关于云计算:云下阴影云计算中的影子IT会产生怎样的影响

未被批准的影子IT之所以会呈现，是因为企业外部的集中化技术能力要么太慢，要么太过期，要么太受限制，而人员或我的项目正试图绕过这些限度，找到更好的解决方案。尽管这带来了空谷传声的益处，但也可能给企业带来危险和挑战。影子IT的应用会引起两极分化的情绪，这取决于你想要实现什么样的目标。

1、什么是影子IT?

影子IT是指应用未经企业及其外围IT能力批准的技术。在大多数企业中，它以某种模式存在，可能带来危险，但也可能带来益处。

以下虚构的场景将率领您通过一个示例，阐明为什么能够将影子IT引入到一个组织中。

2、Zaam国内公司的状况

Zaam国内是一家大型玩具公司，它在云端领有一个名为ZaamIT的集中IT能力。一个新的外部我的项目ProjectCRM由一个麻利的团队组成，团队成员来自Zaam国内公司和一家内部技术咨询公司。

ProjectCRM的指标是利用ZaamIT的集中控制服务，将一个新的CRM解决方案实现到云计算中。

ProjectCRM须要满足挑战性的时间表，并须要批改容器平台、网络和防火墙路由，以使新的CRM解决方案可能运行。ZaamIT不在其平台上运行任何容器，也不反对任何基于容器的工作负载。

ZaamIT集中管理一个网络防火墙和一个web应用程序防火墙(WAF)，这些防火墙能够通过外部票务零碎申请更改。因为工作量的减少和工作人员的短缺，ZaamIT目前积压了大量的订单。

ProjectCRM须要指定的服务和更改，能力运行新的CRM解决方案。ProjectCRM团队向ZaamIT提出了变更要求。因为工作积压，ZaamIT无奈及时帮助ProjectCRM。该提早预计将影响ProjectCRM的部署。

ProjectCRM曾经提供了他们本人的ProjectCRM云帐户，该帐户与主ZaamIT云帐户相关联。ProjectCRM DevOps工程师在他们的云帐户中领有齐全的管理员权限，并且思考到ProjectCRM的紧迫性，他们决定本人入手解决问题。

他们曾经为容器解决方案部署了Kubernetes平台，并配置了他们的网络，间接从他们的云帐户路由流量，而不是应用地方批准的ZaamIT网络模式。他们部署本人的防火墙和WAF来管制和爱护网络流量。ProjectCRM团队在我的项目期间治理这些已部署资源的保护。

 ZaamIT after the deployment of ProjectCRM

在这个场景中，ProjectCRM团队尝试应用ZaamIT提供的流程和服务失败。在交付的微小压力下，ProjectCRM团队应用了他们可用的选项，部署了他们本人的服务来克服挑战，并引入了影子IT。

3、这是什么起因?

“影子IT”不仅对ZaamIT有影响，对整个Zaam国内组织也有影响。尽管ProjectCRM可能曾经向Zaam International交付了一个功能齐全的CRM解决方案，但该办法存在一些问题，并且曾经产生了盲点。

1）不足治理

ProjectCRM解决方案没有治理。如果不是Zaam国内治理构造的一部分，将会带来危险，并影响在策略层面上思考的实现业务指标的机会。ProjectCRM位于外部ITIL框架之外，该框架用于治理整个ZaamIT资产。

2）平安

安全漏洞曾经呈现。解决步骤部署了新的容器平台、防火墙、WAF和网络更改，并绕过了所有其余ZaamIT安全控制、策略和过程。扭转网络路由减少了攻打的表面积。因为Zaam国内的平安经营团队不晓得这些变动，因而他们没有监控影子IT，也无奈对任何安全事件做出反馈。有一个危险是攻击者可能应用ProjectCRM网络和资源作为“代理”来攻打ZaamIT残余的资产。

3）引入效率低下

ZaamIT的集中化能力反对构造、操作程序和技术，容许大规模部署和治理技术。影子IT不在ZaamIT的范畴之内，因而他们应用的管理效率和自动化无奈失去利用。

4）老本优化回归

ZaamIT在其整个技术畛域施行老本优化策略。他们与云提供商和第三方有协定。这使得他们能够在协定范畴内购买折扣服务。通过在这些协定之外部署资源，节俭的老本无奈发挥作用。

