虽然云计算有很多好处,但也有不可避免的缺点,影子IT就是其中之一。在云计算低成本的推动下,影子IT作为一种服务模式,将传统IT和CIO的职能转移到企业的生产部门。尽管之前已经讨论过影子IT的风险,但一种新的风险正在发生,尤其是在混合云环境中。对于许多公司而言,影子IT是一种将业务对问题或机会的响应从高惯性IT世界中转移出来的方法。一个功能是从云提供商那里购买计算服务,并根据业务需求调整服务。影子IT模型可能不适用于所有用例,但它至少适用于每个企业中的某些应用程序,并且只会随着云采用率的增长而继续扩展。然而,当与混合云相结合时,影子IT的风险突然增加。大多数公司都有适当的数据安全和合规实践来保护他们自己的信息,以及他们的客户和供应商的信息。这些实践和政策假定数据包含在受控环境中。但是,如果用户创建混合云工作流,将影子IT软件即服务(SaaS)应用程序连接到高度结构化的应用程序,他们可能会违反安全和管理要求,这种风险被称为非法融合。非法融合危险增加的主要原因有两个。首先,SaaS的采用正在增加,生产部门可以在没有IT支持的情况下轻松采用SaaS应用程序。其次,SaaS提供商正在提供更多的应用程序,这使得至少来自其中一个应用程序的数据更有可能与来自本地或其他云的数据合并。这种融合对于安全和管理来说尤其是一个问题。一些非法融合的问题已经暴露出来。大多数问题发生在云应用程序部署之后,当管理层试图整合一些信息以支持生产力时。例如,代理机构可能会查看CRM应用程序并确定提高客户订单的状态将有助于销售团队。因此,SaaS提供商将在CRM应用程序和公司的订单状态信息之间建立连接。但如果企业不考虑安全和管理需求,它可能会在自己的数据中心和云之间创建一个不安全的链接。在某些情况下,运营安全和内部管理团队甚至可能不知道。非法融合的最大问题发生在云托管应用程序之间。业界充满了混合数据违反安全和治理策略的例子,而单独的数据元素则没有。由于两个或多个影子IT云应用程序可以在没有任何内部IT知识的情况下相互连接,因此许多此类违规行为直到为时已晚才被发现。将混合云中的影子IT风险降至最低的三种方法那么如何在保护数据和应用程序的同时保持影子IT创造的灵活性呢?有的放矢,一刀切,但企业应该选择与自己的影子IT使用相一致的方法。防止非法集成的最广泛和最具侵入性的方法是对所有SaaS合同、服务和接口进行IT操作、安全和合规审计。这是一种提醒IT部门云计算在公司内部蓬勃发展的方式,帮助他们为混合模型做好准备。然而,虽然有效,但这些审计可能会导致SaaS部署的延迟。第二种选择是允许生产部门采用SaaS应用,只要不与其他应用进行数据交换或工作流连接即可。当需要数据交换时,组织应进行上述操作审核。开发和验证任何数据交换的过程也很重要。然而,这种方法取得了不同程度的成功。一些公司报告说,运营人员仍在绕过IT,而另一些公司则表示,时间被浪费在审计一个本应简单的应用程序互连过程上。另一种新出现的做法是合规性感染。混合云的组件(例如应用程序、数据和工作流)具有自己的规则、安全和治理要求。通过这种感染,对这些混合云元素的请求——无论是来自数据中心还是来自另一个云环境——都会被发布。每当一个云应用程序与另一个应用程序建立混合连接时,每个应用程序都会“获取”对方的请求。因此,IT必须确保这两个应用程序都合规且安全。但即使是这种方法也不能完全解决在混合环境中保护多个影子IT云应用程序的挑战,尤其是当这两个应用程序来自同一云服务提供商时。做到这一点的唯一方法是对所有混合应用程序和工作流进行专业的IT审计,即使是在同一个SaaS提供商内,目的是对职能经理进行安全和管理问题培训,这可以作为云服务的条件合同审批。影子IT对许多公司以及几乎所有职能部门都极具吸引力,如果没有正式IT的参与,非法整合的风险将难以管理。随着SaaS服务提供商不断扩大市场,更多的SaaS应用程序需要连接到现有的数据中心。考虑到这一点,可能无法检测到非法融合的痕迹,这使得对每个云项目的安全性和合规性审查变得至关重要。虽然这并没有结束影子IT,但它至少揭示了这个问题。原文链接:http://www.searchcloudcomputing.com.cn/showcontent_91000.htm
