內部審計員的挫敗感永無止境,因為每次他們為應用確定了法規遵從和治理方法,新的變化趨勢卻顯示他們的模型過時了。云就是治理挫敗感的一個特殊源頭,因為云改變了IT中所有假設的基礎架構中的大多數內容:我的資源都在這里運行,在我的控制之下。要確保治理方法能夠在云過渡的過程中活下來,要遵從下面三個步驟:
1、評估企業對于物理安全和訪問的依賴性有多大
2、針對云劣勢評估治理方法
3、確保治理變更是最后想要的結果
評估治理和安全實踐
很多企業依賴于物理設施上的控制,構架關鍵的安全和法規遵從戰略,這也形成了內部治理的基礎。沒有應用級別的保護機制或者加密戰略可以擊敗一個簡單的備份磁帶盜竊或者直接亂動軟件版本。然而,差不多所有主要的云提供商對于安全和法規遵從都有非常詳細的認證,包括ISO和針對金融和醫藥保健的具體法規。
“云化”你的治理實踐意味著找出提議的提供商和其他可行的競爭對手。萬一你轉換提供商,了解你是否有脆弱治理實踐很重要,或者可能缺乏規則。有些企業專門追蹤全球的法規遵從需求,對于那些考慮各個領域可能涉及的風險的企業而言,這會是非常有用的資源。
然而,立即你的云提供商法規遵從戰略并不意味著你要忘記物理安全問題。你必須變換治理策略,從測試內部流程到測試你的提供商的法規遵從。為了實現這個,你需要定期的法律認證和流程的審計管理。不要接受最初的認證檢查作為一個提供商的標準,因為提供商應該維護認證的不斷更新。
為漏洞評估云治理實踐
下一個要解決的問題是為云包含的劣勢評估你的治理流程。大多數企業通過氣應用生命周期管理(ALM)流程實踐IT治理,針對應用和基礎架構監控和控制,結合具體的工具實現。遷移到云端差不多也會影響這些領域,因此也會破壞治理,但可能還沒破壞法規遵從。
ALM通過強制流程遵從法律規范來驗證應用變更和生產系統的完整性。云端部署引入了新的變量,包括機器鏡像和配置完整性。根據版本驗證這些新的變量的機制是不同。最大的問題是確保操作系統和中間件變更覆蓋到所有受影響的機器鏡像,可能是數據中心的自動化,但是必須在云端明確出來。
機器鏡像在云治理中會導致問題,但是他們可能也能夠帶來有用的功能,而這些功能是其他功能所難以實現的。通過機器鏡像可以加載的任何應用或者組件,而且提供了應用和其所在環境的信息,實際上,治理的代理載入到其他的數據中心。構建版本測試、狀態測試,甚至性能測試到一個機器鏡像,意味著可以將其用來提供現在運行什么和如何運行的信息。
使用軟件代理技術來檢查安裝庫的組件版本相當普遍,很值得用來檢查這些工具,看看是否能夠驗證實際運行的機器鏡像版本。這將有效阻止版本問題,這些版本問題可能由內部流程(無法用新的中間件升級到機器鏡像)導致,或者云提供商無法回歸到備份版本或者運行舊的鏡像導致的配置錯誤。
最后云端“新的”治理問題就是云數據服務。云提供商提供了各種數據庫/文件/塊存儲選項,當然,將數據存儲在云端并不會得到同本地一樣的物理安全控制。有時候經常被忽視的事實是數據可能就是簡單的因為存在云端,所以受到法規的監管,而且云端數據訪問控制可能不同于本地的控制,因為云的訪問時通過互聯網或者VPN。
你的企業所受到的法規監管越多,你就越需要關注數據權限問題。同你的治理審計人員檢查一下,確保你知道哪些法規適用于云端數據存儲,確保你知道你的云提供商將數據存在哪里。
確定最終的云治理策略
要讓云治理戰略適應特定的提供商太容易了,但是要是針對整個云就不簡單了。實際上,每一個云提供商將會對不同的用戶產生不同的治理影響,因此要關注可能引入云劣勢的實踐,制定通用的戰略和策略,處理這些劣勢,然后為你所使用的每一個提供商詳細說明。廣泛的云治理戰略就是基礎,具體的提供商元素就更易于調整,通過這個戰略,引入新的云提供商或者服務就不會讓企業重蹈覆轍。