開始的錯誤心態。

12.確保移植性(Portability)與互操作性(Interoperability)

在選擇CSP時，企業應考慮從 CSP 的潛在遷移，以確保不會因缺乏可移植性而發生供應商綁定(vendor lock-in)。企業應在合約中包括遷移協助(使用量需要夠大，不然要自己幹)，並考慮對企業使用的雲端服務進行分層以確定移植速度。否則，企業可能會面臨雲端解決方案和連接系統之間缺乏互操作性，從而造成資訊孤島和整合問題。

13.企業風險管理(ERM-Enterprise Risk Management)的優先等級

企業應將雲端風險整合到企業風險管理流程中，並定期報告風險。管理層應明確定義有關雲風端險管理的角色和職責。如果企業未能將雲端視為組織範圍內的風險，雲端採用可能會失敗(例如上雲之後又遷移回來)，並且給企業帶來的問題多於進步。

14.考量CSP的服務持續性

企業應該在雲端中建立災難恢復和連續性作為其雲端解決方案的一部分，並且不應假設會發生自動恢復(如果實行這一類的自動回復解決方案則可以排除)。如果企業不這樣做，CSP 服務可能會變得不可用。

結論

雲端治理正在崛起，因為許多企業在使用雲端之後並不知道如何對雲端進行治理。雲端的使用改變了標準的傳統 IT 治理流程（例如，SaaS 和 IaaS 影響了供應商治理和管理流程的性質）。雲端對 IT 服務產生了根本性影響，從而改變了風險概況。為傳統IT 服務設計的現有 IT 治理流程無法應對雲端採用和遷移帶來的挑戰和風險。本文提議的雲端治理框架提供了雲端治理更重要方面的整合模型，並有助於有效的雲端治理。