如果你的企業(yè)有一個(gè)不稱(chēng)職的管理員，你的整個(gè)云基礎(chǔ)設(shè)施都會(huì)受到威脅。那么你該采取何種保護(hù)措施呢？

通常我都是在孩子們?cè)缟仙蠈W(xué)以后寫(xiě)點(diǎn)東西。但是今天早上，我從辦公室偷溜出來(lái)，手里拿了杯咖啡，腿上放著我的Mac。因?yàn)槲覐囊粋€(gè)參加了在倫敦召開(kāi)的IP Expo展會(huì)的人那里聽(tīng)到了一件非常令人不安的影子IT故事，我想在飛過(guò)大西洋之前先把這件事記錄到磁盤(pán)上。

事情是這樣的：我不是一個(gè)悲觀主義者，我認(rèn)為專(zhuān)業(yè)的IT團(tuán)隊(duì)只要有信心，有自己的做事邏輯，再給他們一些時(shí)間，他們就能解決所有問(wèn)題，畢竟他們擁有主動(dòng)權(quán)。但是，這是一個(gè)關(guān)于云計(jì)算問(wèn)題的例子，在細(xì)節(jié)很清晰的時(shí)候我們要認(rèn)真探討一下。

我們都太熟悉影子IT了：它是指企業(yè)內(nèi)一些懂得相關(guān)技術(shù)的內(nèi)部人員未經(jīng)IT部門(mén)同意，甚至是違反企業(yè)政策所做的一些危險(xiǎn)操作。你是否經(jīng)常發(fā)現(xiàn)YADBA（另一種Dropbox賬戶(hù)），盡管每個(gè)員工都簽署了不準(zhǔn)泄露出貨單據(jù)信息的協(xié)議？幸運(yùn)的是，Dropbox問(wèn)題相對(duì)來(lái)說(shuō)很容易解決，只需要在你的數(shù)據(jù)中心中提供一個(gè)可接受的安全文件共享應(yīng)用程序的替代方案，然后使用數(shù)據(jù)包檢測(cè)、應(yīng)用程序特征檢測(cè)或NetFlow來(lái)訪(fǎng)問(wèn)控制列表，或者把它從企業(yè)中剔除。

上千個(gè)賬單讓IT部門(mén)無(wú)計(jì)可施

但是，我從IP Expo展會(huì)聽(tīng)到的例子是，它已經(jīng)完全偏離了應(yīng)用程序使用條例，甚至是IaaS案例管理。要注意，由于其毫無(wú)預(yù)警，所以它可能發(fā)生在任何規(guī)模的企業(yè)中。

概括地說(shuō)就是，一個(gè)業(yè)余網(wǎng)絡(luò)開(kāi)發(fā)人員或內(nèi)容管理系統(tǒng)管理員認(rèn)為他發(fā)現(xiàn)了一種讓客戶(hù)跟蹤客戶(hù)訂單的完成進(jìn)度的不錯(cuò)方式。他獲批得到采購(gòu)訂單，然后打開(kāi)了一個(gè)重要供應(yīng)商的IaaS賬戶(hù)。他還建立了一個(gè)差強(qiáng)人意的應(yīng)用程序，包括移動(dòng)響應(yīng)布局。最后，IT還幫助他設(shè)置了一個(gè)VPN連接到他的虛擬私有云（VPC）上，這樣他就可以在公司網(wǎng)絡(luò)上訪(fǎng)問(wèn)數(shù)據(jù)服務(wù)API?？蛻?hù)很高興，管理也很方便。但是，唯一的問(wèn)題是，他收到了航空公司給他的信用卡發(fā)來(lái)的飛行距離數(shù)據(jù)，注意，是給他的個(gè)人信用卡。

