1. 什么是影子系统?
影子系统(Shadow IT)是指公司员工使用未经公司批准的软件、硬件、及服务的现象。这些技术工具在公司的IT控制范围之外,但它们仍被公司内的员工广泛地使用。影子系统可以是一个云应用程序、在线存储服务、移动设备、或其他任何与公司IT政策不一致的技术工具。
尽管用于提高生产力和协同工作的新技术不断涌现,但由于企业缺乏管控和安全审查,这些工具的使用行为可能会出现一些问题。这些问题包括数据泄露、数据遗失、网络安全威胁,以及从公司IT框架中剥离出来的不规范流程等。
2. 影子IT 的发展历程
随着云计算、移动设备、软件即服务(SaaS)等新兴技术的迅速发展,企业员工可以更方便地访问丰富多样的IT工具,以便更好地完成其工作任务。在某些情况下,这些IT工具被认为是员工与市场的交流。
然而,这种技术使用方式所带来的风险也需要引起我们的注意。由于公司不能完全管控和审核员工使用的工具,他们有可能被滥用,从而会带来不安全和不稳定的情况。
* 早期创业公司,为了缩减成本和提高效率,经常选择采用使用影子IT – 如 Dropbox、Google Apps等 – 来代替传统的公司IT设备和系统;对于 IT 攻击和本地数据存储,很少考虑到安全风险。
* 随着企业变得更加大规模化,它们会采用更复杂的IT系统,开始寻求IT安全管理服务的帮助,以确保 IT 系统的稳定性,而不是仅仅求其可用性的发展。
* 但是,随着员工的工作方式的改变,企业发现它们仍然无法完全控制员工使用的技术,因此企业安全风险可能会被忽视。
3. 影子IT 的风险
虽然影子IT带来的优势很多,但同时它也存在一定的风险和挑战。下面是一些影子IT的典型风险。
3.1. 数据流外泄
影子软件没有通过严格的安全审查,导致可能通过学习孔(Shadow IT)进行安全泄露。这段时间很多早期广受欢迎的影子IT应用,例如Chrome、Dropbox、 Evernote等,经常会被攻击者用来滥用。
3.2. 重复的功能
企业很可能已经实现了类似的功能,而不知道员工使用了影子IT。这将导致不必要的费用和工作量,同时可能也会导致信息重复。
3.3. IT资源的无法监管
如果IT团队不能管理系统和数据,就意味着它无法了解数据的存储、备份、合规性和合适率的状况。这将对企业的合规和法律责任造成不必要的压力。
3.4. 对企业安全构成威胁
影子IT通常在未经过安全评估或评估过程时就被部署。这可能会严重破坏IT安全政策,这可能会成为黑客发动攻击的弱点。利用这个漏洞,攻击者可以攻击企业的系统和网络,造成不可恢复的损失。
4. 对企业的影响
根据行业数据,大约70%的企业都使用或试用过影子IT,尽管知道这种做法并不完全安全或合规。然而,这些企业可能不知道影子IT对他们的影响有多大。影子IT可以影响企业在多个领域。
4.1. 安全合规方面
影子IT可能会出现在数据和系统的安全方面。有可能在没有处理相应的安全和合规规定时管理敏感文件,这将对企业的声誉和法律责任造成不必要的压力。
4.2.人员风险方面
仅仅依靠先进的文件共享功能不能保证员工自带的设备的安全性。企业无法保证这些设备对数据的机密性没有威胁,同时这些员工自己的设备也很容易被黑客攻击。
4.3. 组织风险方面
影子IT的使用可能会影响公司组织的工作流程。例如,使用影子应用程序可能导致信息流和工作流程的混乱;同时,企业可能会面临维护和管理这些应用程序所需的额外开销和人力资源的压力。
4.4. 投资价值方面
企业的IT部门可能感到困惑和无助,因为不知道自己投资的技术是否正确。企业需要投资于IT安全工具和管理工具,但如果员工使用未经过安全审查的工具,这种投资可能是无效的。这也将使企业付出不必要的时间和金钱成本。
5. 如何解决这类问题?
