現(xiàn)如今，各種影子IT可能默默地潛伏在各種規(guī)模的數(shù)據(jù)中心的黑暗角落。而在我們頭腦中，我們其實(shí)都知道影子IT存在于企業(yè)數(shù)據(jù)中心設(shè)施中的可能性，但與此同時(shí)，大部分人又似乎深深地的相信：這沒(méi)什么大不了的。事實(shí)上，影子IT正在悄然將我們的業(yè)務(wù)置于危險(xiǎn)之中，進(jìn)而造成新的安全威脅，并在數(shù)據(jù)操作中帶來(lái)相當(dāng)大的資源浪費(fèi)。其危害性不僅比大多數(shù)企業(yè)所認(rèn)識(shí)到的更為嚴(yán)重和普遍，而且其所造成的成本代價(jià)也要比人們想象的要高得多。

影子IT是沒(méi)有遵循企業(yè)所制定的協(xié)議而安裝的硬件、軟件和數(shù)據(jù)庫(kù)。相反，影子IT的創(chuàng)建沒(méi)有讓企業(yè)執(zhí)行管理部門(mén)的獲悉和掌握可見(jiàn)性，也未經(jīng)由企業(yè)的IT部門(mén)進(jìn)行部署。沒(méi)有人打算創(chuàng)造一個(gè)可以隱藏陰影IT的系統(tǒng)，但這樣的系統(tǒng)會(huì)隨著時(shí)間的推移而發(fā)展出來(lái)。了解影子IT對(duì)企業(yè)數(shù)據(jù)中心運(yùn)營(yíng)以及物理層的影響;如何被揭露和消除這些影響和風(fēng)險(xiǎn)對(duì)于數(shù)據(jù)中心管理人員們而言是至關(guān)重要的???????

影子IT如何滲透到企業(yè)的

根據(jù)其企業(yè)組織架構(gòu)的不同，大中型企業(yè)通常都會(huì)設(shè)置一個(gè)總的IT管理部門(mén)，以負(fù)責(zé)確保企業(yè)所有IT硬件設(shè)備，軟件等都符合安全性、且獲得了相應(yīng)的許可授權(quán)、遵循資產(chǎn)、 生命周期的管理及其他方面的要求。其他“非IT”部門(mén)通常也會(huì)有自己的IT管理人員，他們是負(fù)責(zé)為所服務(wù)的部門(mén)定制內(nèi)部的軟件、專用打印機(jī)、網(wǎng)站甚至電子表格的IT專員。這些“非IT”部門(mén)可能需要一些快速靈活????產(chǎn)品和服務(wù)開(kāi)發(fā)，當(dāng)在需要獲得企業(yè)總的IT管理部門(mén)審批時(shí)難以執(zhí)行。

考慮到一些企業(yè)組織的內(nèi)部的批準(zhǔn)過(guò)程相當(dāng)麻煩，這些單獨(dú)的業(yè)務(wù)部門(mén)就可能決定在沒(méi)有企業(yè)總的IT管理審查和批準(zhǔn)的情況下，特別是在執(zhí)行小型項(xiàng)目或項(xiàng)目時(shí)間敏感的情況下，隱蔽地創(chuàng)建自己的服務(wù)器，下載軟件或建立自己的數(shù)據(jù)庫(kù)。雖然這樣做可能對(duì)具體業(yè)務(wù)部門(mén)或具體項(xiàng)目來(lái)說(shuō)似乎是好事，但這其實(shí)是一個(gè)滑坡，為企業(yè)整個(gè)數(shù)據(jù)庫(kù)帶來(lái)了更大的潛在風(fēng)險(xiǎn)。首先，規(guī)避這一過(guò)程會(huì)???????加企業(yè)組織對(duì)安全漏洞和未經(jīng)授權(quán)訪問(wèn)敏感數(shù)據(jù)的脆弱性。

