企业IT如何随着影子IT的兴起保持性能可见性?
企业IT团队负责管理的设备数量在各个部门之间呈爆炸式增长,而IT团队利用其与员工联系的应用程序和设备的数量也呈现出类似的增长轨迹。实际上,据估计,软件即服务(SaaS)市场在2019年期间的收入激增,已经超过1000亿美元,这在很大程度上要归功于越来越多的企业淘汰了原有的工作流程和基于硬件的工具,可以通过云计算快速(并且相对经济高效)交付的解决方案。
同时,在企业IT团队中的心目中,数据隐私从未像现在这样重要。数据治理通常已成为重中之重,因为诸如欧盟《通用数据保护条例》(GDPR)和即将颁布的《加利福尼亚消费者隐私法案》(CCPA)等影响深远的法规为企业IT部门提供了法律责任,以保护这些数据。
满足这些合规性目标的一个巨大挑战是,在许多大型企业中,有大量的应用程序、设备和用户在网络上进行通信,而这些通信、应用程序、设备和用户可能正在“隐蔽地”进行通信。事实上,调研机构Gartner估计,其中有20%多达50%的企业应用程序支出都是在IT团队不知情或或没有同意的情况下发生的,也就是影子IT(ShadowIT)。
试想一下:尽管企业在管理网络、位置、应用程序和用户认可的设备方面不堪重负,但未知变量可能会迅速增长,而IT团队无法洞察用户在不使用其IT设备的情况下正在做什么。
根据埃森哲公司最近发布的《网络准备状况调查》报告,在接受调查的300名IT专业人员中,只有36%的受访者对他们的网络配备支持业务所需的功能“非常满意”。尽管有这样的事实,但很多企业正在不失时机地将先进的数字技术引入网络,其中包括大数据/分析(83%)、数字客户体验工具(78%)和物联网/边缘计算(77%)。如果团队无法完全了解当前行为,那么企业IT部门就很难建模用户体验或预测未来的网络需求。
所有这一切只是为了管理企业IT团队真正了解的工具和解决方案。
影子IT的兴起反映了企业中SaaS的兴起——通过“设计即服务”交付的工具和工作流在设计上比内部部署解决方案更容易获得且更具成本效益,这对企业IT的角色转变是一个福音。但是,这也使IT之外的用户更容易探索和快速部署自己的SaaS,而无需咨询IT团队。
这里的问题是多方面的,但主要是由于已经不堪重负的IT部门无法审查用户所需的工具,这可能会导致不良行为者无意中访问员工使用的企业和客户的敏感数据。
IT角色的转变
根据Salesforce公司最近的一份调查报告,71%的企业IT团队正在从提供技术的成本中心转变为基于价值的服务经纪公司。这是因为,即使在10年前,技术变革的速度也远没有现在这么激进。因此,以往的团队有一个相当可预测的问题和解决方案列表,可以根据需要进行部署。
现在,团队必须更具战略性,因为需要依赖不断发展的网络技术来支持业务。现在,现代IT团队实际上肩负着支持推动企业成功的基础设施的任务,而在如此之大的风险面前只是扮演一个反对的角色,就可能使整个业务陷于失败。
在涉及影子IT的情况下尤其如此。
影子IT以前面临的主要问题是,,当用户将未经授权的应用程序带入网络时,IT看不到这些工具可能带来的潜在危险,即数据泄漏和不遵守SOC2、GDPR和CCPA等隐私法规的情况。
然而,通常情况下,影子IT并不是最终用户怀着恶意进行的。与其相反,这通常是一个团队更喜欢一个解决方案而不是另一个,或者发现一个有用的SaaS应用程序并在未获得企业IT团队批准的情况下运行的问题。可能批准一个团队使用CitrixGoToMeeting来进行视频会议,但是特定位置的用户可能更喜欢使用Zoom并运行该解决方案,尽管该解决方案不在企业政策范围内。
但是,即使这种看似无害的推理也可能有风险。
例如,网络安全厂商迈克菲(McAfee)公司最近的一项研究发现,在GooglePlay商店中有144个应用程序暗藏一种名为Grabos的恶意软件。该病毒在每个应用程序中被无害地伪装成音频播放器,只是在超过1700万次下载后才被发现。
