現(xiàn)如今，各種影子IT可能默默地潛伏在各種規(guī)模的數(shù)據(jù)中心的黑暗角落。而在我們頭腦中，我們其實都知道影子IT存在于企業(yè)數(shù)據(jù)中心設(shè)施中的可能性，但與此同時，大部分人又似乎深深地的相信：這沒什么大不了的。事實上，影子IT正在悄然將我們的業(yè)務(wù)置于危險之中，進而造成新的安全威脅，并在數(shù)據(jù)操作中帶來相當(dāng)大的資源浪費。其危害性不僅比大多數(shù)企業(yè)所認(rèn)識到的更為嚴(yán)重和普遍，而且其所造成的成本代價也要比人們想象的要高得多。

影子IT是沒有遵循企業(yè)所制定的協(xié)議而安裝的硬件、軟件和數(shù)據(jù)庫。相反，影子IT的創(chuàng)建沒有讓企業(yè)執(zhí)行管理部門的獲悉和掌握可見性，也未經(jīng)由企業(yè)的IT部門進行部署。沒有人打算創(chuàng)造一個可以隱藏陰影IT的系統(tǒng)，但這樣的系統(tǒng)會隨著時間的推移而發(fā)展出來。了解影子IT對企業(yè)數(shù)據(jù)中心運營以及物理層的影響;如何被揭露和消除這些影響和風(fēng)險對于數(shù)據(jù)中心管理人員們而言是至關(guān)重要的???????

影子IT如何滲透到企業(yè)的

根據(jù)其企業(yè)組織架構(gòu)的不同，大中型企業(yè)通常都會設(shè)置一個總的IT管理部門，以負(fù)責(zé)確保企業(yè)所有IT硬件設(shè)備，軟件等都符合安全性、且獲得了相應(yīng)的許可授權(quán)、遵循資產(chǎn)、 生命周期的管理及其他方面的要求。其他“非IT”部門通常也會有自己的IT管理人員，他們是負(fù)責(zé)為所服務(wù)的部門定制內(nèi)部的軟件、專用打印機、網(wǎng)站甚至電子表格的IT專員。這些“非IT”部門可能需要一些快速靈活????產(chǎn)品和服務(wù)開發(fā)，當(dāng)在需要獲得企業(yè)總的IT管理部門審批時難以執(zhí)行。

考慮到一些企業(yè)組織的內(nèi)部的批準(zhǔn)過程相當(dāng)麻煩，這些單獨的業(yè)務(wù)部門就可能決定在沒有企業(yè)總的IT管理審查和批準(zhǔn)的情況下，特別是在執(zhí)行小型項目或項目時間敏感的情況下，隱蔽地創(chuàng)建自己的服務(wù)器，下載軟件或建立自己的數(shù)據(jù)庫。雖然這樣做可能對具體業(yè)務(wù)部門或具體項目來說似乎是好事，但這其實是一個滑坡，為企業(yè)整個數(shù)據(jù)庫帶來了更大的潛在風(fēng)險。首先，規(guī)避這一過程會???????加企業(yè)組織對安全漏洞和未經(jīng)授權(quán)訪問敏感數(shù)據(jù)的脆弱性。

除了頂級的風(fēng)險之外，流氓軟件和數(shù)據(jù)庫的增加會使得許可證授權(quán)管理變得不可能，并且如果超過了每個許可證授權(quán)所允許的用戶數(shù)量的話，會將企業(yè)組織置于一個相當(dāng)尷尬和代價昂貴的位置。由于許多設(shè)備發(fā)送和接收多個數(shù)據(jù)點的瓶頸，會造成另一個網(wǎng)絡(luò)性能差的風(fēng)險。而從財務(wù)的角度來看，企業(yè)會計部門不知道這些隱蔽資產(chǎn)及其使用生命周期狀況，容易造成記賬錯誤和不準(zhǔn)確。

影子IT對數(shù)據(jù)中心的物理影響

當(dāng)流氓部門秘密地向數(shù)據(jù)中心添加設(shè)備時，他們通常會將企業(yè)組織的數(shù)據(jù)中心戰(zhàn)略拋在了腦后，甚至根本不了解這些戰(zhàn)略。在物理層面上，影子IT對數(shù)據(jù)中心的影響可能會導(dǎo)致復(fù)雜和潛在的危險情況。從空間問題、電力和冷卻容量能力需求到意外的運行成本，如果不正確地架設(shè)或連接電纜，鄰近設(shè)備將容易受到損壞和中斷。主要的關(guān)注問題是竊取配電柜面空間，規(guī)避電路保護最佳實踐???????案，破壞機柜冷卻策略。