除了頂級(jí)的風(fēng)險(xiǎn)之外，流氓軟件和數(shù)據(jù)庫(kù)的增加會(huì)使得許可證授權(quán)管理變得不可能，并且如果超過(guò)了每個(gè)許可證授權(quán)所允許的用戶數(shù)量的話，會(huì)將企業(yè)組織置于一個(gè)相當(dāng)尷尬和代價(jià)昂貴的位置。由于許多設(shè)備發(fā)送和接收多個(gè)數(shù)據(jù)點(diǎn)的瓶頸，會(huì)造成另一個(gè)網(wǎng)絡(luò)性能差的風(fēng)險(xiǎn)。而從財(cái)務(wù)的角度來(lái)看，企業(yè)會(huì)計(jì)部門(mén)不知道這些隱蔽資產(chǎn)及其使用生命周期狀況，容易造成記賬錯(cuò)誤和不準(zhǔn)確。

影子IT對(duì)數(shù)據(jù)中心的物理影響

當(dāng)流氓部門(mén)秘密地向數(shù)據(jù)中心添加設(shè)備時(shí)，他們通常會(huì)將企業(yè)組織的數(shù)據(jù)中心戰(zhàn)略拋在了腦后，甚至根本不了解這些戰(zhàn)略。在物理層面上，影子IT對(duì)數(shù)據(jù)中心的影響可能會(huì)導(dǎo)致復(fù)雜和潛在的危險(xiǎn)情況。從空間問(wèn)題、電力和冷卻容量能力需求到意外的運(yùn)行成本，如果不正確地架設(shè)或連接電纜，鄰近設(shè)備將容易受到損壞和中斷。主要的關(guān)注問(wèn)題是竊取配電柜面空間，規(guī)避電路保護(hù)最佳實(shí)踐???????案，破壞機(jī)柜冷卻策略。

  

竊取機(jī)柜的分配空間。為了確保IT設(shè)備被安置在機(jī)架中的最佳位置上，企業(yè)數(shù)據(jù)中心必須建立一只負(fù)責(zé)數(shù)據(jù)中心管理的中央團(tuán)隊(duì)(不管是僅僅只有一名數(shù)據(jù)中心管理人員還是包括了一只由大型技術(shù)人員組成的團(tuán)隊(duì))。只要數(shù)據(jù)中心管理層意識(shí)到所有未來(lái)的項(xiàng)目都將添加或減少資產(chǎn)，他們就可以恰當(dāng)?shù)匾?guī)劃何時(shí)可以安裝未來(lái)的設(shè)備。數(shù)據(jù)中心團(tuán)隊(duì)將使用數(shù)據(jù)中心基礎(chǔ)設(shè)施管理(DCIM)軟件來(lái)保????服務(wù)器機(jī)柜的“U型”空間，或者至少創(chuàng)建一個(gè)電子表格，并將表示服務(wù)器機(jī)柜U的單元格標(biāo)記為保留。如果非數(shù)據(jù)中心團(tuán)隊(duì)決定安裝他們自己的設(shè)備，繞過(guò)保留空間進(jìn)程，而如果他們所安置的設(shè)備消耗了專用于另一個(gè)項(xiàng)目的空間，則可能會(huì)導(dǎo)致發(fā)生延遲。如果數(shù)據(jù)中心空間很大，這種情況似乎不會(huì)是一個(gè)嚴(yán)重的問(wèn)題。但某些項(xiàng)目有著特殊的要求，如需要連續(xù)空間，這樣的情況下，?????????會(huì)危及其他項(xiàng)目的成功。