解决影子IT问题的关键不仅是使用员工们爱用的技术,而是如何为企业提供一个安全和合规的技术环境。以下是一些可以帮助企业解决问题的方法。
5.1. 评估
评估员工为什么会使用影子IT。是因为企业IT系统不够好用,还是因为他们在这些软件中发现了某些特定的价值?当企业有了这些获得的知识后,可以搭建基于这些领域的安全和合规机制,并尝试找到适用于他们需要的解决方案。
5.2. 安全和合规
了解企业IT部门的安全和合规中的弱点,了解员工为什么使用影子IT,然后采取必要的措施来减轻存在的安全和合规隐患。企业可以提供一些安全和可行的供应商解决方案,并加强安全意识教育,以更好地提高公司人员安全意识。
5.3. 消除安全漏洞
影子IT可能会通过网络访问企业的手机、笔记本电脑和表格电脑,并作为重要数据的例外存储数据。企业需要随时监控网络活动,防止数据泄露和其他安全漏洞的出现。
5.4. 管理和监管
企业可以为企业IT系统和培训相关员工提供相关教育,从而提高IT部门的能力和执行操作的能力。这还应该包括如何开发IT管理和监管计划,以确保所有IT过程都受到控制和监管。
5.5. 申请相关解决方案
企业可以采用各种第三方解决方案,以更好地处理IT安全问题。这些解决方案包括:安全审查工具、2FA(双重身份验证)设备以及与云服务供应商合作进行全面备份。这些方案可以让企业恢复自己的IT系统,并防止发生敏感数据泄漏和其他安全漏洞。
6. 结语
综合来看,影子IT是一种我们不可避免地面临的问题。虽然员工使用自己喜欢的技术在某些情况下可能会提高生产力和效率,但如果不加以管理和控制,影子IT将会引发安全和合规的风险,并影响公司的整体安全。因此,企业需要认真对待这个问题,并采取必要的措施,以减轻影子IT带来的安全风险。
1. 什么是影子系统?
影子系统是一种在生产环境中使用的技术,用于监控和测试应用程序的性能和稳定性。通常情况下,它会在应用程序的旁边部署一个影子系统,其中具有与生产环境相同的软硬件配置。
2. 影子系统的主要目的是什么?
影子系统的主要目的是在不影响应用程序的情况下,在生产环境中模拟真实的流量,以确定应用程序的性能和稳定性。这样,就可以及时发现问题并解决问题,最终提高应用程序的可靠性。
3. 影子系统的工作原理是什么?
影子系统的工作原理为,在生产环境中,并行运行一个虚拟的应用程序,它窃取了真实系统的请求并将其发送到影子系统进行测试。这个测试系统并行复制了真实系统,包含了相似的数据库、中间件和其他软件组件。通过在不同阶段进行性能和负载测试、以及不同场景下的测试,来确定系统的性能和稳定性。
4. 影子系统与其他测试类型的区别是什么?
影子系统与其他测试类型的主要区别在于,它不会影响生产系统。其他测试类型,如A/B测试,也可以测试系统性能和稳定性,但会在生产环境中使用不同的代码和设置,使得测试结果与生产环境的结果并不完全一致。
5. 开启影子系统需要哪些步骤?
开启影子系统需要以下步骤:
a. 将影子系统与要被测试的系统进行连接,使其可以模拟真实生产环境的流量。
b. 确保影子系统具备与生产环境相同的硬件、软件和网络配置。
c. 配置测试参数。例如,测试要模拟什么样的负载,测试时长,以及什么时候启动和停止测试。
d. 开始测试。
6. 影子系统可以测试什么方面?
影子系统可以测试以下方面:
a. 系统容错性:测试系统在出现故障时是否能保证不中断服务。
b. 垂直扩展性:测试系统在增大负载时,能否通过添加更多的资源来维持稳定性。
c. 横向扩展性:测试系统在增大负载时,能否通过增加更多的服务器来维持稳定性。
d. 数据库:测试系统是否能够在扩展数据库或更改数据库类型时保持稳定。
e. 网络:测试系统在网络出现问题时,是否能够正常处理请求。
f. 微服务:测试系统在使用微服务时是否能够维持稳定。
7. 如何评估影子系统的表现?
评估影子系统的表现需要参考以下因素:
a. 处理时间:测试系统能否在快度下正常地处理请求。
b. 错误率:测试系统中出现错误的频率。
c. 延迟:测试系统在处理请求时的延迟时间。
d. 总吞吐量:测试系统每秒可以处理的请求总数。
e. 负载均衡:测试系统是否能够正确地对流量进行分配,以确保系统的稳定性。
8. 如何将影子系统集成到DevOps中?
将影子系统集成到DevOps中需要以下步骤:
a. 将影子系统与CI/CD工具集成,包括Jenkins、Travis CI等。
b. 集成监控工具,如Grafana,使开发人员可以轻松地了解测试结果。
c. 自动化测试:开发人员可以使用自动化测试框架进行代码测试,以避免引入新的错误。
d. 反馈机制:将测试结果反馈到开发团队中,以便他们能够及时解决问题。
9. 影子系统可能的风险是什么?
影子系统可能的风险包括以下方面:
a. 应用程序和影子系统之间的连接可能对生产环境有影响,如延迟或系统故障。
b. 影子系统可能需要大量的资源和技术支持,造成高昂的成本。
c. 在部署影子系统时可能会出现配置问题和安全性风险。
10. 影子系统应该用于哪些环境?
影子系统适用于以下环境:
a. 生产模拟:模拟生产环境,进行系统测试和优化。
b. 业务连续性:应用程序更新或升级之前进行连续性测试,以确保业务连续性。
c. 异地备份:进行异地数据备份时,可以使用影子系统进行测试和验证。
