共计 3419 个字符,预计需要花费 9 分钟才能阅读完成。
未被批准的影子 IT 之所以会呈现,是因为企业外部的集中化技术能力要么太慢,要么太过期,要么太受限制,而人员或我的项目正试图绕过这些限度,找到更好的解决方案。尽管这带来了空谷传声的益处,但也可能给企业带来危险和挑战。影子 IT 的应用会引起两极分化的情绪,这取决于你想要实现什么样的目标。
1、什么是影子 IT?
影子 IT 是指应用未经企业及其外围 IT 能力批准的技术。在大多数企业中,它以某种模式存在,可能带来危险,但也可能带来益处。
以下虚构的场景将率领您通过一个示例,阐明为什么能够将影子 IT 引入到一个组织中。
2、Zaam 国内公司的状况
Zaam 国内是一家大型玩具公司,它在云端领有一个名为 ZaamIT 的集中 IT 能力。一个新的外部我的项目 ProjectCRM 由一个麻利的团队组成,团队成员来自 Zaam 国内公司和一家内部技术咨询公司。
ProjectCRM 的指标是利用 ZaamIT 的集中控制服务,将一个新的 CRM 解决方案实现到云计算中。
ProjectCRM 须要满足挑战性的时间表,并须要批改容器平台、网络和防火墙路由,以使新的 CRM 解决方案可能运行。ZaamIT 不在其平台上运行任何容器,也不反对任何基于容器的工作负载。
ZaamIT 集中管理一个网络防火墙和一个 web 应用程序防火墙 (WAF),这些防火墙能够通过外部票务零碎申请更改。因为工作量的减少和工作人员的短缺,ZaamIT 目前积压了大量的订单。
ProjectCRM 须要指定的服务和更改,能力运行新的 CRM 解决方案。ProjectCRM 团队向 ZaamIT 提出了变更要求。因为工作积压,ZaamIT 无奈及时帮助 ProjectCRM。该提早预计将影响 ProjectCRM 的部署。
ProjectCRM 曾经提供了他们本人的 ProjectCRM 云帐户,该帐户与主 ZaamIT 云帐户相关联。ProjectCRM DevOps 工程师在他们的云帐户中领有齐全的管理员权限,并且思考到 ProjectCRM 的紧迫性,他们决定本人入手解决问题。
他们曾经为容器解决方案部署了 Kubernetes 平台,并配置了他们的网络,间接从他们的云帐户路由流量,而不是应用地方批准的 ZaamIT 网络模式。他们部署本人的防火墙和 WAF 来管制和爱护网络流量。ProjectCRM 团队在我的项目期间治理这些已部署资源的保护。
ZaamIT after the deployment of ProjectCRM
在这个场景中,ProjectCRM 团队尝试应用 ZaamIT 提供的流程和服务失败。在交付的微小压力下,ProjectCRM 团队应用了他们可用的选项,部署了他们本人的服务来克服挑战,并引入了影子 IT。
3、这是什么起因?
“影子 IT”不仅对 ZaamIT 有影响,对整个 Zaam 国内组织也有影响。尽管 ProjectCRM 可能曾经向 Zaam International 交付了一个功能齐全的 CRM 解决方案,但该办法存在一些问题,并且曾经产生了盲点。
1)不足治理
ProjectCRM 解决方案没有治理。如果不是 Zaam 国内治理构造的一部分,将会带来危险,并影响在策略层面上思考的实现业务指标的机会。ProjectCRM 位于外部 ITIL 框架之外,该框架用于治理整个 ZaamIT 资产。
2)平安
安全漏洞曾经呈现。解决步骤部署了新的容器平台、防火墙、WAF 和网络更改,并绕过了所有其余 ZaamIT 安全控制、策略和过程。扭转网络路由减少了攻打的表面积。因为 Zaam 国内的平安经营团队不晓得这些变动,因而他们没有监控影子 IT,也无奈对任何安全事件做出反馈。有一个危险是攻击者可能应用 ProjectCRM 网络和资源作为“代理”来攻打 ZaamIT 残余的资产。
3)引入效率低下
ZaamIT 的集中化能力反对构造、操作程序和技术,容许大规模部署和治理技术。影子 IT 不在 ZaamIT 的范畴之内,因而他们应用的管理效率和自动化无奈失去利用。
4)老本优化回归
ZaamIT 在其整个技术畛域施行老本优化策略。他们与云提供商和第三方有协定。这使得他们能够在协定范畴内购买折扣服务。通过在这些协定之外部署资源,节俭的老本无奈发挥作用。
此外,没有应用 ZaamIT 办法来调整资源大小,并主动敞开较低优先级的环境,这进一步减少了老本。
5)没有业务反对
影子 IT 能够作为解决以后需要的长期措施。随着工夫的推移,影子 IT 会变得更加依赖,甚至成长为领有本人的外围应用程序和集成生态系统。如果 ZaamIT 不晓得或不承受任何在其经营伞下的影子 IT,就不会有集中的反对。如果这些零碎遇到任何技术或平安问题,将没有正式的响应来解决问题。
6)外部治理 / 服务技能
在 ZaamIT 工作的人员定期承受培训,理解近期将要单干的服务和流程。因为 ProjectCRM 领有 ZaamIT 不相熟的技术,即便 ZaamIT 为 ProjectCRM 提供经营反对,他们的员工也不具备无效反对解决方案的技能。
4、为什么会这样?
