如果你的企業有一個不稱職的管理員,你的整個云基礎設施都會受到威脅。那么你該采取何種保護措施呢?
通常我都是在孩子們早上上學以后寫點東西。但是今天早上,我從辦公室偷溜出來,手里拿了杯咖啡,腿上放著我的Mac。因為我從一個參加了在倫敦召開的IP Expo展會的人那里聽到了一件非常令人不安的影子IT故事,我想在飛過大西洋之前先把這件事記錄到磁盤上。
事情是這樣的:我不是一個悲觀主義者,我認為專業的IT團隊只要有信心,有自己的做事邏輯,再給他們一些時間,他們就能解決所有問題,畢竟他們擁有主動權。但是,這是一個關于云計算問題的例子,在細節很清晰的時候我們要認真探討一下。
我們都太熟悉影子IT了:它是指企業內一些懂得相關技術的內部人員未經IT部門同意,甚至是違反企業政策所做的一些危險操作。你是否經常發現YADBA(另一種Dropbox賬戶),盡管每個員工都簽署了不準泄露出貨單據信息的協議?幸運的是,Dropbox問題相對來說很容易解決,只需要在你的數據中心中提供一個可接受的安全文件共享應用程序的替代方案,然后使用數據包檢測、應用程序特征檢測或NetFlow來訪問控制列表,或者把它從企業中剔除。
上千個賬單讓IT部門無計可施
但是,我從IP Expo展會聽到的例子是,它已經完全偏離了應用程序使用條例,甚至是IaaS案例管理。要注意,由于其毫無預警,所以它可能發生在任何規模的企業中。
概括地說就是,一個業余網絡開發人員或內容管理系統管理員認為他發現了一種讓客戶跟蹤客戶訂單的完成進度的不錯方式。他獲批得到采購訂單,然后打開了一個重要供應商的IaaS賬戶。他還建立了一個差強人意的應用程序,包括移動響應布局。最后,IT還幫助他設置了一個VPN連接到他的虛擬私有云(VPC)上,這樣他就可以在公司網絡上訪問數據服務API??蛻艉芨吲d,管理也很方便。但是,唯一的問題是,他收到了航空公司給他的信用卡發來的飛行距離數據,注意,是給他的個人信用卡。
你可能不愿意看到最后一句話,因為你知道這意味著什么。
意識到該問題嚴重性的第一個跡象并不是該管理員又干了一段時間離職去了其它公司。而是兩個月后,他的默認郵箱[email protected]開始收到各種郵件。真正嚴重的是,超鏈接和全球范圍內的跟蹤網站都下線了。起初這還沒有引起公司的恐慌,只是以為網站崩潰,然后找管理員來修復就可以了。但是后來這個問題一再重復發生。很快,網絡運營團隊意識到問題不是來自主機托管,而是在混合云中。它只是互聯網上的一個IP地址,現在沒有什么比一個完全不知道的生產系統更讓人頭疼的了。整個賬戶,包括機器實例、存儲、關系型數據庫和VPN端點已經完全被清空了。
結果就是“賬戶戶主”刪除了他的個人賬戶信息,然后給初級IT管理員發了一封獨立的郵件,提醒他得到一個企業為其賬戶設置的卡。管理員認為他做的天衣無縫,但是在采購訂單的問題上遇到了問題。云服務提供商只保證這個賬戶安全運行了60天,然后引爆了這顆安全的定時炸彈。這時,IT部門懇求供應商修復這個問題,但是最終得到的答案卻是:這個賬戶是個人所有,無論它連接到DNS解析還是跨網絡接口的標識和版權,他們都沒有過戶。
錯失了“照亮”影子IT的機會
事后來看,這個問題其實應該像讓Dropbox下線一樣容易,可能比這更簡單。除了要檢測可以清楚顯示所交易的供應商的VPN,IT還提供了VPC VPN,并且給DNS添加了所需的新子域。他們最終失敗了不是因為他們沒有做,而是他們從一開始就不知道自己哪里不懂。他們沒有一個合理的服務審核過程,來判斷企業在云端享有的服務。這樣他們就不能跟蹤開發權限或管理權限或強制執行的標準文檔。
幸運的是,該公司幾天后又重新上線了,因為造成這種局面的那個家伙還有的救,他在用完IT可以服務的核定存儲賬戶前做了備份。這個公司也算是比較幸運,在這個事件之后他們也做出了實質性的改變。管理者實施了新的審計程序,并且開始認真掃描流量,以識別現有網站上的未知服務,更重要的是,他們越來越懷疑影子IT了。
至于我,我知道自己回到Austin以后馬上要做的事了。