一個雲計算問題引發的「影子IT」事故

如果你的企業有一個不稱職的管理員，你的整個雲基礎設施都會受到威脅。 那麼你該採取何種保護措施呢?

通常我都是在孩子們早上上學以後寫點東西。 但是今天早上，我從辦公室偷溜出來，手裡拿了杯咖啡，腿上放著我的Mac。 因為我從一個參加了在倫敦召開的IP Expo展會的人那裡聽到了一件非常令人不安的影子IT故事，我想在飛過大西洋之前先把這件事記錄到磁片上。

事情是這樣的：我不是一個悲觀主義者，我認為專業的IT團隊只要有信心，有自己的做事邏輯，再給他們一些時間，他們就能解決所有問題，畢竟他們擁有主動權。 但是，這是一個關於雲計算問題的例子，在細節很清晰的時候我們要認真探討一下。

我們都太熟悉影子IT了：它是指企業內一些懂得相關技術的內部人員未經IT部門同意，甚至是違反企業政策所做的一些危險操作。 你是否經常發現YADBA(另一種Dropbox帳戶)，儘管每個員工都簽署了不准洩露出貨單據資訊的協定?幸運的是，Dropbox問題相對來說很容易解決，只需要在你的資料中心中提供一個可接受的安全檔共用應用程式的替代方案， 然後使用資料包檢測、應用程式特徵檢測或NetFlow來存取控制清單，或者把它從企業中剔除。

上千個帳單讓IT部門無計可施

但是，我從IP Expo展會聽到的例子是，它已經完全偏離了應用程式使用條例，甚至是IaaS案例管理。 要注意，由於其毫無預警，所以它可能發生在任何規模的企業中。

概括地說就是，一個業餘網路開發人員或內容管理系統管理員認為他發現了一種讓客戶跟蹤客戶訂單的完成進度的不錯方式。 他獲批得到採購訂單，然後打開了一個重要供應商的IaaS帳戶。 他還建立了一個差強人意的應用程式，包括移動回應佈局。 最後，IT還説明他設置了一個VPN連接到他的虛擬私有雲(VPC)上，這樣他就可以在公司網路上訪問資料服務API。 客戶很高興，管理也很方便。 但是，唯一的問題是，他收到了航空公司給他的信用卡發來的飛行距離資料，注意，是給他的個人信用卡。

你可能不願意看到最後一句話，因為你知道這意味著什麼。

意識到該問題嚴重性的第一個跡象並不是該管理員又幹了一段時間離職去了其它公司。 而是兩個月後，他的預設郵箱webhelp@thecompanyisscrewd.com開始收到各種郵件。 真正嚴重的是，超連結和全球範圍內的跟蹤網站都下線了。 起初這還沒有引起公司的恐慌，只是以為網站崩潰，然後找管理員來修復就可以了。 但是後來這個問題一再重複發生。 很快，網路運營團隊意識到問題不是來自主機託管，而是在混合雲中。 它只是互聯網上的一個IP位址，現在沒有什麼比一個完全不知道的生產系統更讓人頭疼的了。 整個帳戶，包括機器實例、存儲、關聯式資料庫和VPN端點已經完全被清空了。

結果就是「帳戶戶主」刪除了他的個人帳戶資訊，然後給初級IT管理員發了一封獨立的郵件，提醒他得到一個企業為其帳戶設置的卡。 管理員認為他做的天衣無縫，但是在採購訂單的問題上遇到了問題。 雲服務提供者只保證這個帳戶安全運行了60天，然後引爆了這顆安全的定時炸彈。 這時，IT部門懇求供應商修復這個問題，但是最終得到的答案卻是：這個帳戶是個人所有，無論它連接到DNS解析還是跨網路介面的標識和版權，他們都沒有過戶。

錯失了「照亮」影子IT的機會

事後來看，這個問題其實應該像讓Dropbox下線一樣容易，可能比這更簡單。 除了要檢測可以清楚顯示所交易的供應商的VPN，IT還提供了VPC VPN，並且給DNS添加了所需的新子域。 他們最終失敗了不是因為他們沒有做，而是他們從一開始就不知道自己哪裡不懂。 他們沒有一個合理的服務審核過程，來判斷企業在雲端享有的服務。 這樣他們就不能跟蹤開發許可權或管理許可權或強制執行的標準文檔。

幸運的是，該公司幾天後又重新上線了，因為造成這種局面的那個傢伙還有的救，他在用完IT可以服務的核定存儲帳戶前做了備份。 這個公司也算是比較幸運，在這個事件之後他們也做出了實質性的改變。 管理者實施了新的審計程式，並且開始認真掃描流量，以識別現有網站上的未知服務，更重要的是，他們越來越懷疑影子IT了。

至於我，我知道自己回到Austin以後馬上要做的事了。