盡管云計算有很多的好處,但缺點也不可避免,影子IT就是其中之一。受到云計算的低成本驅使,影子IT作為一種服務模式,將傳統IT和CIO的職能轉移到企業的生產部門。盡管影子IT的風險在之前已經被討論過,但一種新的風險正在發生,尤其是在混合云的環境中。
對許多公司來說,影子IT是一種將企業對于一個問題或者機會所作出的響應從一個高慣性的IT世界中解脫出來的方式。一個職能部門從云供應商那里購買計算服務,并根據業務需求調整服務。影子IT模型可能不會對每一個應用場景都適用,但它在每個企業中至少會對一些應用有效,并且隨著云應用的增長只會不斷擴大。
然而,當同混合云結合在一起時,影子IT的風險驟然提升。大多數公司都有數據安全和合規的實踐來保護自己的信息,以及客戶和供應商的信息。這些實踐和政策的前提假設是數據是包含在一個可控的環境中。但如果用戶創建一個混合云工作流將影子IT軟件即服務(SaaS)的應用連接到高度結構化的應用,他們可能會違反安全和管理的要求,這種風險被稱為非法融合。
非法融合危險增長的主要原因有兩個。首先,SaaS的采用正在增加,生產部門可以很容易的采用SaaS應用,不需要IT的支持。
其次,SaaS提供商正提供更多的應用,這使得數據更加可能從至少其中一個應用同企業內部或其他的云數據融合在一起。這種融合對于安全和管理來說尤其是一個問題。
一些非法融合的問題已經暴露出來。大多數問題發生在云應用部署后,當管理層試圖整合一些信息來支持生產力。比如,一家機構可能會查看一個CRM應用,確定增加客戶訂單狀態會幫助銷售團隊。SaaS提供商因此會在CRM應用和企業的訂單狀態信息之間建立一個連接。但如果企業沒有考慮到安全和管理需求,可能會在自己的數據中心和云之間創建一個不安全的鏈接。在某些情況下,運營安全和內部管理團隊甚至可能對此一無所知。
非法融合的最大問題發生在云托管的應用程序之間。業界充滿了混合數據違反安全和管理策略的例子,而單獨的數據元素則不會。并且由于兩個或更多的影子IT云應用可以在不需要任何內部IT知識的基礎上互相連接,不少這種違規行為從來沒有暴露出來,直到為時已晚。
三種方式最小化影子IT在混合云中的風險
那么你該如何既保留影子IT所創造的靈活性,同時又保護你的數據和應用程序呢?有針對性和一刀切的辦法,但企業應該選擇一個符合自己的影子IT使用的方法。
防止非法融合的最廣泛和最侵入性的方式是對所有的SaaS合約,服務和接口進行IT運營,安全和合規的審核。這是一種提醒IT部門云計算正在公司內部蓬勃發展的方式,幫助他們做好混合模式的準備。不過,雖然有效,但這些審核會導致SaaS的部署延遲。
第二個選擇是允許生產部門采用SaaS應用,只要沒有數據交換或與其他應用程序的工作流連接。當需要數據交換時,組織應該進行上述的那些操作審核。開發并驗證任何數據交換的過程同樣也很重要。然而這種做法成敗參半。一些公司報告說運營人員仍然繞過IT,而另一些公司又說時間都浪費在了審核一個理應很簡單的應用互連過程。
另一個新興的做法是合規感染。混合云的組件,如應用程序,數據和工作流攜帶自己的規則,安全和治理的要求。通過這種感染的方式,這些混合云元素的要求-- 是否來自數據中心還是來自另一個云環境 –都被公布出來。任何時候,當一個云應用同另一個應用建立一個混合連接時,每個應用程序都將“獲得”對方的要求。這樣一來,IT部門必須確保這兩個應用都合規和安全。
但即使是這種方法并不能完全解決在混合環境中對多個影子IT云應用進行安全保護的挑戰,尤其是如果這兩個應用來自同一個云服務提供商。唯一的做法是對所有的混合應用和工作流進行專業的IT審核,即便是在同一個SaaS提供商里,目的是培訓職能部門經理關于安全和管理的問題,可以作為云服務合同審批的一個條件。
影子IT對許多公司,以及幾乎所有的職能部門的吸引力如此之大,如果沒有正規IT的參與,非法融合的風險將很難控制。隨著SaaS服務商不斷拓展市場,會有更多的SaaS應用需要連接到現有的數據中心。考慮到這一點,要檢測到非法融合的蹤影也許是不可能的,這使得對每一個云項目的安全和法規遵從審查變得非常關鍵。盡管這并不能終止影子IT,但至少會為這個問題的解決帶來一線曙光。
京公網安備 11010502049343號