現如今,各種影子IT可能默默地潛伏在各種規模的數據中心的黑暗角落。而在我們頭腦中,我們其實都知道影子IT存在于企業數據中心設施中的可能性,但與此同時,大部分人又似乎深深地的相信:這沒什么大不了的。事實上,影子IT正在悄然將我們的業務置于危險之中,進而造成新的安全威脅,并在數據操作中帶來相當大的資源浪費。其危害性不僅比大多數企業所認識到的更為嚴重和普遍,而且其所造成的成本代價也要比人們想象的要高得多。
影子IT是沒有遵循企業所制定的協議而安裝的硬件、軟件和數據庫。相反,影子IT的創建沒有讓企業執行管理部門的獲悉和掌握可見性,也未經由企業的IT部門進行部署。沒有人打算創造一個可以隱藏陰影IT的系統,但這樣的系統會隨著時間的推移而發展出來。了解影子IT對企業數據中心運營以及物理層的影響;如何被揭露和消除這些影響和風險對于數據中心管理人員們而言是至關重要的。
影子IT如何滲透到企業的
根據其企業組織架構的不同,大中型企業通常都會設置一個總的IT管理部門,以負責確保企業所有IT硬件設備,軟件等都符合安全性、且獲得了相應的許可授權、遵循資產、 生命周期的管理及其他方面的要求。其他“非IT”部門通常也會有自己的IT管理人員,他們是負責為所服務的部門定制內部的軟件、專用打印機、網站甚至電子表格的IT專員。這些“非IT”部門可能需要一些快速靈活的產品和服務開發,當在需要獲得企業總的IT管理部門審批時難以執行。
考慮到一些企業組織的內部的批準過程相當麻煩,這些單獨的業務部門就可能決定在沒有企業總的IT管理審查和批準的情況下,特別是在執行小型項目或項目時間敏感的情況下,隱蔽地創建自己的服務器,下載軟件或建立自己的數據庫。雖然這樣做可能對具體業務部門或具體項目來說似乎是好事,但這其實是一個滑坡,為企業整個數據庫帶來了更大的潛在風險。首先,規避這一過程會增加企業組織對安全漏洞和未經授權訪問敏感數據的脆弱性。
除了頂級的風險之外,流氓軟件和數據庫的增加會使得許可證授權管理變得不可能,并且如果超過了每個許可證授權所允許的用戶數量的話,會將企業組織置于一個相當尷尬和代價昂貴的位置。由于許多設備發送和接收多個數據點的瓶頸,會造成另一個網絡性能差的風險。而從財務的角度來看,企業會計部門不知道這些隱蔽資產及其使用生命周期狀況,容易造成記賬錯誤和不準確。
影子IT對數據中心的物理影響
當流氓部門秘密地向數據中心添加設備時,他們通常會將企業組織的數據中心戰略拋在了腦后,甚至根本不了解這些戰略。在物理層面上,影子IT對數據中心的影響可能會導致復雜和潛在的危險情況。從空間問題、電力和冷卻容量能力需求到意外的運行成本,如果不正確地架設或連接電纜,鄰近設備將容易受到損壞和中斷。主要的關注問題是竊取配電柜面空間,規避電路保護最佳實踐方案,破壞機柜冷卻策略。
竊取機柜的分配空間。為了確保IT設備被安置在機架中的最佳位置上,企業數據中心必須建立一只負責數據中心管理的中央團隊(不管是僅僅只有一名數據中心管理人員還是包括了一只由大型技術人員組成的團隊)。只要數據中心管理層意識到所有未來的項目都將添加或減少資產,他們就可以恰當地規劃何時可以安裝未來的設備。數據中心團隊將使用數據中心基礎設施管理(DCIM)軟件來保留服務器機柜的“U型”空間,或者至少創建一個電子表格,并將表示服務器機柜U的單元格標記為保留。如果非數據中心團隊決定安裝他們自己的設備,繞過保留空間進程,而如果他們所安置的設備消耗了專用于另一個項目的空間,則可能會導致發生延遲。如果數據中心空間很大,這種情況似乎不會是一個嚴重的問題。但某些項目有著特殊的要求,如需要連續空間,這樣的情況下,就可能會危及其他項目的成功。
繞過電路保護。數據中心經理職責的一個基本要素便是確保如電氣規范所規定的那樣,讓所有電路避免超過其最大容量的80%。關鍵是要最大限度的延長正常運行時間,故而數據中心經理必須確保每臺服務器機柜或網絡機架都具有冗余電源——通常由兩個電路提供,以便如果一個電源發生斷電,另一個則可以承擔起全部負載。為了確保故障轉移成功,機柜和服務器柜電路有意限制在其最大容量的40%,因此如果一個電路承擔整個負載,則不會超過80%。當有業務部門規避這個過程,并且秘密地 安裝他們自己的設備時,往往忽視這樣的預防措施。當他們插入影子IT時,他們可能會設置超過這個40%容量規則的情況,如果發生電路故障,機柜內的所有設備都會失去電力。當為企業創造營收的應用程序關閉時,這種規模的中斷可能會導致企業損失數百萬美元,嚴重損害企業的聲譽。
