GRC系統(tǒng)模型失衡的越明顯����,對整體業(yè)務(wù)造成的影響就越大。
每個企業(yè)各自的"臨界點"會有所不同����,但遲早都會達(dá)到,屆時企業(yè)開始看到相應(yīng)的成本和風(fēng)險與日俱增:不少企業(yè)已經(jīng)開始將這部分計入超出計劃的IT支出��,這些支出是由于效率低下的虛擬環(huán)境而產(chǎn)生的���。其他人也會看到有形和無形數(shù)據(jù)中心事故數(shù)量的不斷攀升����,所有這些都將最終影響到整體業(yè)務(wù)的運轉(zhuǎn)���。
需要額外的政策
大量現(xiàn)有的業(yè)務(wù)和風(fēng)險政策和控制目標(biāo)仍然適用于虛擬環(huán)境����。他們可能需要進行調(diào)整來靈活適應(yīng)這種全新的體系架構(gòu)���,但它們?nèi)匀贿m用���。這些政策包括對所有服務(wù)器(無論是物理還是虛擬的)都通用的基本要素�����,諸如配置����,補丁管理和安全�����。
然而虛擬化技術(shù)也有其專門需要的全新政策和控制措施���。這些措施包括:
•身份管理:鑒于虛擬機的靈活性特點��,不是以簡單的命名慣例為基礎(chǔ)的一定級別的身份管理協(xié)議是必要的���,同時還要確保這些政策得到正確的應(yīng)用。
•虛擬機的流動性控制:虛擬化帶來的靈活性是它提供給IT部門的價值所在�。虛擬機的設(shè)計非常靈活,并且可以輕松的實現(xiàn)從主機到主機的遷移��,以此來響應(yīng)自動化需求(負(fù)載平衡)或在必要時手動進行(比如需要維修時從物理主機上刪除虛擬機)。但流動性也是一把雙刃劍����,因為并非所有的虛擬機都需要流動����。舉例來說:你想控制(并非出于審計目的的控制)任何符合規(guī)定或企業(yè)內(nèi)部標(biāo)準(zhǔn)的應(yīng)用程序。圍繞指定虛擬機制定的政策是否應(yīng)該允許政策的運行呢�,虛擬機應(yīng)該有多長時間應(yīng)該離線呢?
•配置: 傳統(tǒng)的服務(wù)器配置流程在虛擬化環(huán)境中可以很容易地被規(guī)避�����,因此需要建立新的流程來控制虛擬機的配置和判斷是否應(yīng)該授權(quán)新的服務(wù)器����。
•數(shù)據(jù)分離: 每個數(shù)據(jù)中心都有圍繞數(shù)據(jù)分離所制定的具體規(guī)則,這些通常會受到安全問題或法規(guī)遵從問題的影響�����。當(dāng)你根據(jù)這些標(biāo)準(zhǔn)對應(yīng)用軟件部署虛擬化�,將如何執(zhí)行虛擬化部署這一點考慮在內(nèi)是非常重要的,不僅是在虛擬機配置時需要注意�����,而且在整個生命周期內(nèi)都要防止錯誤流動的發(fā)生,不管是無意的還是惡意的�。
•回收: 確保及時刪除多余的或者未使用的虛擬機是另一個需要具體政策和目標(biāo)控制的方面。另外����,這種新技術(shù)的安全性影響也必須考慮在內(nèi):包括虛擬機對現(xiàn)有安全系統(tǒng)的影響(某些系統(tǒng)在虛擬環(huán)境中無法正常工作)和可能導(dǎo)致的潛在攻擊危險。