繞過(guò)電路保護(hù)。數(shù)據(jù)中心經(jīng)理職責(zé)的一個(gè)基本要素便是確保如電氣規(guī)范所規(guī)定的那樣，讓所有電路避免超過(guò)其最大容量的80%。關(guān)鍵是要最大限度的延長(zhǎng)正常運(yùn)行時(shí)間，故而數(shù)據(jù)中心經(jīng)理必須確保每臺(tái)服務(wù)器機(jī)柜或網(wǎng)絡(luò)機(jī)架都具有冗余電源——通常由兩個(gè)電路提供，以便如果一個(gè)電源發(fā)生斷電，另一個(gè)則可以承擔(dān)起全部負(fù)載。為了確保故障轉(zhuǎn)移成功，機(jī)柜和服務(wù)器柜電路有意限制在其最大容量的40%，因此如果一個(gè)電路承擔(dān)整個(gè)負(fù)載，則不會(huì)超過(guò)80%。當(dāng)有業(yè)務(wù)部門(mén)規(guī)避這個(gè)過(guò)程，并且秘密地安裝他們自己的設(shè)備時(shí)，往往忽視這樣的預(yù)防措施。當(dāng)他們插入影子IT時(shí)，他們可能會(huì)設(shè)置超過(guò)這個(gè)40%容量規(guī)則的情況，如果發(fā)生電路故障，機(jī)柜內(nèi)的所有設(shè)備都會(huì)失去電力。當(dāng)為企業(yè)創(chuàng)造營(yíng)收的應(yīng)用程序關(guān)閉時(shí)，這種規(guī)模的中斷可能會(huì)導(dǎo)致企業(yè)損失數(shù)百萬(wàn)美元，嚴(yán)重?fù)p害企業(yè)的聲????。

破壞機(jī)柜冷卻策略。服務(wù)器機(jī)柜的功率消耗與機(jī)柜設(shè)備所產(chǎn)生的熱量直接相關(guān)。大多數(shù)數(shù)據(jù)中心的冷卻能力是有限的，按每臺(tái)機(jī)柜的千瓦計(jì)算。類似于管理電路電源負(fù)載，數(shù)據(jù)中心管理通常將確保每臺(tái)機(jī)柜保持在該機(jī)柜中所有安置設(shè)備的組合額定功率水平。而氣流則是確保服務(wù)器機(jī)柜和機(jī)架保持涼爽的另一個(gè)因素。通常情況下，數(shù)據(jù)中心設(shè)計(jì)有冷熱通道，IT設(shè)備從冷通道吸入冷氣，在???????理數(shù)據(jù)時(shí)加熱。這種加熱的空氣從設(shè)備的后部被排出到熱通道中。然而，陰影IT通常不考慮機(jī)架的冷卻限制或氣流方向，而是隨意安裝架設(shè)。如果超過(guò)額定功率，機(jī)柜可能會(huì)過(guò)熱，造成設(shè)備故障。不恰當(dāng)?shù)娘L(fēng)向會(huì)導(dǎo)致冷熱空氣的混合，降低效率和浪費(fèi)資金。

消除陰影IT

考慮到為其他合法項(xiàng)目預(yù)留的可用容量所存在的潛在風(fēng)險(xiǎn)，受影子IT困擾的公司應(yīng)努力將其從數(shù)據(jù)中心中消除。慶幸的是，他們現(xiàn)在可以采用幾種技術(shù)方法來(lái)防止影子IT滲透到企業(yè)組織中。

首先，嚴(yán)格限制對(duì)于數(shù)據(jù)中心的訪問(wèn)。這一步是數(shù)據(jù)管理員們的第一道防線。通過(guò)將采用工牌發(fā)放的方式，將數(shù)據(jù)中心的訪問(wèn)限制在僅限于負(fù)責(zé)為數(shù)據(jù)中心提供物理支持的人員身上，這會(huì)使得個(gè)別業(yè)務(wù)部門(mén)添加設(shè)備而不被注意變得更加困難。通常，具有IT相關(guān)職位的任何人都可以訪問(wèn)數(shù)據(jù)中心，但鑒于今天能夠遠(yuǎn)程監(jiān)控和配置設(shè)備、系統(tǒng)和網(wǎng)絡(luò)，因此這些人員親身到數(shù)據(jù)中心進(jìn)行訪問(wèn)???????難獲得合理性。在極少數(shù)情況下，網(wǎng)絡(luò)管理員需要在設(shè)備上實(shí)際工作，數(shù)據(jù)中心團(tuán)隊(duì)可以護(hù)送/支持他們。限制訪問(wèn)將消除幾乎所有新的影子IT進(jìn)入到數(shù)據(jù)中心。

