盡管云計算有很多的好處,但缺點也不可避免,影子IT就是其中之一。受到云計算的低成本驅(qū)使,影子IT作為一種服務(wù)模式,將傳統(tǒng)IT和CIO的職能轉(zhuǎn)移到企業(yè)的生產(chǎn)部門。盡管影子IT的風(fēng)險在之前已經(jīng)被討論過,但一種新的風(fēng)險正在發(fā)生,尤其是在混合云的環(huán)境中。
對許多公司來說,影子IT是一種將企業(yè)對于一個問題或者機會所作出的響應(yīng)從一個高慣性的IT世界中解脫出來的方式。一個職能部門從云供應(yīng)商那里購買計算服務(wù),并根據(jù)業(yè)務(wù)需求調(diào)整服務(wù)。影子IT模型可能不會對每一個應(yīng)用場景都適用,但它在每個企業(yè)中至少會對一些應(yīng)用有效,并且隨著云應(yīng)用的增長只會不斷擴大。
然而,當(dāng)同混合云結(jié)合在一起時,影子IT的風(fēng)險驟然提升。大多數(shù)公司都有數(shù)據(jù)安全和合規(guī)的實踐來保護自己的信息,以及客戶和供應(yīng)商的信息。這些實踐和政策的前提假設(shè)是數(shù)據(jù)是包含在一個可控的環(huán)境中。但如果用戶創(chuàng)建一個混合云工作流將影子IT軟件即服務(wù)(SaaS)的應(yīng)用連接到高度結(jié)構(gòu)化的應(yīng)用,他們可能會違反安全和管理的要求,這種風(fēng)險被稱為非法融合。
非法融合危險增長的主要原因有兩個。首先,SaaS的采用正在增加,生產(chǎn)部門可以很容易的采用SaaS應(yīng)用,不需要IT的支持。
其次,SaaS提供商正提供更多的應(yīng)用,這使得數(shù)據(jù)更加可能從至少其中一個應(yīng)用同企業(yè)內(nèi)部或其他的云數(shù)據(jù)融合在一起。這種融合對于安全和管理來說尤其是一個問題。
一些非法融合的問題已經(jīng)暴露出來。大多數(shù)問題發(fā)生在云應(yīng)用部署后,當(dāng)管理層試圖整合一些信息來支持生產(chǎn)力。比如,一家機構(gòu)可能會查看一個CRM應(yīng)用,確定增加客戶訂單狀態(tài)會幫助銷售團隊。SaaS提供商因此會在CRM應(yīng)用和企業(yè)的訂單狀態(tài)信息之間建立一個連接。但如果企業(yè)沒有考慮到安全和管理需求,可能會在自己的數(shù)據(jù)中心和云之間創(chuàng)建一個不安全的鏈接。在某些情況下,運營安全和內(nèi)部管理團隊甚至可能對此一無所知。
非法融合的最大問題發(fā)生在云托管的應(yīng)用程序之間。業(yè)界充滿了混合數(shù)據(jù)違反安全和管理策略的例子,而單獨的數(shù)據(jù)元素則不會。并且由于兩個或更多的影子IT云應(yīng)用可以在不需要任何內(nèi)部IT知識的基礎(chǔ)上互相連接,不少這種違規(guī)行為從來沒有暴露出來,直到為時已晚。
三種方式最小化影子IT在混合云中的風(fēng)險
那么你該如何既保留影子IT所創(chuàng)造的靈活性,同時又保護你的數(shù)據(jù)和應(yīng)用程序呢?有針對性和一刀切的辦法,但企業(yè)應(yīng)該選擇一個符合自己的影子IT使用的方法。
防止非法融合的最廣泛和最侵入性的方式是對所有的SaaS合約,服務(wù)和接口進行IT運營,安全和合規(guī)的審核。這是一種提醒IT部門云計算正在公司內(nèi)部蓬勃發(fā)展的方式,幫助他們做好混合模式的準(zhǔn)備。不過,雖然有效,但這些審核會導(dǎo)致SaaS的部署延遲。
第二個選擇是允許生產(chǎn)部門采用SaaS應(yīng)用,只要沒有數(shù)據(jù)交換或與其他應(yīng)用程序的工作流連接。當(dāng)需要數(shù)據(jù)交換時,組織應(yīng)該進行上述的那些操作審核。開發(fā)并驗證任何數(shù)據(jù)交換的過程同樣也很重要。然而這種做法成敗參半。一些公司報告說運營人員仍然繞過IT,而另一些公司又說時間都浪費在了審核一個理應(yīng)很簡單的應(yīng)用互連過程。
另一個新興的做法是合規(guī)感染?;旌显频慕M件,如應(yīng)用程序,數(shù)據(jù)和工作流攜帶自己的規(guī)則,安全和治理的要求。通過這種感染的方式,這些混合云元素的要求-- 是否來自數(shù)據(jù)中心還是來自另一個云環(huán)境 –都被公布出來。任何時候,當(dāng)一個云應(yīng)用同另一個應(yīng)用建立一個混合連接時,每個應(yīng)用程序都將“獲得”對方的要求。這樣一來,IT部門必須確保這兩個應(yīng)用都合規(guī)和安全。
但即使是這種方法并不能完全解決在混合環(huán)境中對多個影子IT云應(yīng)用進行安全保護的挑戰(zhàn),尤其是如果這兩個應(yīng)用來自同一個云服務(wù)提供商。唯一的做法是對所有的混合應(yīng)用和工作流進行專業(yè)的IT審核,即便是在同一個SaaS提供商里,目的是培訓(xùn)職能部門經(jīng)理關(guān)于安全和管理的問題,可以作為云服務(wù)合同審批的一個條件。
影子IT對許多公司,以及幾乎所有的職能部門的吸引力如此之大,如果沒有正規(guī)IT的參與,非法融合的風(fēng)險將很難控制。隨著SaaS服務(wù)商不斷拓展市場,會有更多的SaaS應(yīng)用需要連接到現(xiàn)有的數(shù)據(jù)中心。考慮到這一點,要檢測到非法融合的蹤影也許是不可能的,這使得對每一個云項目的安全和法規(guī)遵從審查變得非常關(guān)鍵。盡管這并不能終止影子IT,但至少會為這個問題的解決帶來一線曙光。