团队可能不会担心员工的手机最初被病毒感染,但当该手机位于企业网络上时,该病毒可以从受感染的设备访问安全应用程序使用的合法业务和客户数据。
尽管如此,不仅仅是恶意软件的威胁应该让网络团队担心影子IT。当这种做法越来越多时,通常是对现有政策和工具越来越不满的反应。
此外,当未经批准的应用程序占用为批准的工具计划的网络容量,从而影响这两个过程的性能时,用户可能会对自己的不满负责。如果团队不知不觉地在各种各样的设备上利用大量带宽密集的UCaaS解决方案,而不是坚持使用企业IT团队认可的轻量级工具集,那么当网络带宽正在提供足够的性能时,就不会有赢家。因为延迟和抖动问题开始引起重大中断。
这一切都应立即触发企业IT部门重新考虑其网络和应用程序管理方法,包括首先确定IT将网络容量分配给哪些应用程序。
为了掌握团队如何对影子IT有所了解并适当解决,团队需要采取以下步骤。
(1)了解企业完整的应用程序环境。
当网络团队无法看到利用总网络容量的所有应用程序时,这不仅使其对正在使用的潜在恶意应用程序视而不见,还限制了对非关键应用程序如何影响重要应用程序性能的可见性。即使是员工使用替代解决方案来完成工作的问题,了解员工习惯与企业政策规定的内容也可以帮助IT部门重新考虑他们如何分配网络容量。
不幸的是,在当今时代,许多团队利用许多网络管理工具来简化管理,这往往使网络可见性变得至关重要。例如,SD-WAN服务是专门为帮助团队管理越来越多的远程位置而设计的,而云计算解决方案则可以掩盖流量通过的基本路径。SD-WAN解决方案是一个黑盒,可自行决定如何路由每个应用程序会话。这些产品中的许多产品都做得很好,但是它们对WAN的关注限制了它们对完整的最终用户体验的可见性,因此建议采用带有第三方监视功能的信任但验证的方法。如果不了解参与传输流量的自治系统和网络服务提供商(ISP),团队将不知道性能问题发生在哪里,他们也肯定无法确定哪些应用程序或网络的某些部分会导致性能下降或影响最终用户。
因此,团队需要采用全面的网络监控解决方案来重新获得这种可见性,并相应地识别应用程序。对利用网络容量的所有工具进行完整的可视化是了解企业影子IT问题的范围并开始评估根本原因的重要起点。
(2)制定基准性能并探索其他解决方案。
在成功掌握了企业的应用领域之后,IT部门应利用这些知识来探索哪些解决方案/策略一直在起作用,同时着重指出需要改进的地方。例如,如果团队放弃一个协作工具而采用另一协作工具,那么IT部门应评估这是否仅仅是用户偏好问题,还是实际上可以解决的性能问题,IT部门可以解决这个问题,以帮助所有用户重回同一页面。同样,如果影子IT推出了更具吸引力的新解决方案,则可能是IT做出转变的时候了。这里的附带好处是,如果团队发现了一项确实运行良好的服务,其他团队则可以从中受益,IT部门可以合并使用中的工具以获得更好的定价。
(3)使用新获得的可见性来帮助实施新策略。
总而言之,这一切真的非常简单。企业IT需要全面的网络视图和全面的可见性才能有效。这不一定意味着要专门为监管最终用户并使他们承担任务而投入人力。取而代之的是,团队需要采用轻量级(即低带宽且易于控制)的解决方案,这些解决方案可以从单个控制平台中提供实时洞察。
如果用户发现了解决方案,而不是企业IT批准的用于同一任务的工具,则IT应该重新评估并开始淘汰旧服务,以替代用户首选的服务。当涉及到非商业应用程序在整个网络容量中所占的份额太大时,团队可能需要开始识别应该被禁止进入网络的用户和应用程序(或者至少考虑到有限的网络访问)。
借助持续不断的主动可见性,IT部门将知道恶意应用程序何时在网络上弹出以及应向谁发送消息。但是,IT团队不应采取管制策略,而应以此为契机,在最初转向影子IT的部门之间建立桥梁、推荐新工具或在性能下降时主动提供帮助。