云下陰影：云計算中的影子IT會產生怎樣的影響？

未被批準的影子IT之所以會出現(xiàn)，是因為企業(yè)內部的集中化技術能力要么太慢，要么太過時，要么太受限制，而人員或項目正試圖繞過這些限制，找到更好的解決方案。雖然這帶來了立竿見影的好處，但也可能給企業(yè)帶來風險和挑戰(zhàn)。影子IT的使用會引起兩極分化的情緒，這取決于你想要實現(xiàn)什么樣的目的。

1、什么是影子IT?

影子IT是指使用未經企業(yè)及其核心IT能力批準的技術。在大多數(shù)企業(yè)中，它以某種形式存在，可能帶來風險，但也可能帶來好處。

以下虛構的場景將帶領您通過一個示例，說明為什么可以將影子IT引入到一個組織中。

2、Zaam國際公司的情況

Zaam國際是一家大型玩具公司，它在云端擁有一個名為ZaamIT的集中IT能力。一個新的內部項目ProjectCRM由一個敏捷的團隊組成，團隊成員來自Zaam國際公司和一家外部技術咨詢公司。ProjectCRM的目標是利用ZaamIT的集中控制服務，將一個新的CRM解決方案實現(xiàn)到云計算中。

ProjectCRM需要滿足挑戰(zhàn)性的時間表，并需要修改容器平臺、網絡和防火墻路由，以使新的CRM解決方案能夠運行。ZaamIT不在其平臺上運行任何容器，也不支持任何基于容器的工作負載。ZaamIT集中管理一個網絡防火墻和一個web應用程序防火墻(WAF)，這些防火墻可以通過內部票務系統(tǒng)請求更改。由于工作量的增加和工作人員的短缺，ZaamIT目前積壓了大量的訂單。

ProjectCRM需要指定的服務和更改，才能運行新的CRM解決方案。ProjectCRM團隊向ZaamIT提出了變更要求。由于工作積壓，ZaamIT無法及時協(xié)助ProjectCRM。該延遲預計將影響ProjectCRM的部署。

ProjectCRM已經提供了他們自己的ProjectCRM云帳戶，該帳戶與主ZaamIT云帳戶相關聯(lián)。ProjectCRM DevOps工程師在他們的云帳戶中擁有完全的管理員權限，并且考慮到ProjectCRM的緊迫性，他們決定自己動手解決問題。

他們已經為容器解決方案部署了Kubernetes平臺，并配置了他們的網絡，直接從他們的云帳戶路由流量，而不是使用中央批準的ZaamIT網絡模式。他們部署自己的防火墻和WAF來控制和保護網絡流量。ProjectCRM團隊在項目期間管理這些已部署資源的維護。

ZaamIT after the deployment of ProjectCRM

在這個場景中，ProjectCRM團隊嘗試使用ZaamIT提供的流程和服務失敗。在交付的巨大壓力下，ProjectCRM團隊使用了他們可用的選項，部署了他們自己的服務來克服挑戰(zhàn)，并引入了影子IT。

3、這是什么原因?

“影子IT”不僅對ZaamIT有影響，對整個Zaam國際組織也有影響。雖然ProjectCRM可能已經向Zaam International交付了一個功能齊全的CRM解決方案，但該方法存在一些問題，并且已經產生了盲點。

1）缺乏治理

ProjectCRM解決方案沒有治理。如果不是Zaam國際治理結構的一部分，將會帶來風險，并影響在戰(zhàn)略層面上考慮的實現(xiàn)業(yè)務目標的機會。ProjectCRM位于內部ITIL框架之外，該框架用于管理整個ZaamIT資產。

2）安全

安全漏洞已經出現(xiàn)。處理步驟部署了新的容器平臺、防火墻、WAF和網絡更改，并繞過了所有其他ZaamIT安全控制、策略和過程。改變網絡路由增加了攻擊的表面積。由于Zaam國際的安全運營團隊不知道這些變化，因此他們沒有監(jiān)控影子IT，也無法對任何安全事件做出反應。有一個風險是攻擊者可能使用ProjectCRM網絡和資源作為“代理”來攻擊ZaamIT剩余的資產。

3）引入效率低下

ZaamIT的集中化能力支持結構、操作程序和技術，允許大規(guī)模部署和管理技術。影子IT不在ZaamIT的范圍之內，因此他們使用的管理效率和自動化無法得到利用。

4）成本優(yōu)化回歸

ZaamIT在其整個技術領域實施成本優(yōu)化策略。他們與云提供商和第三方有協(xié)議。這使得他們可以在協(xié)議范圍內購買折扣服務。通過在這些協(xié)議之外部署資源，節(jié)省的成本無法發(fā)揮作用。

