怎样最小化混合云中影子IT带来的风险
发布时间:2022-05-16 09:03:31 所属栏目:安全 来源:互联网
导读:尽管云计算有很多的好处,但缺点也不可避免,影子IT就是其中之一。受到云计算的低成本驱使,影子IT作为一种服务模式,将传统IT和CIO的职能转移到企业的生产部门。尽管影子IT的风险在之前已经被讨论过,但一种新的风险正在发生,尤其是在混合云的环境中。 对
|
尽管云计算有很多的好处,但缺点也不可避免,影子IT就是其中之一。受到云计算的低成本驱使,影子IT作为一种服务模式,将传统IT和CIO的职能转移到企业的生产部门。尽管影子IT的风险在之前已经被讨论过,但一种新的风险正在发生,尤其是在混合云的环境中。 对许多公司来说,影子IT是一种将企业对于一个问题或者机会所作出的响应从一个高惯性的IT世界中解脱出来的方式。一个职能部门从云供应商那里购买计算服务,并根据业务需求调整服务。影子IT模型可能不会对每一个应用场景都适用,但它在每个企业中至少会对一些应用有效,并且随着云应用的增长只会不断扩大。 那么你该如何既保留影子IT所创造的灵活性,同时又保护你的数据和应用程序呢?有针对性和一刀切的办法,但企业应该选择一个符合自己的影子IT使用的方法。 防止非法融合的最广泛和最侵入性的方式是对所有的SaaS合约,服务和接口进行IT运营,安全和合规的审核。这是一种提醒IT部门云计算正在公司内部蓬勃发展的方式,帮助他们做好混合模式的准备。不过,虽然有效,但这些审核会导致SaaS的部署延迟。 第二个选择是允许生产部门采用SaaS应用,只要没有数据交换或与其他应用程序的工作流连接。当需要数据交换时,组织应该进行上述的那些操作审核。开发并验证任何数据交换的过程同样也很重要。然而这种做法成败参半。一些公司报告说运营人员仍然绕过IT,而另一些公司又说时间都浪费在了审核一个理应很简单的应用互连过程。 另一个新兴的做法是合规感染。混合云的组件,如应用程序,数据和工作流携带自己的规则,安全和治理的要求。通过这种感染的方式,这些混合云元素的要求-- 是否来自数据中心还是来自另一个云环境 –都被公布出来。任何时候,当一个云应用同另一个应用建立一个混合连接时,每个应用程序都将“获得”对方的要求。这样一来,IT部门必须确保这两个应用都合规和安全。 但即使是这种方法并不能完全解决在混合环境中对多个影子IT云应用进行安全保护的挑战,尤其是如果这两个应用来自同一个云服务提供商。唯一的做法是对所有的混合应用和工作流进行专业的IT审核,即便是在同一个SaaS提供商里,目的是培训职能部门经理关于安全和管理的问题,可以作为云服务合同审批的一个条件。 影子IT对许多公司,以及几乎所有的职能部门的吸引力如此之大,如果没有正规IT的参与,非法融合的风险将很难控制。随着SaaS服务商不断拓展市场,会有更多的SaaS应用需要连接到现有的数据中心。考虑到这一点,要检测到非法融合的踪影也许是不可能的,这使得对每一个云项目的安全和法规遵从审查变得非常关键。尽管这并不能终止影子IT,但至少会为这个问题的解决带来一线曙光。 (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