內(nèi)部審計(jì)員的挫敗感永無(wú)止境，因?yàn)槊看嗡麄優(yōu)閼?yīng)用確定了法規(guī)遵從和治理方法，新的變化趨勢(shì)卻顯示他們的模型過時(shí)了。云就是治理挫敗感的一個(gè)特殊源頭，因?yàn)樵聘淖兞薎T中所有假設(shè)的基礎(chǔ)架構(gòu)中的大多數(shù)內(nèi)容：我的資源都在這里運(yùn)行，在我的控制之下。要確保治理方法能夠在云過渡的過程中活下來(lái)，要遵從下面三個(gè)步驟：

1、評(píng)估企業(yè)對(duì)于物理安全和訪問的依賴性有多大

2、針對(duì)云劣勢(shì)評(píng)估治理方法

3、確保治理變更是最后想要的結(jié)果

評(píng)估治理和安全實(shí)踐

很多企業(yè)依賴于物理設(shè)施上的控制，構(gòu)架關(guān)鍵的安全和法規(guī)遵從戰(zhàn)略，這也形成了內(nèi)部治理的基礎(chǔ)。沒有應(yīng)用級(jí)別的保護(hù)機(jī)制或者加密戰(zhàn)略可以擊敗一個(gè)簡(jiǎn)單的備份磁帶盜竊或者直接亂動(dòng)軟件版本。然而，差不多所有主要的云提供商對(duì)于安全和法規(guī)遵從都有非常詳細(xì)的認(rèn)證，包括ISO和針對(duì)金融和醫(yī)藥保健的具體法規(guī)。

“云化”你的治理實(shí)踐意味著找出提議的提供商和其他可行的競(jìng)爭(zhēng)對(duì)手。萬(wàn)一你轉(zhuǎn)換提供商，了解你是否有脆弱治理實(shí)踐很重要，或者可能缺乏規(guī)則。有些企業(yè)專門追蹤全球的法規(guī)遵從需求，對(duì)于那些考慮各個(gè)領(lǐng)域可能涉及的風(fēng)險(xiǎn)的企業(yè)而言，這會(huì)是非常有用的資源。

然而，立即你的云提供商法規(guī)遵從戰(zhàn)略并不意味著你要忘記物理安全問題。你必須變換治理策略，從測(cè)試內(nèi)部流程到測(cè)試你的提供商的法規(guī)遵從。為了實(shí)現(xiàn)這個(gè)，你需要定期的法律認(rèn)證和流程的審計(jì)管理。不要接受最初的認(rèn)證檢查作為一個(gè)提供商的標(biāo)準(zhǔn)，因?yàn)樘峁┥虘?yīng)該維護(hù)認(rèn)證的不斷更新。

為漏洞評(píng)估云治理實(shí)踐

下一個(gè)要解決的問題是為云包含的劣勢(shì)評(píng)估你的治理流程。大多數(shù)企業(yè)通過氣應(yīng)用生命周期管理（ALM）流程實(shí)踐IT治理，針對(duì)應(yīng)用和基礎(chǔ)架構(gòu)監(jiān)控和控制，結(jié)合具體的工具實(shí)現(xiàn)。遷移到云端差不多也會(huì)影響這些領(lǐng)域，因此也會(huì)破壞治理，但可能還沒破壞法規(guī)遵從。

ALM通過強(qiáng)制流程遵從法律規(guī)范來(lái)驗(yàn)證應(yīng)用變更和生產(chǎn)系統(tǒng)的完整性。云端部署引入了新的變量，包括機(jī)器鏡像和配置完整性。根據(jù)版本驗(yàn)證這些新的變量的機(jī)制是不同。最大的問題是確保操作系統(tǒng)和中間件變更覆蓋到所有受影響的機(jī)器鏡像，可能是數(shù)據(jù)中心的自動(dòng)化，但是必須在云端明確出來(lái)。

機(jī)器鏡像在云治理中會(huì)導(dǎo)致問題，但是他們可能也能夠帶來(lái)有用的功能，而這些功能是其他功能所難以實(shí)現(xiàn)的。通過機(jī)器鏡像可以加載的任何應(yīng)用或者組件，而且提供了應(yīng)用和其所在環(huán)境的信息，實(shí)際上，治理的代理載入到其他的數(shù)據(jù)中心。構(gòu)建版本測(cè)試、狀態(tài)測(cè)試，甚至性能測(cè)試到一個(gè)機(jī)器鏡像，意味著可以將其用來(lái)提供現(xiàn)在運(yùn)行什么和如何運(yùn)行的信息。

使用軟件代理技術(shù)來(lái)檢查安裝庫(kù)的組件版本相當(dāng)普遍，很值得用來(lái)檢查這些工具，看看是否能夠驗(yàn)證實(shí)際運(yùn)行的機(jī)器鏡像版本。這將有效阻止版本問題，這些版本問題可能由內(nèi)部流程（無(wú)法用新的中間件升級(jí)到機(jī)器鏡像）導(dǎo)致，或者云提供商無(wú)法回歸到備份版本或者運(yùn)行舊的鏡像導(dǎo)致的配置錯(cuò)誤。

最后云端“新的”治理問題就是云數(shù)據(jù)服務(wù)。云提供商提供了各種數(shù)據(jù)庫(kù)/文件/塊存儲(chǔ)選項(xiàng)，當(dāng)然，將數(shù)據(jù)存儲(chǔ)在云端并不會(huì)得到同本地一樣的物理安全控制。有時(shí)候經(jīng)常被忽視的事實(shí)是數(shù)據(jù)可能就是簡(jiǎn)單的因?yàn)榇嬖谠贫?，所以受到法?guī)的監(jiān)管，而且云端數(shù)據(jù)訪問控制可能不同于本地的控制，因?yàn)樵频脑L問時(shí)通過互聯(lián)網(wǎng)或者VPN。

你的企業(yè)所受到的法規(guī)監(jiān)管越多，你就越需要關(guān)注數(shù)據(jù)權(quán)限問題。同你的治理審計(jì)人員檢查一下，確保你知道哪些法規(guī)適用于云端數(shù)據(jù)存儲(chǔ)，確保你知道你的云提供商將數(shù)據(jù)存在哪里。

確定最終的云治理策略

要讓云治理戰(zhàn)略適應(yīng)特定的提供商太容易了，但是要是針對(duì)整個(gè)云就不簡(jiǎn)單了。實(shí)際上，每一個(gè)云提供商將會(huì)對(duì)不同的用戶產(chǎn)生不同的治理影響，因此要關(guān)注可能引入云劣勢(shì)的實(shí)踐，制定通用的戰(zhàn)略和策略，處理這些劣勢(shì)，然后為你所使用的每一個(gè)提供商詳細(xì)說(shuō)明。廣泛的云治理戰(zhàn)略就是基礎(chǔ)，具體的提供商元素就更易于調(diào)整，通過這個(gè)戰(zhàn)略，引入新的云提供商或者服務(wù)就不會(huì)讓企業(yè)重蹈覆轍。