现如今,各种影子IT可能默默地潜伏在各种规模的数据中心的黑暗角落。而在我们头脑中,我们其实都知道影子IT存在于企业数据中心设施中的可能性,但与此同时,大部分人又似乎深深地的相信:这没什么大不了的。事实上,影子IT正在悄然将我们的业务置于危险之中,进而造成新的安全威胁,并在数据操作中带来相当大的资源浪费。其危害性不仅比大多数企业所认识到的更为严重和普遍,而且其所造成的成本代价也要比人们想象的要高得多。
影子IT是没有遵循企业所制定的协议而安装的硬件、软件和数据库。相反,影子IT的创建没有让企业执行管理部门的获悉和掌握可见性,也未经由企业的IT部门进行部署。没有人打算创造一个可以隐藏阴影IT的系统,但这样的系统会随着时间的推移而发展出来。了解影子IT对企业数据中心运营以及物理层的影响;如何被揭露和消除这些影响和风险对于数据中心管理人员们而言是至关重要的。
影子IT如何渗透到企业的
根据其企业组织架构的不同,大中型企业通常都会设置一个总的IT管理部门,以负责确保企业所有IT硬件设备,软件等都符合安全性、且获得了相应的许可授权、遵循资产、 生命周期的管理及其他方面的要求。其他“非IT”部门通常也会有自己的IT管理人员,他们是负责为所服务的部门定制内部的软件、专用打印机、网站甚至电子表格的IT专员。这些“非IT”部门可能需要一些快速灵活的产品和服务开发,当在需要获得企业总的IT管理部门审批时难以执行。
考虑到一些企业组织的内部的批准过程相当麻烦,这些单独的业务部门就可能决定在没有企业总的IT管理审查和批准的情况下,特别是在执行小型项目或项目时间敏感的情况下,隐蔽地创建自己的服务器,下载软件或建立自己的数据库。虽然这样做可能对具体业务部门或具体项目来说似乎是好事,但这其实是一个滑坡,为企业整个数据库带来了更大的潜在风险。首先,规避这一过程会增加企业组织对安全漏洞和未经授权访问敏感数据的脆弱性。
除了顶级的风险之外,流氓软件和数据库的增加会使得许可证授权管理变得不可能,并且如果超过了每个许可证授权所允许的用户数量的话,会将企业组织置于一个相当尴尬和代价昂贵的位置。由于许多设备发送和接收多个数据点的瓶颈,会造成另一个网络性能差的风险。而从财务的角度来看,企业会计部门不知道这些隐蔽资产及其使用生命周期状况,容易造成记账错误和不准确。
影子IT对数据中心的物理影响
当流氓部门秘密地向数据中心添加设备时,他们通常会将企业组织的数据中心战略抛在了脑后,甚至根本不了解这些战略。在物理层面上,影子IT对数据中心的影响可能会导致复杂和潜在的危险情况。从空间问题、电力和冷却容量能力需求到意外的运行成本,如果不正确地架设或连接电缆,邻近设备将容易受到损坏和中断。主要的关注问题是窃取配电柜面空间,规避电路保护最佳实践方案,破坏机柜冷却策略。
窃取机柜的分配空间。为了确保IT设备被安置在机架中的最佳位置上,企业数据中心必须建立一只负责数据中心管理的中央团队(不管是仅仅只有一名数据中心管理人员还是包括了一只由大型技术人员组成的团队)。只要数据中心管理层意识到所有未来的项目都将添加或减少资产,他们就可以恰当地规划何时可以安装未来的设备。数据中心团队将使用数据中心基础设施管理(DCIM)软件来保留服务器机柜的“U型”空间,或者至少创建一个电子表格,并将表示服务器机柜U的单元格标记为保留。如果非数据中心团队决定安装他们自己的设备,绕过保留空间进程,而如果他们所安置的设备消耗了专用于另一个项目的空间,则可能会导致发生延迟。如果数据中心空间很大,这种情况似乎不会是一个严重的问题。但某些项目有着特殊的要求,如需要连续空间,这样的情况下,就可能会危及其他项目的成功。
