隨著企業(yè)為基礎(chǔ)架構(gòu)即服務(wù)使用云服務(wù)逐漸轉(zhuǎn)移到更加核心的業(yè)務(wù)用例中，包括核心平臺(tái)和應(yīng)用，以一種整體的方式加強(qiáng)治理成為風(fēng)險(xiǎn)管理和終端用戶組織信任的關(guān)鍵所在。因?yàn)閼?yīng)用成為IT價(jià)值堆棧的頂部，常常要在IT前面面對(duì)業(yè)務(wù)，確保這個(gè)層級(jí)合適的治理要考慮的不只是基礎(chǔ)架構(gòu)，還有應(yīng)用本身更廣泛的背景和環(huán)境。

提供商應(yīng)該關(guān)注云治理中用戶未知的問(wèn)題，因?yàn)樗麄儗?duì)于云應(yīng)用影響顯著。因此，針對(duì)將企業(yè)的規(guī)則和IT資源用例權(quán)限轉(zhuǎn)換成為云治理策略，探討一些最佳實(shí)踐至關(guān)重要。包括提供商如何協(xié)助客戶確保云資源被合理訪問(wèn)、準(zhǔn)備、確保安全、操作和監(jiān)控，到安全保障和法規(guī)遵從。

[[64059]]

將規(guī)則和權(quán)限轉(zhuǎn)換成應(yīng)用為核心的策略

不管底層IT基礎(chǔ)架構(gòu)多么簡(jiǎn)單，部署和管理應(yīng)用和平臺(tái)需要關(guān)注具體應(yīng)用的管飯策略。一個(gè)企業(yè)級(jí)云治理模型應(yīng)用遵循下面的策略類(lèi)型實(shí)施：

用戶/群組訪問(wèn)：控制云服務(wù)訪問(wèn)，包括基于角色的訪問(wèn)控制和聯(lián)合身份認(rèn)證管理。

資產(chǎn)權(quán)利：限制用戶對(duì)于具體資產(chǎn)類(lèi)型的訪問(wèn)，比如堆棧、腳本、模板和拓?fù)浣Y(jié)構(gòu)。

部署：限制工作負(fù)載部署和數(shù)據(jù)進(jìn)入基于廣泛策略的認(rèn)證環(huán)境(PCI、HIPAA、本地化策略、地理約束和其他的治理和安全指令)。

編制：跨資產(chǎn)和服務(wù)應(yīng)用多層策略，以便確保配置管理標(biāo)準(zhǔn)和標(biāo)準(zhǔn)操作環(huán)境(SOE)。

服務(wù)水平協(xié)議：動(dòng)態(tài)擴(kuò)展基于復(fù)合自動(dòng)擴(kuò)展規(guī)則和性能臨界的應(yīng)用和平臺(tái)拓?fù)浣Y(jié)構(gòu)。

安全：通過(guò)策略強(qiáng)制安全區(qū)域法規(guī)遵從，這種編制是基于主機(jī)和hypervisor防火墻、反病毒軟件、托管入侵檢測(cè)系統(tǒng)(HIDS)、虛擬網(wǎng)絡(luò)、數(shù)據(jù)加密和其他的安全工具的。

生命周期事件：在多種生命周期事件中執(zhí)行策略，比如啟動(dòng)、關(guān)機(jī)和系統(tǒng)開(kāi)發(fā)生命周期(SDLC)代碼推進(jìn)。

備份和故障轉(zhuǎn)移：加強(qiáng)高可用性和災(zāi)難恢復(fù)策略。

資源約束：限制部署實(shí)例的最大數(shù)。

租約和調(diào)度：限制部署實(shí)例的租約和調(diào)度。

Chargeback/測(cè)量：限制資源消耗和測(cè)量基于自定制價(jià)格模型的消耗。

動(dòng)態(tài)策略：從工作負(fù)載和第三方系統(tǒng)監(jiān)控事件流，當(dāng)超過(guò)臨界值時(shí)，執(zhí)行復(fù)合事件關(guān)聯(lián)來(lái)實(shí)現(xiàn)預(yù)定義策略和動(dòng)作。