良好的用意。ZaamIT 提供的服务不能满足 ProjectCRM 我的项目的需要。ZaamIT 无奈对 ProjectCRM 的需要做出足够快的反馈。ProjectCRM 接受着交付的压力,因而做出了部署影子 IT 的我的项目决策。ProjectCRM 晓得他们须要这些更改,以便立刻胜利部署他们的解决方案。
- 影子 IT 的其余例子
影子 IT 不肯定要达到 Zaam International 的规模。还有许多较小的影子 IT 的例子,例如:
- 文件传输工具,用于散发文件,因为外部过程太慢,不能足够快地解决大文件
- 功能丰富的信息服务,能够与组织以外的人分割
- 为用户提供培训、现有零碎无奈解决的工作办法和声援所需的知识库服务
5、影子 IT 的益处
它填补了空白。尽管没有失去地方的批准,影子 IT 通常能满足即时需要。它填补了 ZaamIT 的空白。影子 IT 在很大水平上是翻新的,人们跳出固有思维思考问题,来克服企业存在的毛病。
影子 IT 常常被证实是胜利的和有创造力的。通过交换对技术的需要,能够达成了解。影子 IT 能够被采纳,并过渡到企业的核心 IT 能力,造成企业 IT 策略的一部分。
为什么在云中更容易产生这种状况?
云计算十分大的益处是能够轻松地部署任何类型的服务。大型云提供商提供的服务数量是有限的。对于像 ZaamIT 这样的核心 IT 能力来说,在资源无限的状况下,很难监控和管制其宏大的云产业的各个方面。
在云计算中,如果没有护栏或老本监控和限度,就不须要预付费用,任何类型的资源都能够在几秒钟内部署。再加上 DevOps/DevSecOps/ 自动化工具,以及不足实现用户和角色的最小特权准则,资源部署的速度和规模被放大了。
6、如何避免云中的 IT 暗影?
有几种办法能够缩小影子 IT 的应用。
1)减少更多的人力
向核心 IT 性能增加更多资源以更快地解决积压问题,这对于已知的状况十分有用。在 Zaam 的例子中,ZaamIT 可能曾经可能解决网络和防火墙申请,但因为 Kubernetes 对企业来说是一个全新的技术,即便他们有能力提供帮忙,他们也无奈反对容器平台。
2)落实政策
通过从一开始就施行政策或保护措施,任何消费者帐户应用的云资源都能够限度在企业批准的范畴内。所有云提供商都有配置选项,在主帐户级别上实现这一点。另一种办法是在 DevOps/DevSecOps 管道中施行策略,从而限度启动的服务。
3)主动修复
通过将审核监控与基于事件或时间表的触发器相结合,能够依据预期的资源状态验证所有资源更改。有一些服务能够从审计更改中被触发,以复原或告诉用户曾经进行但未经批准的更改。
4)可察看性
进步可操作性、老本和平安可察看性,用单个视图监督和揭示整个产业的变动是很有帮忙的。大规模应用管理工具能够帮忙理解企业的资源情况。
5)加强沟通
对于人员和我的项目来说,在已批准的资源和模式被记录和应用的中央领有集中的沟通和知识库是十分重要的。应该有一个过程,通过在变更或架构评审委员会的探讨,容许对规范办法的认可偏差。
凋谢沟通渠道是与正在思考应用影子 IT 的我的项目或人员单干的要害。它帮忙企业了解技术需要,以及如何在不僵化办法的状况下解决缺点。
避免影子 IT 并不像试图束缚和限度核心 IT 提供的每一个可能的选项那么简略。没有通过三思而行的办法可能会因为适度的限度而扼杀翻新。
影子 IT 的呈现通常是为了弥合供应和需要之间的鸿沟。在很多状况下,如果被证实是胜利的,影子 IT 能够被采纳到企业中。与影子 IT 单干的关键因素实现开放式沟通、征求反馈和激励单干。