【IT168 信息化】每个季度末,美国所有上市公司的财务总监们都要咬咬牙在财务报表上签名,他们都清楚要为所报信息的准确性负法律责任。财务总监们肯定知道本公司的报表准确吗?当然不知道。
不过他们幸好还有属于会计以及治理、风险和合规(GRC)这两大领域的一套流程。只要财务总监设法运用各种可能的方法来加以防范,即使发生了欺诈案,也不会锒铛入狱。
虚拟化和云计算的兴起意味着,CIO们现在与财务总监越来越处于同样的境地。对此大多数CIO不会承认,但由于他们面临的计算环境变得更加灵活、动态,他们无法知道是否一切都井然有序、符合规定。如今的形势变化太快了,而且很复杂。本文将分析IT管理流程到底是怎样开始类似会计和GRC两大领域的那些流程的。
过去,你只要一走进CIO的办公室,就会看到墙上挂着显示数据中心的图表。上面有好多标以不同颜色的框框和线条,详细描述了网络和安全区域。见过这个场景的人都很放心,觉得CIO掌握数据中心的全部情况。但这样的日子一去不复返了。
网络是数据中心挂图当中最先变得过于复杂的一部分。现在一种比较好的方法是利用软件,搜索网络、发现所有设备,而不是试图了解网络的最新结构。惠普和IBM等大公司以及Entuity等小公司提供的IT系统和网络管理软件能够出色地执行这项功能,以便你知道网络上有哪些设备。
CIO们面临的问题是,虚拟化和云计算让数据中心的其余部分充满了变数。别提什么挂图了。正如财务总监无法知道本公司进行的每一笔交易那样,现代化公司的CIO也无法了解每一台服务器,特别是在服务器的数量和配置每时每刻都在变化的情况下。
在典型的虚拟化数据中心下,不断创建及停用新的虚拟服务器其实很普遍。如果你的基础架构有一部分运行在Rackspace、3Tera或亚马逊等服务商提供的云服务上,创建及停用IT资产变得还要容易。但是数据中心中的虚拟化资产与云计算环境中的虚拟化资产大不相同。
云计算环境中计算资源的安全性由云计算服务提供商负责。一般不可能在云计算环境中创建不安全的虚拟机,因为你只可以利用经过提供商反复核对的模板来创建资产。
但是数据中心中的虚拟化计算资源是另一种情况了。使用虚拟化的两大理由是可提高灵活性和效率。在虚拟化环境下,按需要创建资源比较容易。用户自己常常提出请求,可以自行创建新资源。如果这些资源不是标准化的――在数据中心中,它们很少是标准化的,那么CIO怎么知道这些资源是配置正确、安全可靠的呢?正如财务总监那样,CIO同样不知道。
不会奏效的一个解决办法就是,制订一大堆规则,防止创建虚拟资产时出现错误。不过这不可能,道理就跟不可能开发出发现所有欺诈活动的企业软件一样。现代化的会计和GRC技术和方法向后查看交易,试图找出可能欺诈性或至少需要更密切关注的交易。
比方说,如果某个员工家里有急事,有人接过了他的工作,但违反了职责分离规则,那么现代化软件允许他完成工作,不过会发出警示信号,那样在此期间执行的每一笔交易都会受到核查。控制手段是这种核查的别称。预防性控制手段能够防止错误酿成。不过,大多数控制手段向后查看已完成的事情。
现代化的IT系统管理软件正开始采用与会计和GRC一样的工作方式,利用类似的向后看控制手段,确保数据中心中的所有服务器(包括物理服务器和虚拟服务器)都是安全、合理配置的。比方说,一家名为Tripwire的公司已开始提供入侵检测软件,随后扩大了其软件的应用范围,对物理和虚拟IT资产都能核对,检查是否违反了安全及其他行业政策。
如今,Tripwire拥有众多作为政策实施的控制手段,可以用来自动核对及重新核对物理环境和虚拟环境,检查是否违反了政策。这种监控手段对零售和金融服务行业的公司来说极其重要,因为它们用于处理信用卡交易的技术必须满足相关标准。Tripwire好比是一套会计和GRC控制手段,向后查看数据中心出现的情况,并提出警示信号,表明是否有可能违反政策。
在虚拟化环境下,IT系统管理和政策执行这个问题恰恰是Embotics、Fortisphere、Hyper 9和Replicate Technologies等众多新兴公司关注的方面,它们对于需要采取什么样的办法各有一套理念。另外,VMware、惠普和IBM都在暗暗加大开发力度,希望找到办法来管理整个环境,并且构建完整的虚拟数据中心操作系统。
我们仍处在把这些技术和方法运用到IT领域的早期阶段,许多CIO仍装作完全知道自己的数据中心。不过一两年过后,CIO能够有把握地表示,虽然不知道数据中心里面的具体情况,但没有人为此而担心,因为与财务总监一样,他们在核对自己听到过的每个问题。