如果你觉得你所在的企业没有影子IT问题,那么你就是在否定现实。即时你觉得你知道整个的范围,你也没法单独用云安全工具来控制。得出以上的结论主要基于揭露了企业内部影子IT问题的IT专家,以及出售云安全工具的厂商。
这个背景下的影子IT涉及到企业内终端用户部署的云服务,而且没有得到任何帮助,或者得到企业IT部门的审批。根据云咨询公司2nd Watch十二月份所做的调查来看,这个问题已经成为业务的要害所在,这项调查有133为IT专家参与。
根据调查的内容,我们发现企业中的大部分业务部门(61%)绕过IT访问云服务。此外,尽管IT部门得到一些需求来为业务部门交付云服务,但是他们提供的74%的响应只交付了企业使用的整个服务的37%。
云安全工具只能望洋兴叹
云安全工具对于发现可能将企业IT安全置于奉献中的服务使用迟早都会有用,但是却并非唯一的解决方案。
“我们不希望出现瓶颈或者停止创新,”纽约一家金融服务公司的运营经理Ignacio McBeatch说道,“但是同时,我们希望确保所用的是企业级服务,并且应用了安全策略。”
McBeatch从加州的一家云安全软件提供商Skyhigh Networks处购买了产品,来评估在没有IT部门知晓的情况下使用了多少服务,发现侦测到562个未经授权的服务。
这些服务的来源多种多样,包括个人应用,比如Gmail和Facebook,到谷歌分析以及来自亚马逊Web服务、Internap Network Services和Rackspace的基础架构即服务产品。有大量的软件即服务实例在运行。
Skyhigh的软件套件也可以让公司在环境中围绕所有服务设置安全框架,不管是不是IT完全单独使用。然而,即便是有经验的IT实践者也会发现,将业务中的影子IT连根拔起,单独用软件或者专业服务也难以对付。
Softchoice公司提供了评估客户机构中存在的影子IT问的专业服务,2012年6月在发布了其评估服务后,不久就开始在其自己的机构中进行分析。
“在我们的环境中,我们认为我们有17个应用,我们觉得我们对这些所有在运行的应用都有很好的了解,”Softchoice业务开发经理Mike Kane说道,“在我们运行了两周的评估之后,发现有40多个服务在使用中。”
即便是在这次评估之后,仍会有单独的应用进入到中央管理和安全控制的门户,数月后,该公司发现仍有部门在购买IT部门不知晓的外部应用。
这并不仅仅是粗心大意,或者简单的终端用户的便捷愿望导致的影子IT;一些云服务厂商也积极地绕过企业IT部门想业务部门兜售产品。
“我们可以向IT销售更大的系统,但是我们还有一些小的系统围绕在IT周围,同业务部门工作,”Rick Clarkson说道,他是Signiant的产品管理副总裁,这是一家文件共享服务提供商。IT中缓慢的销售周期通常会导致业务部门自己去外部寻求帮助。“我们有一些购买了我们产品的客户,主要是因为他们在IT交付给他们服务之前,他们要等待两年之久,”他说道。
减缓影子IT需要巧妙推销
为了将影子IT连根拔起,企业IT必须让自身对于业务部门更有吸引力,满足其诉求,在自己的游戏中打败云服务提供商。
Softchoice的Kane表示:“实际上这些都是沟通和培训的事情,很多情况下,是IT人员不具备这样的技能集,但是这些都可以改变。”Softchoice从其自身的经验中得出,必须要在应用上提供更好的培训,更重要的是,沟通是安全和法规策略得以顺利实施的重要所在。
通过集中的安全和管理门户单点登录是能够吸引用户服从企业IT部署的新应用的一个例子,他补充道。