上周,美国国家宇航局(NASA)的审计报告显示,其云计算部署中存在影子IT(Shadow IT)问题,而且得到了很多云计算专家的认可,其中一些专家提供了一些如何最小化流氓云部署的技巧。
根据NASA七月的审计报告内容,MASA的数个中心都已经将系统迁移至公有云,而且未经该机构的CIO许可或者安全框架批准。其中公有云中的一个“中度影响系统”两年以来都没有授权或者安全许可。
尽管并不是每一个公司都需要同政府机构相同的公共安全,但是这种类型的影子IT在云计算部署中非常常见。
“每一天都在发生,每个人都会接触到,”Ekho的CEO Kent Langley说道,这是一家美国的基于Web的数据分析公司,“我发现在的部署中,服务器每月会花费我700美元,有人发布了大量的测试实例,但是从没将其关闭。”
一些影子IT部署是由于公司对于云计算的抵抗导致的,但是现在问题更可能是起源于无心之过,Jared Reimer说道,他是IT咨询公司Cascadeo的联合创始人。
然而,这些错误导致了严重的后果。忘记关闭非正式发布的系统导致了云端频繁的安全问题,Reimer解释道,这些东西没有打补丁,很容易被黑客利用。
有时候,便捷性简单的战胜了安全防范。
“我们看到人们在部署实例,并将其赋予公共IP,因为这样非常便捷,最终就是创建防火墙之外的资产,能够从防火墙之后接触到,”潜在地威胁论内部系统,Reimer说道。
美国国家宇航局云计算影子IT问题无处不在
缓解影子IT之法
好消息就是随着云计算部署变的更为普遍,当然潜在威胁也变得更为普遍,因此要做的就是减少影子IT的风险。
NASA的审计员建议机构的CIO提供更强壮的监管,在企业工作的IT专家回报的影子IT问题很少,通常是由于更强健的执行领导力以及对于云计算部署的认知。
一些公司已经简单的为云计算部署修改审批系统。
“Reed Elsevier集团中,他们的业务部门有法律顾问,会仔细处理一些事情;会有一个清单或者文档,你可以来查看是否符合规则,当然安全也是最大的一块,”Matt Lipinski说道,他是Reed Elsevier技术服务的架构师。
在其他的案例中,在一家财富100强公司中,执行人员发现用公司的信用卡给云部署付费,随后就会关闭存在风险和未授权的系统。“总是和钱挂钩的,”该公司的工程师总监说道。
影子IT问题也可以用技术解决方案解决。
“我们会看我们的代理日志,找到那些网站经常使用,安全团队就开始尝试干预这种类型的应用,”Robert Half International的首席信息官Sean Perry说道。
AMAG制药公司应用多种工具处理云计算部署:CloudLock用来监控该公司存储在Google Drive中的接近180万的文档;Google的Postini用来创建电子邮件归档用以审计追踪;SpectorSoft用来监控具体的出站以太网连接流量类型,Nathan McBride说道,他是该公司的首席云架构是兼IT副总裁。
同最终用户共同工作
那些成功减缓了影子IT问题的IT专家表示解决这些问题也需要文化的调整。
“终端用户要比过去更为复杂,”Perry说,“用户更智慧,软件也更容易介入到工作中。”同终端用户工作以及教育他们安全策略要比简单的关闭影子IT部署更容易。
“我们将所有对软件即服务感兴趣的业务部门记录在案,当然运行在我们的数据中心更好,我们希望提供给他们更好的解决方案,”Perry说,“这样他们正在做什么也会对我们更具开放性、”