未被批准的影子IT之所以会出现,是因为企业内部的集中化技术能力要么太慢,要么太过时,要么太受限制,而人员或项目正试图绕过这些限制,找到更好的解决方案。虽然这带来了立竿见影的好处,但也可能给企业带来风险和挑战。影子IT的使用会引起两极分化的情绪,这取决于你想要实现什么样的目的。
1、什么是影子IT?
影子IT是指使用未经企业及其核心IT能力批准的技术。在大多数企业中,它以某种形式存在,可能带来风险,但也可能带来好处。
以下虚构的场景将带领您通过一个示例,说明为什么可以将影子IT引入到一个组织中。
2、Zaam国际公司的情况
Zaam国际是一家大型玩具公司,它在云端拥有一个名为ZaamIT的集中IT能力。一个新的内部项目ProjectCRM由一个敏捷的团队组成,团队成员来自Zaam国际公司和一家外部技术咨询公司。
ProjectCRM的目标是利用ZaamIT的集中控制服务,将一个新的CRM解决方案实现到云计算中。
ProjectCRM需要满足挑战性的时间表,并需要修改容器平台、网络和防火墙路由,以使新的CRM解决方案能够运行。ZaamIT不在其平台上运行任何容器,也不支持任何基于容器的工作负载。
ZaamIT集中管理一个网络防火墙和一个web应用程序防火墙(WAF),这些防火墙可以通过内部票务系统请求更改。由于工作量的增加和工作人员的短缺,ZaamIT目前积压了大量的订单。
ProjectCRM需要指定的服务和更改,才能运行新的CRM解决方案。ProjectCRM团队向ZaamIT提出了变更要求。由于工作积压,ZaamIT无法及时协助ProjectCRM。该延迟预计将影响ProjectCRM的部署。
ProjectCRM已经提供了他们自己的ProjectCRM云帐户,该帐户与主ZaamIT云帐户相关联。ProjectCRM DevOps工程师在他们的云帐户中拥有完全的管理员权限,并且考虑到ProjectCRM的紧迫性,他们决定自己动手解决问题。
他们已经为容器解决方案部署了Kubernetes平台,并配置了他们的网络,直接从他们的云帐户路由流量,而不是使用中央批准的ZaamIT网络模式。他们部署自己的防火墙和WAF来控制和保护网络流量。ProjectCRM团队在项目期间管理这些已部署资源的维护。
ZaamIT after the deployment of ProjectCRM
在这个场景中,ProjectCRM团队尝试使用ZaamIT提供的流程和服务失败。在交付的巨大压力下,ProjectCRM团队使用了他们可用的选项,部署了他们自己的服务来克服挑战,并引入了影子IT。
3、这是什么原因?
“影子IT”不仅对ZaamIT有影响,对整个Zaam国际组织也有影响。虽然ProjectCRM可能已经向Zaam International交付了一个功能齐全的CRM解决方案,但该方法存在一些问题,并且已经产生了盲点。
1)缺乏治理
ProjectCRM解决方案没有治理。如果不是Zaam国际治理结构的一部分,将会带来风险,并影响在战略层面上考虑的实现业务目标的机会。ProjectCRM位于内部ITIL框架之外,该框架用于管理整个ZaamIT资产。
2)安全
安全漏洞已经出现。处理步骤部署了新的容器平台、防火墙、WAF和网络更改,并绕过了所有其他ZaamIT安全控制、策略和过程。改变网络路由增加了攻击的表面积。由于Zaam国际的安全运营团队不知道这些变化,因此他们没有监控影子IT,也无法对任何安全事件做出反应。有一个风险是攻击者可能使用ProjectCRM网络和资源作为“代理”来攻击ZaamIT剩余的资产。
3)引入效率低下
ZaamIT的集中化能力支持结构、操作程序和技术,允许大规模部署和管理技术。影子IT不在ZaamIT的范围之内,因此他们使用的管理效率和自动化无法得到利用。
4)成本优化回归
ZaamIT在其整个技术领域实施成本优化策略。他们与云提供商和第三方有协议。这使得他们可以在协议范围内购买折扣服务。通过在这些协议之外部署资源,节省的成本无法发挥作用。
此外,没有使用ZaamIT方法来调整资源大小,并自动关闭较低优先级的环境,这进一步增加了成本。
5)没有业务支持
影子IT可以作为解决当前需求的临时措施。随着时间的推移,影子IT会变得更加依赖,甚至成长为拥有自己的外围应用程序和集成生态系统。如果ZaamIT不知道或不接受任何在其运营伞下的影子IT,就不会有集中的支持。如果这些系统遇到任何技术或安全问题,将没有正式的响应来解决问题。
6)内部管理/服务技能
在ZaamIT工作的人员定期接受培训,了解近期将要合作的服务和流程。由于ProjectCRM拥有ZaamIT不熟悉的技术,即使ZaamIT为ProjectCRM提供运营支持,他们的员工也不具备有效支持解决方案的技能。
4、为什么会这样?
