当今社会可谓是无云无商业活动，从工资单到项目布置，从备份到业务规划。经由多年实践或媒体推广，没人不知道云计算带来好处：节约成本、易于安装、灵活性和移动性等。

然而，它带来了一个大多数组织都难以解决的具有挑战性的安全问题: 云中的影子IT。影子IT指的是由未被IT部门授权或批准的员工或团队使用的硬件或软件。这带来了一种问题：即公司数据被放置在组织的IT部门团队和安全控制提供的保护之外，而且管理者还一无所知。

虽然HR部门不太可能在云工资单服务方面设置影子，但在协作服务方面，如果IT部门审批帐户太慢，员工通常会为他们的最新任务或项目启动一项新服务，或者他们会认为有更好的服务来满足他们的需求。 许多在线协作服务提供免费服务，如提供小团队管理项目，共享文件以及从他们选择的任何设备或位置工作所需的大部分基本功能。 如果新员工从未使用过授权应用程序并且不想浪费时间熟悉其GUI，那么他们也可能采用这种方式。

Everest Group的研究预计，影子IT占大型企业IT支出的50%以上，而Gartner在2016年预测，到2020年，企业遭遇的成功攻击中，有三分之一将发生在影子IT资源上。

如何减少影子IT的威胁？

有很多方法可以解决云中的影子问题，但是需要深度防御才能真正缓解问题。

安全意识培训应突出云中IT影子向组织引入的风险。例如，基于家庭的电子邮件服务器将缺乏本地服务器的所有安全措施和物理保护，并且可能违反各种法律和合规性要求。当员工理解为什么他们只需要使用授权的应用程序时，他们更有可能遵守合规，特别是如果他们意识到不合规的后果。部门，团队和个人也应该有一个易于遵循的程序，以便为新项目申请资源，或者访问其他服务。

单靠政策是不够的。企业需要能够跟踪正在访问的服务，并阻止未授权或支持访问与服务。诸如微软 Cloud App Security，Alpin的云安全工具和CloudCodes的影子T解决方案等工具可以发现用户正在访问的云应用程序并阻止那些未经批准的云应用程序。

通过使用以数据为中心的安全技术可以实现另一层安全性，这些技术可实时提供跟踪和访问控制，例如Vera for files。它可以保护任何类型的数字内容，无论它存储在何处，并使用户即使已经在线复制，转发或共享也可以撤销访问权限。

那些怀疑自己处于IT阴影下的组织应该开诚布公，这样员工就可以进行坦白承认，而不用担心被解雇或其他后果。这将使它能够在采取新措施阻止问题再次蔓延之前控制住问题。这样还可以提供了来发现哪些服务在员工中受欢迎的机会，并就哪些服务最能满足他们的需求达成一致意见，这样服务的值得得到批准和使用。

来源：https://searchcloudsecurity.techtarget.com/tip/Protect-your-enterprise-against-shadow-IT-in-the-cloud

作者：Michael Cobb

 翻译：T媒体

版权声明：

凡本网内容请注明来源：T媒体（http://www.cniteyes.com）”的所有原创作品，版权均属于易信视界（北京）信息科技有限公司所有，未经本网书面授权，不得转载、摘编或以其它方式使用上述作品。

本网书面授权使用作品的，应在授权范围内使用，并按双方协议注明作品来源。违反上述声明者，易信视界（北京）信息科技有限公司将追究其相关法律责任。