  

竊取機柜的分配空間。為了確保IT設(shè)備被安置在機架中的最佳位置上，企業(yè)數(shù)據(jù)中心必須建立一只負(fù)責(zé)數(shù)據(jù)中心管理的中央團隊(不管是僅僅只有一名數(shù)據(jù)中心管理人員還是包括了一只由大型技術(shù)人員組成的團隊)。只要數(shù)據(jù)中心管理層意識到所有未來的項目都將添加或減少資產(chǎn)，他們就可以恰當(dāng)?shù)匾?guī)劃何時可以安裝未來的設(shè)備。數(shù)據(jù)中心團隊將使用數(shù)據(jù)中心基礎(chǔ)設(shè)施管理(DCIM)軟件來保????服務(wù)器機柜的“U型”空間，或者至少創(chuàng)建一個電子表格，并將表示服務(wù)器機柜U的單元格標(biāo)記為保留。如果非數(shù)據(jù)中心團隊決定安裝他們自己的設(shè)備，繞過保留空間進程，而如果他們所安置的設(shè)備消耗了專用于另一個項目的空間，則可能會導(dǎo)致發(fā)生延遲。如果數(shù)據(jù)中心空間很大，這種情況似乎不會是一個嚴(yán)重的問題。但某些項目有著特殊的要求，如需要連續(xù)空間，這樣的情況下，?????????會危及其他項目的成功。

繞過電路保護。數(shù)據(jù)中心經(jīng)理職責(zé)的一個基本要素便是確保如電氣規(guī)范所規(guī)定的那樣，讓所有電路避免超過其最大容量的80%。關(guān)鍵是要最大限度的延長正常運行時間，故而數(shù)據(jù)中心經(jīng)理必須確保每臺服務(wù)器機柜或網(wǎng)絡(luò)機架都具有冗余電源——通常由兩個電路提供，以便如果一個電源發(fā)生斷電，另一個則可以承擔(dān)起全部負(fù)載。為了確保故障轉(zhuǎn)移成功，機柜和服務(wù)器柜電路有意限制在其最大容量的40%，因此如果一個電路承擔(dān)整個負(fù)載，則不會超過80%。當(dāng)有業(yè)務(wù)部門規(guī)避這個過程，并且秘密地安裝他們自己的設(shè)備時，往往忽視這樣的預(yù)防措施。當(dāng)他們插入影子IT時，他們可能會設(shè)置超過這個40%容量規(guī)則的情況，如果發(fā)生電路故障，機柜內(nèi)的所有設(shè)備都會失去電力。當(dāng)為企業(yè)創(chuàng)造營收的應(yīng)用程序關(guān)閉時，這種規(guī)模的中斷可能會導(dǎo)致企業(yè)損失數(shù)百萬美元，嚴(yán)重?fù)p害企業(yè)的聲????。

破壞機柜冷卻策略。服務(wù)器機柜的功率消耗與機柜設(shè)備所產(chǎn)生的熱量直接相關(guān)。大多數(shù)數(shù)據(jù)中心的冷卻能力是有限的，按每臺機柜的千瓦計算。類似于管理電路電源負(fù)載，數(shù)據(jù)中心管理通常將確保每臺機柜保持在該機柜中所有安置設(shè)備的組合額定功率水平。而氣流則是確保服務(wù)器機柜和機架保持涼爽的另一個因素。通常情況下，數(shù)據(jù)中心設(shè)計有冷熱通道，IT設(shè)備從冷通道吸入冷氣，在???????理數(shù)據(jù)時加熱。這種加熱的空氣從設(shè)備的后部被排出到熱通道中。然而，陰影IT通常不考慮機架的冷卻限制或氣流方向，而是隨意安裝架設(shè)。如果超過額定功率，機柜可能會過熱，造成設(shè)備故障。不恰當(dāng)?shù)娘L(fēng)向會導(dǎo)致冷熱空氣的混合，降低效率和浪費資金。