良好的意图。ZaamIT提供的服务不能满足ProjectCRM项目的需求。ZaamIT无法对ProjectCRM的需求做出足够快的反应。ProjectCRM承受着交付的压力,因此做出了部署影子IT的项目决策。ProjectCRM知道他们需要这些更改,以便立即成功部署他们的解决方案。
- 影子IT的其他例子
影子IT不一定要达到Zaam International的规模。还有许多较小的影子IT的例子,例如:
- 文件传输工具,用于分发文件,因为内部进程太慢,不能足够快地处理大文件
- 功能丰富的信息服务,可以与组织以外的人联系
- 为用户提供培训、现有系统无法处理的工作方法和支援所需的知识库服务
5、影子IT的好处
它填补了空白。虽然没有得到中央的批准,影子IT通常能满足即时需求。它填补了ZaamIT的空白。影子IT在很大程度上是创新的,人们跳出固有思维思考问题,来克服企业存在的缺点。
影子IT经常被证明是成功的和有创造力的。通过交流对技术的需求,可以达成理解。影子IT可以被采用,并过渡到企业的中心IT能力,形成企业IT战略的一部分。
为什么在云中更容易发生这种情况?
云计算非常大的好处是可以轻松地部署任何类型的服务。大型云提供商提供的服务数量是无限的。对于像ZaamIT这样的中心IT能力来说,在资源有限的情况下,很难监控和控制其庞大的云产业的各个方面。
在云计算中,如果没有护栏或成本监控和限制,就不需要预付费用,任何类型的资源都可以在几秒钟内部署。再加上DevOps/DevSecOps/自动化工具,以及缺乏实现用户和角色的最小特权原则,资源部署的速度和规模被放大了。
6、如何防止云中的IT阴影?
有几种方法可以减少影子IT的使用。
1)增加更多的人力
向中心IT功能添加更多资源以更快地处理积压问题,这对于已知的情况非常有用。在Zaam的例子中,ZaamIT可能已经能够处理网络和防火墙请求,但由于Kubernetes对企业来说是一个全新的技术,即使他们有能力提供帮助,他们也无法支持容器平台。
2)落实政策
通过从一开始就实施政策或保护措施,任何消费者帐户使用的云资源都可以限制在企业批准的范围内。所有云提供商都有配置选项,在主帐户级别上实现这一点。另一种方法是在DevOps/DevSecOps管道中实施策略,从而限制启动的服务。
3)自动修复
通过将审核监控与基于事件或时间表的触发器相结合,可以根据预期的资源状态验证所有资源更改。有一些服务可以从审计更改中被触发,以恢复或通知用户已经进行但未经批准的更改。
4)可观察性
提高可操作性、成本和安全可观察性,用单个视图监视和提醒整个产业的变化是很有帮助的。大规模使用管理工具可以帮助了解企业的资源状况。
5)增强沟通
对于人员和项目来说,在已批准的资源和模式被记录和使用的地方拥有集中的沟通和知识库是非常重要的。应该有一个过程,通过在变更或架构评审委员会的讨论,允许对标准方法的认可偏差。
开放沟通渠道是与正在考虑使用影子IT的项目或人员合作的关键。它帮助企业理解技术需求,以及如何在不僵化方法的情况下解决缺陷。
防止影子IT并不像试图约束和限制中心IT提供的每一个可能的选项那么简单。没有经过深思熟虑的方法可能会因为过度的限制而扼杀创新。
影子IT的出现通常是为了弥合供给和需求之间的鸿沟。在很多情况下,如果被证明是成功的,影子IT可以被采用到企业中。与影子IT合作的关键因素实现开放式沟通、征求反馈和鼓励合作。