與訪問(wèn)限制配套的，是更新和執(zhí)行處理影子IT的流程、策略和過(guò)程。 企業(yè)數(shù)據(jù)中心的IT設(shè)備審批流程應(yīng)反映安裝任何設(shè)備之前所需的所有步驟。政策應(yīng)明確說(shuō)明，除數(shù)據(jù)中心管理團(tuán)隊(duì)小組成員以外，任何人不得安裝機(jī)架和電纜設(shè)備。程序還應(yīng)解釋其他業(yè)務(wù)部門(mén)如何要求獲得IT服務(wù)。然后，這些流程，政策和程序應(yīng)在全公司范圍內(nèi)分發(fā)(并張貼發(fā)布)，以便每個(gè)人都????理解這一過(guò)程。

消除陰影IT的其他方法還包括定期安排查訪和在數(shù)據(jù)中心內(nèi)安裝攝像頭。查訪應(yīng)包括對(duì)每個(gè)過(guò)道下的查訪并要打開(kāi)機(jī)柜。然后將機(jī)柜中的設(shè)備與所有已安裝設(shè)備的圖紙或清單列表進(jìn)行比較。如果突然出現(xiàn)新的設(shè)備，那么你可以調(diào)查其是如何被偷偷安裝的。如果每天都進(jìn)行漫游查訪，那么安裝神秘設(shè)備裝置的時(shí)間范圍就可以縮小到一天。然后，借助24小時(shí)的攝像頭鏡頭和工牌訪問(wèn)記錄可????就嫌疑人列表進(jìn)行排查。

不幸的是，通過(guò)訪問(wèn)限制，需要預(yù)先批準(zhǔn)和限制誰(shuí)可以進(jìn)入數(shù)據(jù)中心機(jī)架和電纜連接空間，這會(huì)使得需要測(cè)試環(huán)境的企業(yè)組織團(tuán)隊(duì)將遭受損失。為了滿足這種獨(dú)特的需求，應(yīng)考慮從生產(chǎn)環(huán)境中分離出IT沙箱。如果對(duì)測(cè)試環(huán)境的需求很小，這種環(huán)境可能在一個(gè)空的立方體或工作臺(tái)上。如果需求很高，有多個(gè)人需要測(cè)試環(huán)境，那么企業(yè)組織應(yīng)考慮創(chuàng)建一個(gè)實(shí)驗(yàn)室，配備相應(yīng)的服務(wù)器機(jī)柜、???????外的電源和冷卻資源，以便專門(mén)用于開(kāi)發(fā)和測(cè)試過(guò)程。通過(guò)實(shí)驗(yàn)室或IT沙盒，這些團(tuán)隊(duì)將具有靈活性，可以繼續(xù)研發(fā)，而不影響數(shù)據(jù)中心的生產(chǎn)。

防止影子IT的轉(zhuǎn)型

隨著時(shí)間的推移和業(yè)務(wù)部門(mén)的需求得到滿足，新的軟件批準(zhǔn)被實(shí)施，或相關(guān)項(xiàng)目員工離開(kāi)公司，影子IT被逐漸遺忘，不再服務(wù)于相應(yīng)的業(yè)務(wù)目的。在這一點(diǎn)上，這些影子IT會(huì)慢慢變身為怠惰的僵尸，沒(méi)有任何目的，而只會(huì)單純的消耗企業(yè)數(shù)據(jù)中心的空間和能源。這些隱藏的僵尸影子IT不僅會(huì)消耗寶貴的資源，并將繼續(xù)使數(shù)據(jù)中心面臨風(fēng)險(xiǎn)。對(duì)于IT經(jīng)理來(lái)說(shuō)，遏制影子IT的活動(dòng)是一項(xiàng)重要????操作優(yōu)先事項(xiàng)，以便能夠帶來(lái)更有效的數(shù)據(jù)中心運(yùn)營(yíng)。