绕过电路保护。数据中心经理职责的一个基本要素便是确保如电气规范所规定的那样,让所有电路避免超过其大容量的80%.关键是要大限度的延长正常运行时间,故而数据中心经理必须确保每台服务器机柜或网络机架都具有冗余电源——通常由两个电路提供,以便如果一个电源发生断电,另一个则可以承担起全部负载。为了确保故障转移成功,机柜和服务器柜电路有意限制在其大容量的40%,因此如果一个电路承担整个负载,则不会超过80%.当有业务部门规避这个过程,并且秘密地??安装他们自己的设备时,往往忽视这样的预防措施。当他们插入影子IT时,他们可能会设置超过这个40%容量规则的情况,如果发生电路故障,机柜内的所有设备都会失去电力。当为企业创造营收的应用程序关闭时,这种规模的中断可能会导致企业损失数百万美元,严重损害企业的声誉。
破坏机柜冷却策略。服务器机柜的功率消耗与机柜设备所产生的热量直接相关。大多数数据中心的冷却能力是有限的,按每台机柜的千瓦计算。类似于管理电路电源负载,数据中心管理通常将确保每台机柜保持在该机柜中所有安置设备的组合额定功率水平。而气流则是确保服务器机柜和机架保持凉爽的另一个因素。通常情况下,数据中心设计有冷热通道,IT设备从冷通道吸入冷气,在处理数据时加热。这种加热的空气从设备的后部被排出到热通道中。然而,阴影IT通常不考虑机架的冷却限制或气流方向,而是随意安装架设。如果超过额定功率,机柜可能会过热,造成设备故障。不恰当的风向会导致冷热空气的混合,降低效率和浪费资金。
消除阴影IT
考虑到为其他合法项目预留的可用容量所存在的潜在风险,受影子IT困扰的公司应努力将其从数据中心中消除。庆幸的是,他们现在可以采用几种技术方法来防止影子IT渗透到企业组织中。
首先,严格限制对于数据中心的访问。这一步是数据管理员们的第一道防线。通过将采用工牌发放的方式,将数据中心的访问限制在仅限于负责为数据中心提供物理支持的人员身上,这会使得个别业务部门添加设备而不被注意变得更加困难。通常,具有IT相关职位的任何人都可以访问数据中心,但鉴于今天能够远程监控和配置设备、系统和网络,因此这些人员亲身到数据中心进行访问更难获得合理性。在极少数情况下,网络管理员需要在设备上实际工作,数据中心团队可以护送/支持他们。限制访问将消除几乎所有新的影子IT进入到数据中心。
与访问限制配套的,是更新和执行处理影子IT的流程、策略和过程。 企业数据中心的IT设备审批流程应反映安装任何设备之前所需的所有步骤。政策应明确说明,除数据中心管理团队小组成员以外,任何人不得安装机架和电缆设备。程序还应解释其他业务部门如何要求获得IT服务。然后,这些流程,政策和程序应在全公司范围内分发(并张贴发布),以便每个人都能理解这一过程。
消除阴影IT的其他方法还包括定期安排查访和在数据中心内安装摄像头。查访应包括对每个过道下的查访并要打开机柜。然后将机柜中的设备与所有已安装设备的图纸或清单列表进行比较。如果突然出现新的设备,那么你可以调查其是如何被偷偷安装的。如果每天都进行漫游查访,那么安装神秘设备装置的时间范围就可以缩小到一天。然后,借助24小时的摄像头镜头和工牌访问记录可以就嫌疑人列表进行排查。
不幸的是,通过访问限制,需要预先批准和限制谁可以进入数据中心机架和电缆连接空间,这会使得需要测试环境的企业组织团队将遭受损失。为了满足这种独特的需求,应考虑从生产环境中分离出IT沙箱。如果对测试环境的需求很小,这种环境可能在一个空的立方体或工作台上。如果需求很高,有多个人需要测试环境,那么企业组织应考虑创建一个实验室,配备相应的服务器机柜、额外的电源和冷却资源,以便专门用于开发和测试过程。通过实验室或IT沙盒,这些团队将具有灵活性,可以继续研发,而不影响数据中心的生产。
防止影子IT的转型
随着时间的推移和业务部门的需求得到满足,新的软件批准被实施,或相关项目员工离开公司,影子IT被逐渐遗忘,不再服务于相应的业务目的。在这一点上,这些影子IT会慢慢变身为怠惰的僵尸,没有任何目的,而只会单纯的消耗企业数据中心的空间和能源。这些隐藏的僵尸影子IT不仅会消耗宝贵的资源,并将继续使数据中心面临风险。对于IT经理来说,遏制影子IT的活动是一项重要的操作优先事项,以便能够带来更有效的数据中心运营。
热门专题
