挑战还是机遇？无所不在的影子IT

最近准备参加活动，无意之间看到了关于影子IT的说法；感觉自己又Out了，到底什么是影子IT，影子IT对于IT到底意味着什么呢？如果你也不太了解，可以脑补一下这篇文章《面对影子IT为什么CIO更应该高兴》（英文版）。

概括的讲，影子IT就是企业内部的业务人员放弃了使用企业传统的IT系统，通过他们个人设备进入工作环境，或改为采用云服务来存储企业内部资料，或者是使用了没有IT许可Apps或SaaS服务（软件及服务）来进行工作，虽然这个过程中提升了工作效率，但是却不可避免的间接造成了企业信息安全的潜在风险，举例来说企业内部人员使用了外部的网盘存储服务把企业内部资料通过网盘进行存储或共享，最关键一点是IT可能对此并不知情！如果云中的服务供应水平超出了本地IT的输出，就有可能把用户从本地无意识的导向云中，所以在影子IT蔓延的今天，如何做到安全管控又不让用户因为无法获得云中的便利性的协调与平衡是现代化IT需要考虑的关键课程。

所以从IT运维角度来说，首先的出发点应该是假定用户的初衷是好的，是为了更便捷更高效的工作，而不是想恶意突破IT安全的边界，如果我们懂得换位思考，作为IT人员是否自己就曾经做过利用便利条件给自己开放一些特殊权限或特定行为来提高工作效率的事情呢？所以一个更先进和更开放的IT应该首先不是禁止用户的行为，而是看看是否可以通过转换IT的模式，理解用户行为的初衷以及可以带来的好处，以积极的心态来改变IT的结构适应这样的变化，如果你的企业IT可以提供与云中结构更相似的服务，那么影子IT就可以转化为无所不在的IT，恰恰你提供的现代化IT可以更加规范而且更容易获得用户的认同；试想我们提供了类似的灵活的用户可接受的服务不正是可以规范这些可能潜在的安全问题吗？

不过如果我们希望这么做的话，我们首先要做的就是了解业务部门人员他们究竟需要哪些SaaS服务来提高工作效率。那么也许将在中国落地的微软企业移动套件服务可以帮助你回答类似的问题。其中有一个非常核心的特性就是可以通过Azure云中高级活动目录中所包含的云应用发现来跟做和发现所有经由企业防火墙的流量，所有镜像导入到云应用发现中的流量将可以作为边界审计，可以帮助发现和识别业务用户使用的SaaS应用。根据国外经验证明，你可能会发现超出想象范围的数量的应用。Forrester Research曾经调查和审计的一家大型制药企业中发现大量的SaaS账户登录情况，影子IT真是无所不在啊。

按照我们上面的结论，发现了这些问题IT应该采取的方案不是在边界设置阻止黑名单禁止用户使用这些SaaS类应用，那样的话我们的IT简直对用户变成了强盗IT了，这就不是进步反而是退化了。如果我们真这么做的话，那么其结果势必造成用户端再次进行"产业升级"，也许会造成更多隐蔽的或者超过IT控制范围的影子IT，这样就不是我们期望的共赢，简直就是恶性循环了。作为IT转而采用更现代化的进步的方式，思考和归类用户使用这些服务的初衷和诉求，了解其中对提升生产力有效的地方，进一步也让用户了解这些进步中可能带来的对业务潜在的风险所在；通过这样一个双向的环节，其实IT可以了解哪些移动端的应用或者SaaS应用适用于公司业务而当前的IT环境无法提供和满足用户的需求。

简而言之，其实IT与用户，IT与研发共融共栖是最终IT完成自我升级的目标，如果一味采用屏蔽策略对IT来说是完全错误的方向。所以为了在管控与用户使用之间寻找一个新的平衡支点，IT自身发展也需要跟得上时代的需要，不破不立；其实这个寻求和探索的过程也可以帮助IT积累大量的云应用，MDM，激活大量的BYOD，CYOD的应用场景；在这个IT自我升级过程中势必也会让用户体验和IT与业务部门之间的关系从水火有机会变成水乳，当然别笑话我在这里乌托邦了一下：）但是了解了用户可以使用的应用和信息边界，我们也许可以考虑采用类似企业移动套件这样的服务来帮助我们的用户完成在企业内登录AD的同事完成对于SaaS应用的单点登录，SaaS类的应用注册在了企业AD中，我们有能力保护用户的数据和用户的行为在不超越边界的前提下让用户有了更方便和自主的权利； 我们甚至可以通过了解业务部门的需求为他们量身定做云中的企业应用或选择批量购买相应的云中应用来提高生产力，同时也可以避免用户超越了授权范围造成企业的风险。

虽然本文中多次提及了微软的企业移动套件服务，但这并不是用户唯一的选择，这里只是希望借这个个人脑补的博客提供一些思路给IT行业，其实顺势而为方可事半功倍，永远不要作阻碍大潮的角色，真正需要做的是去实践并最终将IT专业内人员自己淬炼成一个云时代的弄潮儿。

方法很多，路在脚下！