消除陰影IT

考慮到為其他合法項目預(yù)留的可用容量所存在的潛在風(fēng)險，受影子IT困擾的公司應(yīng)努力將其從數(shù)據(jù)中心中消除。慶幸的是，他們現(xiàn)在可以采用幾種技術(shù)方法來防止影子IT滲透到企業(yè)組織中。

首先，嚴(yán)格限制對于數(shù)據(jù)中心的訪問。這一步是數(shù)據(jù)管理員們的第一道防線。通過將采用工牌發(fā)放的方式，將數(shù)據(jù)中心的訪問限制在僅限于負(fù)責(zé)為數(shù)據(jù)中心提供物理支持的人員身上，這會使得個別業(yè)務(wù)部門添加設(shè)備而不被注意變得更加困難。通常，具有IT相關(guān)職位的任何人都可以訪問數(shù)據(jù)中心，但鑒于今天能夠遠程監(jiān)控和配置設(shè)備、系統(tǒng)和網(wǎng)絡(luò)，因此這些人員親身到數(shù)據(jù)中心進行訪問???????難獲得合理性。在極少數(shù)情況下，網(wǎng)絡(luò)管理員需要在設(shè)備上實際工作，數(shù)據(jù)中心團隊可以護送/支持他們。限制訪問將消除幾乎所有新的影子IT進入到數(shù)據(jù)中心。

與訪問限制配套的，是更新和執(zhí)行處理影子IT的流程、策略和過程。 企業(yè)數(shù)據(jù)中心的IT設(shè)備審批流程應(yīng)反映安裝任何設(shè)備之前所需的所有步驟。政策應(yīng)明確說明，除數(shù)據(jù)中心管理團隊小組成員以外，任何人不得安裝機架和電纜設(shè)備。程序還應(yīng)解釋其他業(yè)務(wù)部門如何要求獲得IT服務(wù)。然后，這些流程，政策和程序應(yīng)在全公司范圍內(nèi)分發(fā)(并張貼發(fā)布)，以便每個人都????理解這一過程。

消除陰影IT的其他方法還包括定期安排查訪和在數(shù)據(jù)中心內(nèi)安裝攝像頭。查訪應(yīng)包括對每個過道下的查訪并要打開機柜。然后將機柜中的設(shè)備與所有已安裝設(shè)備的圖紙或清單列表進行比較。如果突然出現(xiàn)新的設(shè)備，那么你可以調(diào)查其是如何被偷偷安裝的。如果每天都進行漫游查訪，那么安裝神秘設(shè)備裝置的時間范圍就可以縮小到一天。然后，借助24小時的攝像頭鏡頭和工牌訪問記錄可????就嫌疑人列表進行排查。

不幸的是，通過訪問限制，需要預(yù)先批準(zhǔn)和限制誰可以進入數(shù)據(jù)中心機架和電纜連接空間，這會使得需要測試環(huán)境的企業(yè)組織團隊將遭受損失。為了滿足這種獨特的需求，應(yīng)考慮從生產(chǎn)環(huán)境中分離出IT沙箱。如果對測試環(huán)境的需求很小，這種環(huán)境可能在一個空的立方體或工作臺上。如果需求很高，有多個人需要測試環(huán)境，那么企業(yè)組織應(yīng)考慮創(chuàng)建一個實驗室，配備相應(yīng)的服務(wù)器機柜、???????外的電源和冷卻資源，以便專門用于開發(fā)和測試過程。通過實驗室或IT沙盒，這些團隊將具有靈活性，可以繼續(xù)研發(fā)，而不影響數(shù)據(jù)中心的生產(chǎn)。

防止影子IT的轉(zhuǎn)型

隨著時間的推移和業(yè)務(wù)部門的需求得到滿足，新的軟件批準(zhǔn)被實施，或相關(guān)項目員工離開公司，影子IT被逐漸遺忘，不再服務(wù)于相應(yīng)的業(yè)務(wù)目的。在這一點上，這些影子IT會慢慢變身為怠惰的僵尸，沒有任何目的，而只會單純的消耗企業(yè)數(shù)據(jù)中心的空間和能源。這些隱藏的僵尸影子IT不僅會消耗寶貴的資源，并將繼續(xù)使數(shù)據(jù)中心面臨風(fēng)險。對于IT經(jīng)理來說，遏制影子IT的活動是一項重要????操作優(yōu)先事項，以便能夠帶來更有效的數(shù)據(jù)中心運營。