影子IT對數(shù)據(jù)中心的物理影響

責任編輯:editor007

作者:litao984lt編譯

2017-05-05 22:27:35

摘自:機房360

摘要:現(xiàn)如今,各種影子IT可能默默地潛伏在各種規(guī)模的數(shù)據(jù)中心的黑暗角落。不幸的是,通過訪問限制,需要預先批準和限制誰可以進入數(shù)據(jù)中心機架和電纜連接空間,這會使得需要測試環(huán)境的企業(yè)組織團隊將遭受損失。

現(xiàn)如今,各種影子IT可能默默地潛伏在各種規(guī)模的數(shù)據(jù)中心的黑暗角落。而在我們頭腦中,我們其實都知道影子IT存在于企業(yè)數(shù)據(jù)中心設施中的可能性,但與此同時,大部分人又似乎深深地的相信:這沒什么大不了的。事實上,影子IT正在悄然將我們的業(yè)務置于危險之中,進而造成新的安全威脅,并在數(shù)據(jù)操作中帶來相當大的資源浪費。其危害性不僅比大多數(shù)企業(yè)所認識到的更為嚴重和普遍,而且其所造成的成本代價也要比人們想象的要高得多。

影子IT是沒有遵循企業(yè)所制定的協(xié)議而安裝的硬件、軟件和數(shù)據(jù)庫。相反,影子IT的創(chuàng)建沒有讓企業(yè)執(zhí)行管理部門的獲悉和掌握可見性,也未經(jīng)由企業(yè)的IT部門進行部署。沒有人打算創(chuàng)造一個可以隱藏陰影IT的系統(tǒng),但這樣的系統(tǒng)會隨著時間的推移而發(fā)展出來。了解影子IT對企業(yè)數(shù)據(jù)中心運營以及物理層的影響;如何被揭露和消除這些影響和風險對于數(shù)據(jù)中心管理人員們而言是至關(guān)重要的。

影子IT如何滲透到企業(yè)的

根據(jù)其企業(yè)組織架構(gòu)的不同,大中型企業(yè)通常都會設置一個總的IT管理部門,以負責確保企業(yè)所有IT硬件設備,軟件等都符合安全性、且獲得了相應的許可授權(quán)、遵循資產(chǎn)、 生命周期的管理及其他方面的要求。其他“非IT”部門通常也會有自己的IT管理人員,他們是負責為所服務的部門定制內(nèi)部的軟件、專用打印機、網(wǎng)站甚至電子表格的IT專員。這些“非IT”部門可能需要一些快速靈活的產(chǎn)品和服務開發(fā),當在需要獲得企業(yè)總的IT管理部門審批時難以執(zhí)行。

考慮到一些企業(yè)組織的內(nèi)部的批準過程相當麻煩,這些單獨的業(yè)務部門就可能決定在沒有企業(yè)總的IT管理審查和批準的情況下,特別是在執(zhí)行小型項目或項目時間敏感的情況下,隱蔽地創(chuàng)建自己的服務器,下載軟件或建立自己的數(shù)據(jù)庫。雖然這樣做可能對具體業(yè)務部門或具體項目來說似乎是好事,但這其實是一個滑坡,為企業(yè)整個數(shù)據(jù)庫帶來了更大的潛在風險。首先,規(guī)避這一過程會增加企業(yè)組織對安全漏洞和未經(jīng)授權(quán)訪問敏感數(shù)據(jù)的脆弱性。

除了頂級的風險之外,流氓軟件和數(shù)據(jù)庫的增加會使得許可證授權(quán)管理變得不可能,并且如果超過了每個許可證授權(quán)所允許的用戶數(shù)量的話,會將企業(yè)組織置于一個相當尷尬和代價昂貴的位置。由于許多設備發(fā)送和接收多個數(shù)據(jù)點的瓶頸,會造成另一個網(wǎng)絡性能差的風險。而從財務的角度來看,企業(yè)會計部門不知道這些隱蔽資產(chǎn)及其使用生命周期狀況,容易造成記賬錯誤和不準確。

