GRC系統(tǒng)模型失衡的越明顯,對(duì)整體業(yè)務(wù)造成的影響就越大。
每個(gè)企業(yè)各自的"臨界點(diǎn)"會(huì)有所不同�,但遲早都會(huì)達(dá)到,屆時(shí)企業(yè)開始看到相應(yīng)的成本和風(fēng)險(xiǎn)與日俱增:不少企業(yè)已經(jīng)開始將這部分計(jì)入超出計(jì)劃的IT支出,這些支出是由于效率低下的虛擬環(huán)境而產(chǎn)生的�。其他人也會(huì)看到有形和無形數(shù)據(jù)中心事故數(shù)量的不斷攀升,所有這些都將最終影響到整體業(yè)務(wù)的運(yùn)轉(zhuǎn)���。
需要額外的政策
大量現(xiàn)有的業(yè)務(wù)和風(fēng)險(xiǎn)政策和控制目標(biāo)仍然適用于虛擬環(huán)境�����。他們可能需要進(jìn)行調(diào)整來靈活適應(yīng)這種全新的體系架構(gòu)�����,但它們?nèi)匀贿m用��。這些政策包括對(duì)所有服務(wù)器(無論是物理還是虛擬的)都通用的基本要素����,諸如配置�����,補(bǔ)丁管理和安全��。
然而虛擬化技術(shù)也有其專門需要的全新政策和控制措施�。這些措施包括:
•身份管理:鑒于虛擬機(jī)的靈活性特點(diǎn)�,不是以簡(jiǎn)單的命名慣例為基礎(chǔ)的一定級(jí)別的身份管理協(xié)議是必要的����,同時(shí)還要確保這些政策得到正確的應(yīng)用。
•虛擬機(jī)的流動(dòng)性控制:虛擬化帶來的靈活性是它提供給IT部門的價(jià)值所在��。虛擬機(jī)的設(shè)計(jì)非常靈活�,并且可以輕松的實(shí)現(xiàn)從主機(jī)到主機(jī)的遷移,以此來響應(yīng)自動(dòng)化需求(負(fù)載平衡)或在必要時(shí)手動(dòng)進(jìn)行(比如需要維修時(shí)從物理主機(jī)上刪除虛擬機(jī))��。但流動(dòng)性也是一把雙刃劍�,因?yàn)椴⒎撬械奶摂M機(jī)都需要流動(dòng)。舉例來說:你想控制(并非出于審計(jì)目的的控制)任何符合規(guī)定或企業(yè)內(nèi)部標(biāo)準(zhǔn)的應(yīng)用程序����。圍繞指定虛擬機(jī)制定的政策是否應(yīng)該允許政策的運(yùn)行呢,虛擬機(jī)應(yīng)該有多長(zhǎng)時(shí)間應(yīng)該離線呢�?
•配置: 傳統(tǒng)的服務(wù)器配置流程在虛擬化環(huán)境中可以很容易地被規(guī)避,因此需要建立新的流程來控制虛擬機(jī)的配置和判斷是否應(yīng)該授權(quán)新的服務(wù)器����。
•數(shù)據(jù)分離: 每個(gè)數(shù)據(jù)中心都有圍繞數(shù)據(jù)分離所制定的具體規(guī)則���,這些通常會(huì)受到安全問題或法規(guī)遵從問題的影響�����。當(dāng)你根據(jù)這些標(biāo)準(zhǔn)對(duì)應(yīng)用軟件部署虛擬化��,將如何執(zhí)行虛擬化部署這一點(diǎn)考慮在內(nèi)是非常重要的���,不僅是在虛擬機(jī)配置時(shí)需要注意�,而且在整個(gè)生命周期內(nèi)都要防止錯(cuò)誤流動(dòng)的發(fā)生��,不管是無意的還是惡意的���。
•回收: 確保及時(shí)刪除多余的或者未使用的虛擬機(jī)是另一個(gè)需要具體政策和目標(biāo)控制的方面��。另外����,這種新技術(shù)的安全性影響也必須考慮在內(nèi):包括虛擬機(jī)對(duì)現(xiàn)有安全系統(tǒng)的影響(某些系統(tǒng)在虛擬環(huán)境中無法正常工作)和可能導(dǎo)致的潛在攻擊危險(xiǎn)��。