確保云治理策略同多種變更需求保持同步

面對(duì)現(xiàn)實(shí)：公司治理變化無(wú)常。新規(guī)要求、變更內(nèi)部標(biāo)準(zhǔn)、進(jìn)入新市場(chǎng)或者區(qū)域，以及其他的市場(chǎng)變化導(dǎo)致了頻繁的改變，讓治理云變得棘手?？梢宰孖T迅速自定制策略來(lái)解決更為廣泛的當(dāng)前和未來(lái)業(yè)務(wù)需求的可擴(kuò)展策略框架成為必需。創(chuàng)建和執(zhí)行無(wú)限制子性質(zhì)策略范圍可能通過(guò)使用擴(kuò)展元模型的策略引擎實(shí)現(xiàn)。這樣讓客戶或者提供商來(lái)創(chuàng)建新屬性的策略，可用來(lái)參照做出決策。比如，新的元模型擴(kuò)展因包括新的安全區(qū)域定義，迫使通過(guò)其部署策略跨云工作負(fù)載分類(lèi)。這樣的定義能夠確保這個(gè)工作負(fù)載堅(jiān)持管控約束。

基于云的IT操作模型是一種新的有變革能力的方法，可以為大多數(shù)客戶交付IT服務(wù)。因此，權(quán)利和功能范圍將會(huì)治理控制會(huì)難以控制。通常而言，云治理策略的主要主題是直接為有需要的終端用戶提供自服務(wù)、按需訪問(wèn)IT資源，讓這些IT資源自動(dòng)響應(yīng)需求和環(huán)境變化。治理策略不僅可以由企業(yè)內(nèi)不同的利益相關(guān)者合作開(kāi)發(fā)，也可以為云服務(wù)提供商治理和控制器自己IT資源的消耗。

下面是一些基于策略的治理場(chǎng)景，很好的說(shuō)明了這些策略的用處。

為不同團(tuán)隊(duì)、項(xiàng)目和工作負(fù)載實(shí)施準(zhǔn)備約束策略。比如，市場(chǎng)項(xiàng)目經(jīng)檢驗(yàn)適合在亞馬遜EC2公有云，但是德國(guó)開(kāi)發(fā)團(tuán)隊(duì)必須且只能部署在本地的基于歐盟的云，同時(shí)支付處理團(tuán)隊(duì)只能部署符合PCI的云上。

讓IT資源受限于項(xiàng)目圖團(tuán)隊(duì)或者基于個(gè)人的實(shí)例租賃、調(diào)配或者數(shù)量。例如，應(yīng)用開(kāi)發(fā)團(tuán)隊(duì)的一個(gè)員工在私有云中最多使用兩個(gè)用例?？赡蹾adoop項(xiàng)目只能在工作日下午七點(diǎn)到凌晨五點(diǎn)之間部署?？赡芡獍挠脩艚缑?UI)團(tuán)隊(duì)只能在亞馬遜EC2上獲得90天實(shí)例租賃，在那之后就會(huì)自動(dòng)退出。

加強(qiáng)動(dòng)態(tài)策略響應(yīng)入侵或/和盜用實(shí)例。例如，一個(gè)事件關(guān)聯(lián)應(yīng)該包括(1)托管入侵檢測(cè)系統(tǒng)在公有云中為實(shí)例發(fā)送“關(guān)鍵”警報(bào)類(lèi)型，結(jié)合(2)高出站流量臨界值溢出以及(3)高CPU利用率，策略結(jié)果就是釋放實(shí)例且在安全的私有云中自動(dòng)重部署一個(gè)新的實(shí)例。

云應(yīng)用正在加速，很多企業(yè)正在面臨治理挑戰(zhàn)。客戶期望快速發(fā)布基于云服務(wù)的完整治理組合，交付敏捷軟件開(kāi)發(fā)者和業(yè)務(wù)用戶需求，同時(shí)控制成本并確保法規(guī)遵從。企業(yè)需要一種可擴(kuò)展基于策略的控制點(diǎn)進(jìn)行云治理，能夠加強(qiáng)自定制策略的不受限范圍，來(lái)解決變更的業(yè)務(wù)需求。通過(guò)正確的云管理平臺(tái)，提供商可以提供大量需求控制點(diǎn)進(jìn)行治理、法規(guī)遵從和確保跨公有云和私有云計(jì)劃的安全，協(xié)助將IT轉(zhuǎn)換到基于云的操作模型中。