破壞機柜冷卻策略。服務器機柜的功率消耗與機柜設備所產生的熱量直接相關。大多數數據中心的冷卻能力是有限的,按每臺機柜的千瓦計算。類似于管理電路電源負載,數據中心管理通常將確保每臺機柜保持在該機柜中所有安置設備的組合額定功率水平。而氣流則是確保服務器機柜和機架保持涼爽的另一個因素。通常情況下,數據中心設計有冷熱通道,IT設備從冷通道吸入冷氣,在處理數據時加熱。這種加熱的空氣從設備的后部被排出到熱通道中。然而,陰影IT通常不考慮機架的冷卻限制或氣流方向,而是隨意安裝架設。如果超過額定功率,機柜可能會過熱,造成設備故障。不恰當的風向會導致冷熱空氣的混合,降低效率和浪費資金。
消除陰影IT
考慮到為其他合法項目預留的可用容量所存在的潛在風險,受影子IT困擾的公司應努力將其從數據中心中消除。慶幸的是,他們現在可以采用幾種技術方法來防止影子IT滲透到企業組織中。
首先,嚴格限制對于數據中心的訪問。這一步是數據管理員們的第一道防線。通過將采用工牌發放的方式,將數據中心的訪問限制在僅限于負責為數據中心提供物理支持的人員身上,這會使得個別業務部門添加設備而不被注意變得更加困難。通常,具有IT相關職位的任何人都可以訪問數據中心,但鑒于今天能夠遠程監控和配置設備、系統和網絡,因此這些人員親身到數據中心進行訪問更難獲得合理性。在極少數情況下,網絡管理員需要在設備上實際工作,數據中心團隊可以護送/支持他們。限制訪問將消除幾乎所有新的影子IT進入到數據中心。
與訪問限制配套的,是更新和執行處理影子IT的流程、策略和過程。 企業數據中心的IT設備審批流程應反映安裝任何設備之前所需的所有步驟。政策應明確說明,除數據中心管理團隊小組成員以外,任何人不得安裝機架和電纜設備。程序還應解釋其他業務部門如何要求獲得IT服務。然后,這些流程,政策和程序應在全公司范圍內分發(并張貼發布),以便每個人都能理解這一過程。
消除陰影IT的其他方法還包括定期安排查訪和在數據中心內安裝攝像頭。查訪應包括對每個過道下的查訪并要打開機柜。然后將機柜中的設備與所有已安裝設備的圖紙或清單列表進行比較。如果突然出現新的設備,那么你可以調查其是如何被偷偷安裝的。如果每天都進行漫游查訪,那么安裝神秘設備裝置的時間范圍就可以縮小到一天。然后,借助24小時的攝像頭鏡頭和工牌訪問記錄可以就嫌疑人列表進行排查。
不幸的是,通過訪問限制,需要預先批準和限制誰可以進入數據中心機架和電纜連接空間,這會使得需要測試環境的企業組織團隊將遭受損失。為了滿足這種獨特的需求,應考慮從生產環境中分離出IT沙箱。如果對測試環境的需求很小,這種環境可能在一個空的立方體或工作臺上。如果需求很高,有多個人需要測試環境,那么企業組織應考慮創建一個實驗室,配備相應的服務器機柜、額外的電源和冷卻資源,以便專門用于開發和測試過程。通過實驗室或IT沙盒,這些團隊將具有靈活性,可以繼續研發,而不影響數據中心的生產。
防止影子IT的轉型
隨著時間的推移和業務部門的需求得到滿足,新的軟件批準被實施,或相關項目員工離開公司,影子IT被逐漸遺忘,不再服務于相應的業務目的。在這一點上,這些影子IT會慢慢變身為怠惰的僵尸,沒有任何目的,而只會單純的消耗企業數據中心的空間和能源。這些隱藏的僵尸影子IT不僅會消耗寶貴的資源,并將繼續使數據中心面臨風險。對于IT經理來說,遏制影子IT的活動是一項重要的操作優先事項,以便能夠帶來更有效的數據中心運營。
關于作者
作為Parallel Technologies公司的高級數據中心經理,本文作者Nate Josephs主要負責該公司數據中心運營和外包相關的項目的主要客戶界面。 這位經驗豐富的數據中心運營經理Nate為Parallel Technologies公司帶來了超過25年的數據中心開發和管理經驗。 在他職業生涯的過程中,他曾經管理過總共近7萬平方英尺的多處數據中心。Nate擁有內布拉斯加州奧馬哈貝爾維尤大學商業信息系統的本科學位。
京公網安備 11010502049343號