此外，沒有使用ZaamIT方法來調整資源大小，并自動關閉較低優(yōu)先級的環(huán)境，這進一步增加了成本。

5）沒有業(yè)務支持

影子IT可以作為解決當前需求的臨時措施。隨著時間的推移，影子IT會變得更加依賴，甚至成長為擁有自己的外圍應用程序和集成生態(tài)系統(tǒng)。如果ZaamIT不知道或不接受任何在其運營傘下的影子IT，就不會有集中的支持。如果這些系統(tǒng)遇到任何技術或安全問題，將沒有正式的響應來解決問題。

6）內部管理/服務技能

在ZaamIT工作的人員定期接受培訓，了解近期將要合作的服務和流程。由于ProjectCRM擁有ZaamIT不熟悉的技術，即使ZaamIT為ProjectCRM提供運營支持，他們的員工也不具備有效支持解決方案的技能。

4、為什么會這樣?

良好的意圖。ZaamIT提供的服務不能滿足ProjectCRM項目的需求。ZaamIT無法對ProjectCRM的需求做出足夠快的反應。ProjectCRM承受著交付的壓力，因此做出了部署影子IT的項目決策。ProjectCRM知道他們需要這些更改，以便立即成功部署他們的解決方案。

影子IT不一定要達到Zaam International的規(guī)模。還有許多較小的影子IT的例子，例如:

5、影子IT的好處

它填補了空白。雖然沒有得到中央的批準，影子IT通常能滿足即時需求。它填補了ZaamIT的空白。影子IT在很大程度上是創(chuàng)新的，人們跳出固有思維思考問題，來克服企業(yè)存在的缺點。

影子IT經常被證明是成功的和有創(chuàng)造力的。通過交流對技術的需求，可以達成理解。影子IT可以被采用，并過渡到企業(yè)的中心IT能力，形成企業(yè)IT戰(zhàn)略的一部分。

為什么在云中更容易發(fā)生這種情況?

云計算非常大的好處是可以輕松地部署任何類型的服務。大型云提供商提供的服務數(shù)量是無限的。對于像ZaamIT這樣的中心IT能力來說，在資源有限的情況下，很難監(jiān)控和控制其龐大的云產業(yè)的各個方面。

在云計算中，如果沒有護欄或成本監(jiān)控和限制，就不需要預付費用，任何類型的資源都可以在幾秒鐘內部署。再加上DevOps/DevSecOps/自動化工具，以及缺乏實現(xiàn)用戶和角色的最小特權原則，資源部署的速度和規(guī)模被放大了。

6、如何防止云中的IT陰影?

有幾種方法可以減少影子IT的使用。

1）增加更多的人力

向中心IT功能添加更多資源以更快地處理積壓問題，這對于已知的情況非常有用。在Zaam的例子中，ZaamIT可能已經能夠處理網絡和防火墻請求，但由于Kubernetes對企業(yè)來說是一個全新的技術，即使他們有能力提供幫助，他們也無法支持容器平臺。

2）落實政策

通過從一開始就實施政策或保護措施，任何消費者帳戶使用的云資源都可以限制在企業(yè)批準的范圍內。所有云提供商都有配置選項，在主帳戶級別上實現(xiàn)這一點。另一種方法是在DevOps/DevSecOps管道中實施策略，從而限制啟動的服務。

3）自動修復

通過將審核監(jiān)控與基于事件或時間表的觸發(fā)器相結合，可以根據(jù)預期的資源狀態(tài)驗證所有資源更改。有一些服務可以從審計更改中被觸發(fā)，以恢復或通知用戶已經進行但未經批準的更改。

4）可觀察性

提高可操作性、成本和安全可觀察性，用單個視圖監(jiān)視和提醒整個產業(yè)的變化是很有幫助的。大規(guī)模使用管理工具可以幫助了解企業(yè)的資源狀況。

5）增強溝通

對于人員和項目來說，在已批準的資源和模式被記錄和使用的地方擁有集中的溝通和知識庫是非常重要的。應該有一個過程，通過在變更或架構評審委員會的討論，允許對標準方法的認可偏差。

開放溝通渠道是與正在考慮使用影子IT的項目或人員合作的關鍵。它幫助企業(yè)理解技術需求，以及如何在不僵化方法的情況下解決缺陷。

防止影子IT并不像試圖約束和限制中心IT提供的每一個可能的選項那么簡單。沒有經過深思熟慮的方法可能會因為過度的限制而扼殺創(chuàng)新。

影子IT的出現(xiàn)通常是為了彌合供給和需求之間的鴻溝。在很多情況下，如果被證明是成功的，影子IT可以被采用到企業(yè)中。與影子IT合作的關鍵因素實現(xiàn)開放式溝通、征求反饋和鼓勵合作。