云安全公司Skyhigh Networks近日的一份報告指出，2016年第三季度，平均每個組織使用的云服務總數已經高達4427個，比去年同期增長了23.7%。這些數字清楚的說明了影子IT問題的嚴重程度。盡管云服務具備提高敏捷性、生產力和用戶體驗的各項優點，于此同時，云服務也潛藏著IT和安全團隊的巨大風險。

在今天使用的20000多個云服務中，只有8.1%的符合Skyhigh的CloudTrust項目定義的嚴格的數據安全性和隱私需求。當員工選擇云服務的時候，他們通常會忽略其安全限制。在許多情況下，這可能會直接導致未經授權的企業數據被訪問。

一個大型集團正在面臨以下問題，當其法律團隊的成員將其合同上傳到在線PDF轉換器時，其服務條款表示，轉換器方將承擔上傳到他們系統的所有文件的完全使用權，他們將有權把數據分發給任何第三方。法律團隊通過將敏感信息上傳到可以自由分發給任何相關方的服務商，從而使公司面臨巨大的風險。

公司試圖通過阻止已知的有風險的服務在爆發時解決影子IT的問題，這種“重擊”的方式將能夠部分解決這個問題，但同時也增加了員工發現其他云服務的風險。而這些云服務的知名度較低，風險程度卻很高。為了克服高風險影子IT服務帶來的挑戰，CIO和CISO正在尋求干架安全的解決方案應對這個關鍵的問題，以下便是對各家企業的四項建議：

1. 了解影子IT服務

企業CIO希望能夠了解公司內員工使用的所有云服務，雖然現有的代理和防火墻具備一定程度的云服務可見性，但IT部門人就無法做出任何可行的決策。因此，為了做出明智的決策，IT領導者不僅要查看所有云服務，還要查看相關數據點，包括訪問每個服務的用戶或團隊，上傳或下載的數據以及隨著時間的推移使用的趨勢。而隨著基礎架構即服務IaaS平臺使用量的日益增長，企業也希望在IaaS部署包括用戶賬號、自定義應用和數據交換等相關方面的可見性和指標配置。

2. 了解與云服務相關的風險

鑒于目前高達20000多個云服務的存在，僅僅是看到公司內部使用服務并不能滿足安全的需求，特別是如果公司開始阻止幫助員工完成工作的云服務，IT團隊需要了解與每個服務相關的風險，以便他們能夠執行相應的策略安排。

在評估構建到云服務中安全控制方面的盡職調查是一項冗長而乏味的過程，而且大多數IT團隊通常沒有資源來執行這些分析。考慮到企業云的采用只能從這里開始增長，CIO們正在尋找解決云服務內置安全控制的解決方案，并使用這些信息來提供與之相關的風險控制。通過基于風險的云服務分類，他們可以根據公司的風險承受能力來執行治理策略。

3. 項目執行治理策略

隨著企業越來越多的看到云的可能性，公司正在尋找相應的執行治理策略來規范這種采用方式。與云服務相關的風險信息將幫助IT團隊基于風險類別來實現治理策略。一個基本的例子是將云服務劃分為高、中、低風險的存儲區，然后執行相關策略來住址高風險服務，并強制使用中風險服務的數據丟失預防/遵從策略，并批準選擇低風險的解決方案方案。

有些公司可能希望執行更細粒度的策略，比如允許特定團隊(如工程)的云應用程序，然后將其用于人力資源或市場營銷。這需要云安全解決方案集成現有IT基礎設施，如Active Directory，以及安全解決方案，如防火墻和代理。IT領導人經常指出與孤島運行的安全解決方案相關的挑戰以及監控多個儀表板去了解云使用風險的額外工作。

4.應用數據丟失預防策略

許多云解決方案可能屬于“允許的”類別，這意味著他們沒有企業級解決方案所需的安全控制，但是它們通過改進工作流程或提高生產率增加了價值。對于這些解決方案，公司選擇強制執行數據丟失預防策略，以防止未授權用戶上傳敏感數據。例如，它可以執行一些策略，防止諸如個人信息或健康信息等機密數據被上傳至Evernote，或者限制員工將源代碼上傳到選定的GitHub存儲庫。這使得員工在保持公司數據安全的同時保持生產效率。

Gartner研究認為，2016年公有云服務市場的規模為208.6億美元，上云率增長表示它還處于早期階段，并且將會有更多具有不同功能的解決方案的出現。在早期構建公司治理策略并簡化云使用的企業能夠在云投資上實現更高的回報，并能更好的保護和管理其使用。