影子IT對數(shù)據(jù)中心的物理影響

當流氓部門秘密地向數(shù)據(jù)中心添加設備時,他們通常會將企業(yè)組織的數(shù)據(jù)中心戰(zhàn)略拋在了腦后,甚至根本不了解這些戰(zhàn)略。在物理層面上,影子IT對數(shù)據(jù)中心的影響可能會導致復雜和潛在的危險情況。從空間問題、電力和冷卻容量能力需求到意外的運行成本,如果不正確地架設或連接電纜,鄰近設備將容易受到損壞和中斷。主要的關(guān)注問題是竊取配電柜面空間,規(guī)避電路保護最佳實踐方案,破壞機柜冷卻策略。

竊取機柜的分配空間。為了確保IT設備被安置在機架中的最佳位置上,企業(yè)數(shù)據(jù)中心必須建立一只負責數(shù)據(jù)中心管理的中央團隊(不管是僅僅只有一名數(shù)據(jù)中心管理人員還是包括了一只由大型技術(shù)人員組成的團隊)。只要數(shù)據(jù)中心管理層意識到所有未來的項目都將添加或減少資產(chǎn),他們就可以恰當?shù)匾?guī)劃何時可以安裝未來的設備。數(shù)據(jù)中心團隊將使用數(shù)據(jù)中心基礎設施管理(DCIM)軟件來保留服務器機柜的“U型”空間,或者至少創(chuàng)建一個電子表格,并將表示服務器機柜U的單元格標記為保留。如果非數(shù)據(jù)中心團隊決定安裝他們自己的設備,繞過保留空間進程,而如果他們所安置的設備消耗了專用于另一個項目的空間,則可能會導致發(fā)生延遲。如果數(shù)據(jù)中心空間很大,這種情況似乎不會是一個嚴重的問題。但某些項目有著特殊的要求,如需要連續(xù)空間,這樣的情況下,就可能會危及其他項目的成功。

繞過電路保護。數(shù)據(jù)中心經(jīng)理職責的一個基本要素便是確保如電氣規(guī)范所規(guī)定的那樣,讓所有電路避免超過其最大容量的80%。關(guān)鍵是要最大限度的延長正常運行時間,故而數(shù)據(jù)中心經(jīng)理必須確保每臺服務器機柜或網(wǎng)絡機架都具有冗余電源——通常由兩個電路提供,以便如果一個電源發(fā)生斷電,另一個則可以承擔起全部負載。為了確保故障轉(zhuǎn)移成功,機柜和服務器柜電路有意限制在其最大容量的40%,因此如果一個電路承擔整個負載,則不會超過80%。當有業(yè)務部門規(guī)避這個過程,并且秘密地 安裝他們自己的設備時,往往忽視這樣的預防措施。當他們插入影子IT時,他們可能會設置超過這個40%容量規(guī)則的情況,如果發(fā)生電路故障,機柜內(nèi)的所有設備都會失去電力。當為企業(yè)創(chuàng)造營收的應用程序關(guān)閉時,這種規(guī)模的中斷可能會導致企業(yè)損失數(shù)百萬美元,嚴重損害企業(yè)的聲譽。

破壞機柜冷卻策略。服務器機柜的功率消耗與機柜設備所產(chǎn)生的熱量直接相關(guān)。大多數(shù)數(shù)據(jù)中心的冷卻能力是有限的,按每臺機柜的千瓦計算。類似于管理電路電源負載,數(shù)據(jù)中心管理通常將確保每臺機柜保持在該機柜中所有安置設備的組合額定功率水平。而氣流則是確保服務器機柜和機架保持涼爽的另一個因素。通常情況下,數(shù)據(jù)中心設計有冷熱通道,IT設備從冷通道吸入冷氣,在處理數(shù)據(jù)時加熱。這種加熱的空氣從設備的后部被排出到熱通道中。然而,陰影IT通常不考慮機架的冷卻限制或氣流方向,而是隨意安裝架設。如果超過額定功率,機柜可能會過熱,造成設備故障。不恰當?shù)娘L向會導致冷熱空氣的混合,降低效率和浪費資金。

消除陰影IT

考慮到為其他合法項目預留的可用容量所存在的潛在風險,受影子IT困擾的公司應努力將其從數(shù)據(jù)中心中消除。慶幸的是,他們現(xiàn)在可以采用幾種技術(shù)方法來防止影子IT滲透到企業(yè)組織中。

