云計(jì)算遷移后的治理方法

責(zé)任編輯:曹建菊

2014-01-29 09:09:09

摘自:TechTarget中國(guó)

內(nèi)部審計(jì)員的挫敗感永無止境,因?yàn)槊看嗡麄優(yōu)閼?yīng)用確定了法規(guī)遵從和治理方法,新的變化趨勢(shì)卻顯示他們的模型過時(shí)了。云就是治理挫敗感的一個(gè)特殊源頭,因?yàn)樵聘淖兞薎T中所有假設(shè)的基礎(chǔ)架構(gòu)中的大多數(shù)內(nèi)容

 

內(nèi)部審計(jì)員的挫敗感永無止境,因?yàn)槊看嗡麄優(yōu)?font color="#0a50a1">應(yīng)用確定了法規(guī)遵從和治理方法,新的變化趨勢(shì)卻顯示他們的模型過時(shí)了。云就是治理挫敗感的一個(gè)特殊源頭,因?yàn)樵聘淖兞薎T中所有假設(shè)的基礎(chǔ)架構(gòu)中的大多數(shù)內(nèi)容:我的資源都在這里運(yùn)行,在我的控制之下。要確保治理方法能夠在云過渡的過程中活下來,要遵從下面三個(gè)步驟:

1、評(píng)估企業(yè)對(duì)于物理安全和訪問的依賴性有多大

2、針對(duì)云劣勢(shì)評(píng)估治理方法

3、確保治理變更是最后想要的結(jié)果

評(píng)估治理和安全實(shí)踐

很多企業(yè)依賴于物理設(shè)施上的控制,構(gòu)架關(guān)鍵的安全和法規(guī)遵從戰(zhàn)略,這也形成了內(nèi)部治理的基礎(chǔ)。沒有應(yīng)用級(jí)別的保護(hù)機(jī)制或者加密戰(zhàn)略可以擊敗一個(gè)簡(jiǎn)單的備份磁帶盜竊或者直接亂動(dòng)軟件版本。然而,差不多所有主要的云提供商對(duì)于安全和法規(guī)遵從都有非常詳細(xì)的認(rèn)證,包括ISO和針對(duì)金融和醫(yī)藥保健的具體法規(guī)。

“云化”你的治理實(shí)踐意味著找出提議的提供商和其他可行的競(jìng)爭(zhēng)對(duì)手。萬(wàn)一你轉(zhuǎn)換提供商,了解你是否有脆弱治理實(shí)踐很重要,或者可能缺乏規(guī)則。有些企業(yè)專門追蹤全球的法規(guī)遵從需求,對(duì)于那些考慮各個(gè)領(lǐng)域可能涉及的風(fēng)險(xiǎn)的企業(yè)而言,這會(huì)是非常有用的資源。

然而,立即你的云提供商法規(guī)遵從戰(zhàn)略并不意味著你要忘記物理安全問題。你必須變換治理策略,從測(cè)試內(nèi)部流程到測(cè)試你的提供商的法規(guī)遵從。為了實(shí)現(xiàn)這個(gè),你需要定期的法律認(rèn)證和流程的審計(jì)管理。不要接受最初的認(rèn)證檢查作為一個(gè)提供商的標(biāo)準(zhǔn),因?yàn)樘峁┥虘?yīng)該維護(hù)認(rèn)證的不斷更新。

為漏洞評(píng)估云治理實(shí)踐

下一個(gè)要解決的問題是為云包含的劣勢(shì)評(píng)估你的治理流程。大多數(shù)企業(yè)通過氣應(yīng)用生命周期管理(ALM)流程實(shí)踐IT治理,針對(duì)應(yīng)用和基礎(chǔ)架構(gòu)監(jiān)控和控制,結(jié)合具體的工具實(shí)現(xiàn)。遷移到云端差不多也會(huì)影響這些領(lǐng)域,因此也會(huì)破壞治理,但可能還沒破壞法規(guī)遵從。

ALM通過強(qiáng)制流程遵從法律規(guī)范來驗(yàn)證應(yīng)用變更和生產(chǎn)系統(tǒng)的完整性。云端部署引入了新的變量,包括機(jī)器鏡像和配置完整性。根據(jù)版本驗(yàn)證這些新的變量的機(jī)制是不同。最大的問題是確保操作系統(tǒng)和中間件變更覆蓋到所有受影響的機(jī)器鏡像,可能是數(shù)據(jù)中心的自動(dòng)化,但是必須在云端明確出來。

機(jī)器鏡像在云治理中會(huì)導(dǎo)致問題,但是他們可能也能夠帶來有用的功能,而這些功能是其他功能所難以實(shí)現(xiàn)的。通過機(jī)器鏡像可以加載的任何應(yīng)用或者組件,而且提供了應(yīng)用和其所在環(huán)境的信息,實(shí)際上,治理的代理載入到其他的數(shù)據(jù)中心。構(gòu)建版本測(cè)試、狀態(tài)測(cè)試,甚至性能測(cè)試到一個(gè)機(jī)器鏡像,意味著可以將其用來提供現(xiàn)在運(yùn)行什么和如何運(yùn)行的信息。

使用軟件代理技術(shù)來檢查安裝庫(kù)的組件版本相當(dāng)普遍,很值得用來檢查這些工具,看看是否能夠驗(yàn)證實(shí)際運(yùn)行的機(jī)器鏡像版本。這將有效阻止版本問題,這些版本問題可能由內(nèi)部流程(無法用新的中間件升級(jí)到機(jī)器鏡像)導(dǎo)致,或者云提供商無法回歸到備份版本或者運(yùn)行舊的鏡像導(dǎo)致的配置錯(cuò)誤。

最后云端“新的”治理問題就是云數(shù)據(jù)服務(wù)。云提供商提供了各種數(shù)據(jù)庫(kù)/文件/塊存儲(chǔ)選項(xiàng),當(dāng)然,將數(shù)據(jù)存儲(chǔ)在云端并不會(huì)得到同本地一樣的物理安全控制。有時(shí)候經(jīng)常被忽視的事實(shí)是數(shù)據(jù)可能就是簡(jiǎn)單的因?yàn)榇嬖谠贫?,所以受到法?guī)的監(jiān)管,而且云端數(shù)據(jù)訪問控制可能不同于本地的控制,因?yàn)樵频脑L問時(shí)通過互聯(lián)網(wǎng)或者VPN。

你的企業(yè)所受到的法規(guī)監(jiān)管越多,你就越需要關(guān)注數(shù)據(jù)權(quán)限問題。同你的治理審計(jì)人員檢查一下,確保你知道哪些法規(guī)適用于云端數(shù)據(jù)存儲(chǔ),確保你知道你的云提供商將數(shù)據(jù)存在哪里。

確定最終的云治理策略

要讓云治理戰(zhàn)略適應(yīng)特定的提供商太容易了,但是要是針對(duì)整個(gè)云就不簡(jiǎn)單了。實(shí)際上,每一個(gè)云提供商將會(huì)對(duì)不同的用戶產(chǎn)生不同的治理影響,因此要關(guān)注可能引入云劣勢(shì)的實(shí)踐,制定通用的戰(zhàn)略和策略,處理這些劣勢(shì),然后為你所使用的每一個(gè)提供商詳細(xì)說明。廣泛的云治理戰(zhàn)略就是基礎(chǔ),具體的提供商元素就更易于調(diào)整,通過這個(gè)戰(zhàn)略,引入新的云提供商或者服務(wù)就不會(huì)讓企業(yè)重蹈覆轍。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)