你可能不愿意看到最后一句話(huà)，因?yàn)槟阒肋@意味著什么。

意識(shí)到該問(wèn)題嚴(yán)重性的第一個(gè)跡象并不是該管理員又干了一段時(shí)間離職去了其它公司。而是兩個(gè)月后，他的默認(rèn)郵箱webhelp@thecompanyisscrewd.com開(kāi)始收到各種郵件。真正嚴(yán)重的是，超鏈接和全球范圍內(nèi)的跟蹤網(wǎng)站都下線(xiàn)了。起初這還沒(méi)有引起公司的恐慌，只是以為網(wǎng)站崩潰，然后找管理員來(lái)修復(fù)就可以了。但是后來(lái)這個(gè)問(wèn)題一再重復(fù)發(fā)生。很快，網(wǎng)絡(luò)運(yùn)營(yíng)團(tuán)隊(duì)意識(shí)到問(wèn)題不是來(lái)自主機(jī)托管，而是在混合云中。它只是互聯(lián)網(wǎng)上的一個(gè)IP地址，現(xiàn)在沒(méi)有什么比一個(gè)完全不知道的生產(chǎn)系統(tǒng)更讓人頭疼的了。整個(gè)賬戶(hù)，包括機(jī)器實(shí)例、存儲(chǔ)、關(guān)系型數(shù)據(jù)庫(kù)和VPN端點(diǎn)已經(jīng)完全被清空了。

結(jié)果就是“賬戶(hù)戶(hù)主”刪除了他的個(gè)人賬戶(hù)信息，然后給初級(jí)IT管理員發(fā)了一封獨(dú)立的郵件，提醒他得到一個(gè)企業(yè)為其賬戶(hù)設(shè)置的卡。管理員認(rèn)為他做的天衣無(wú)縫，但是在采購(gòu)訂單的問(wèn)題上遇到了問(wèn)題。云服務(wù)提供商只保證這個(gè)賬戶(hù)安全運(yùn)行了60天，然后引爆了這顆安全的定時(shí)炸彈。這時(shí)，IT部門(mén)懇求供應(yīng)商修復(fù)這個(gè)問(wèn)題，但是最終得到的答案卻是：這個(gè)賬戶(hù)是個(gè)人所有，無(wú)論它連接到DNS解析還是跨網(wǎng)絡(luò)接口的標(biāo)識(shí)和版權(quán)，他們都沒(méi)有過(guò)戶(hù)。

錯(cuò)失了“照亮”影子IT的機(jī)會(huì)

事后來(lái)看，這個(gè)問(wèn)題其實(shí)應(yīng)該像讓Dropbox下線(xiàn)一樣容易，可能比這更簡(jiǎn)單。除了要檢測(cè)可以清楚顯示所交易的供應(yīng)商的VPN，IT還提供了VPC VPN，并且給DNS添加了所需的新子域。他們最終失敗了不是因?yàn)樗麄儧](méi)有做，而是他們從一開(kāi)始就不知道自己哪里不懂。他們沒(méi)有一個(gè)合理的服務(wù)審核過(guò)程，來(lái)判斷企業(yè)在云端享有的服務(wù)。這樣他們就不能跟蹤開(kāi)發(fā)權(quán)限或管理權(quán)限或強(qiáng)制執(zhí)行的標(biāo)準(zhǔn)文檔。

幸運(yùn)的是，該公司幾天后又重新上線(xiàn)了，因?yàn)樵斐蛇@種局面的那個(gè)家伙還有的救，他在用完IT可以服務(wù)的核定存儲(chǔ)賬戶(hù)前做了備份。這個(gè)公司也算是比較幸運(yùn)，在這個(gè)事件之后他們也做出了實(shí)質(zhì)性的改變。管理者實(shí)施了新的審計(jì)程序，并且開(kāi)始認(rèn)真掃描流量，以識(shí)別現(xiàn)有網(wǎng)站上的未知服務(wù)，更重要的是，他們?cè)絹?lái)越懷疑影子IT了。

至于我，我知道自己回到Austin以后馬上要做的事了。