此外，没有应用ZaamIT办法来调整资源大小，并主动敞开较低优先级的环境，这进一步减少了老本。

5）没有业务反对

影子IT能够作为解决以后需要的长期措施。随着工夫的推移，影子IT会变得更加依赖，甚至成长为领有本人的外围应用程序和集成生态系统。如果ZaamIT不晓得或不承受任何在其经营伞下的影子IT，就不会有集中的反对。如果这些零碎遇到任何技术或平安问题，将没有正式的响应来解决问题。

6）外部治理/服务技能

在ZaamIT工作的人员定期承受培训，理解近期将要单干的服务和流程。因为ProjectCRM领有ZaamIT不相熟的技术，即便ZaamIT为ProjectCRM提供经营反对，他们的员工也不具备无效反对解决方案的技能。

4、为什么会这样?

良好的用意。ZaamIT提供的服务不能满足ProjectCRM我的项目的需要。ZaamIT无奈对ProjectCRM的需要做出足够快的反馈。ProjectCRM接受着交付的压力，因而做出了部署影子IT的我的项目决策。ProjectCRM晓得他们须要这些更改，以便立刻胜利部署他们的解决方案。

• 影子IT的其余例子

影子IT不肯定要达到Zaam International的规模。还有许多较小的影子IT的例子，例如:

• 文件传输工具，用于散发文件，因为外部过程太慢，不能足够快地解决大文件
• 功能丰富的信息服务，能够与组织以外的人分割
• 为用户提供培训、现有零碎无奈解决的工作办法和声援所需的知识库服务

5、影子IT的益处

它填补了空白。尽管没有失去地方的批准，影子IT通常能满足即时需要。它填补了ZaamIT的空白。影子IT在很大水平上是翻新的，人们跳出固有思维思考问题，来克服企业存在的毛病。

影子IT常常被证实是胜利的和有创造力的。通过交换对技术的需要，能够达成了解。影子IT能够被采纳，并过渡到企业的核心IT能力，造成企业IT策略的一部分。

为什么在云中更容易产生这种状况?

云计算十分大的益处是能够轻松地部署任何类型的服务。大型云提供商提供的服务数量是有限的。对于像ZaamIT这样的核心IT能力来说，在资源无限的状况下，很难监控和管制其宏大的云产业的各个方面。

在云计算中，如果没有护栏或老本监控和限度，就不须要预付费用，任何类型的资源都能够在几秒钟内部署。再加上DevOps/DevSecOps/自动化工具，以及不足实现用户和角色的最小特权准则，资源部署的速度和规模被放大了。

6、如何避免云中的IT暗影?

有几种办法能够缩小影子IT的应用。

1）减少更多的人力

向核心IT性能增加更多资源以更快地解决积压问题，这对于已知的状况十分有用。在Zaam的例子中，ZaamIT可能曾经可能解决网络和防火墙申请，但因为Kubernetes对企业来说是一个全新的技术，即便他们有能力提供帮忙，他们也无奈反对容器平台。

2）落实政策

通过从一开始就施行政策或保护措施，任何消费者帐户应用的云资源都能够限度在企业批准的范畴内。所有云提供商都有配置选项，在主帐户级别上实现这一点。另一种办法是在DevOps/DevSecOps管道中施行策略，从而限度启动的服务。

3）主动修复

通过将审核监控与基于事件或时间表的触发器相结合，能够依据预期的资源状态验证所有资源更改。有一些服务能够从审计更改中被触发，以复原或告诉用户曾经进行但未经批准的更改。

4）可察看性

进步可操作性、老本和平安可察看性，用单个视图监督和揭示整个产业的变动是很有帮忙的。大规模应用管理工具能够帮忙理解企业的资源情况。

5）加强沟通

对于人员和我的项目来说，在已批准的资源和模式被记录和应用的中央领有集中的沟通和知识库是十分重要的。应该有一个过程，通过在变更或架构评审委员会的探讨，容许对规范办法的认可偏差。

凋谢沟通渠道是与正在思考应用影子IT的我的项目或人员单干的要害。它帮忙企业了解技术需要，以及如何在不僵化办法的状况下解决缺点。

避免影子IT并不像试图束缚和限度核心IT提供的每一个可能的选项那么简略。没有通过三思而行的办法可能会因为适度的限度而扼杀翻新。

影子IT的呈现通常是为了弥合供应和需要之间的鸿沟。在很多状况下，如果被证实是胜利的，影子IT能够被采纳到企业中。与影子IT单干的关键因素实现开放式沟通、征求反馈和激励单干。