首先,嚴格限制對于數(shù)據(jù)中心的訪問。這一步是數(shù)據(jù)管理員們的第一道防線。通過將采用工牌發(fā)放的方式,將數(shù)據(jù)中心的訪問限制在僅限于負責為數(shù)據(jù)中心提供物理支持的人員身上,這會使得個別業(yè)務部門添加設備而不被注意變得更加困難。通常,具有IT相關(guān)職位的任何人都可以訪問數(shù)據(jù)中心,但鑒于今天能夠遠程監(jiān)控和配置設備、系統(tǒng)和網(wǎng)絡,因此這些人員親身到數(shù)據(jù)中心進行訪問更難獲得合理性。在極少數(shù)情況下,網(wǎng)絡管理員需要在設備上實際工作,數(shù)據(jù)中心團隊可以護送/支持他們。限制訪問將消除幾乎所有新的影子IT進入到數(shù)據(jù)中心。

與訪問限制配套的,是更新和執(zhí)行處理影子IT的流程、策略和過程。 企業(yè)數(shù)據(jù)中心的IT設備審批流程應反映安裝任何設備之前所需的所有步驟。政策應明確說明,除數(shù)據(jù)中心管理團隊小組成員以外,任何人不得安裝機架和電纜設備。程序還應解釋其他業(yè)務部門如何要求獲得IT服務。然后,這些流程,政策和程序應在全公司范圍內(nèi)分發(fā)(并張貼發(fā)布),以便每個人都能理解這一過程。

消除陰影IT的其他方法還包括定期安排查訪和在數(shù)據(jù)中心內(nèi)安裝攝像頭。查訪應包括對每個過道下的查訪并要打開機柜。然后將機柜中的設備與所有已安裝設備的圖紙或清單列表進行比較。如果突然出現(xiàn)新的設備,那么你可以調(diào)查其是如何被偷偷安裝的。如果每天都進行漫游查訪,那么安裝神秘設備裝置的時間范圍就可以縮小到一天。然后,借助24小時的攝像頭鏡頭和工牌訪問記錄可以就嫌疑人列表進行排查。

不幸的是,通過訪問限制,需要預先批準和限制誰可以進入數(shù)據(jù)中心機架和電纜連接空間,這會使得需要測試環(huán)境的企業(yè)組織團隊將遭受損失。為了滿足這種獨特的需求,應考慮從生產(chǎn)環(huán)境中分離出IT沙箱。如果對測試環(huán)境的需求很小,這種環(huán)境可能在一個空的立方體或工作臺上。如果需求很高,有多個人需要測試環(huán)境,那么企業(yè)組織應考慮創(chuàng)建一個實驗室,配備相應的服務器機柜、額外的電源和冷卻資源,以便專門用于開發(fā)和測試過程。通過實驗室或IT沙盒,這些團隊將具有靈活性,可以繼續(xù)研發(fā),而不影響數(shù)據(jù)中心的生產(chǎn)。

防止影子IT的轉(zhuǎn)型

隨著時間的推移和業(yè)務部門的需求得到滿足,新的軟件批準被實施,或相關(guān)項目員工離開公司,影子IT被逐漸遺忘,不再服務于相應的業(yè)務目的。在這一點上,這些影子IT會慢慢變身為怠惰的僵尸,沒有任何目的,而只會單純的消耗企業(yè)數(shù)據(jù)中心的空間和能源。這些隱藏的僵尸影子IT不僅會消耗寶貴的資源,并將繼續(xù)使數(shù)據(jù)中心面臨風險。對于IT經(jīng)理來說,遏制影子IT的活動是一項重要的操作優(yōu)先事項,以便能夠帶來更有效的數(shù)據(jù)中心運營。

關(guān)于作者

作為Parallel Technologies公司的高級數(shù)據(jù)中心經(jīng)理,本文作者Nate Josephs主要負責該公司數(shù)據(jù)中心運營和外包相關(guān)的項目的主要客戶界面。 這位經(jīng)驗豐富的數(shù)據(jù)中心運營經(jīng)理Nate為Parallel Technologies公司帶來了超過25年的數(shù)據(jù)中心開發(fā)和管理經(jīng)驗。 在他職業(yè)生涯的過程中,他曾經(jīng)管理過總共近7萬平方英尺的多處數(shù)據(jù)中心。Nate擁有內(nèi)布拉斯加州奧馬哈貝爾維尤大學商業(yè)信息系統(tǒng)的本科學位。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號