如果你的企业有一个不称职的管理员，你的整个云基础设施都会受到威胁。那么你该采取何种保护措施呢？

通常我都是在孩子们早上上学以后写点东西。但是今天早上，我从办公室偷溜出来，手里拿了杯咖啡，腿上放着我的Mac。因为我从一个参加了在伦敦召开的IP Expo展会的人那里听到了一件非常令人不安的影子IT故事，我想在飞过大西洋之前先把这件事记录到磁盘上。

事情是这样的：我不是一个悲观主义者，我认为专业的IT团队只要有信心，有自己的做事逻辑，再给他们一些时间，他们就能解决所有问题，毕竟他们拥有主动权。但是，这是一个关于云计算问题的例子，在细节很清晰的时候我们要认真探讨一下。

我们都太熟悉影子IT了：它是指企业内一些懂得相关技术的内部人员未经IT部门同意，甚至是违反企业政策所做的一些危险操作。你是否经常发现YADBA（另一种Dropbox账户），尽管每个员工都签署了不准泄露出货单据信息的协议？幸运的是，Dropbox问题相对来说很容易解决，只需要在你的数据中心中提供一个可接受的安全文件共享应用程序的替代方案，然后使用数据包检测、应用程序特征检测或NetFlow来访问控制列表，或者把它从企业中剔除。

上千个账单让IT部门无计可施

但是，我从IP Expo展会听到的例子是，它已经完全偏离了应用程序使用条例，甚至是IaaS案例管理。要注意，由于其毫无预警，所以它可能发生在任何规模的企业中。 概括地说就是，一个业余网络开发人员或内容管理系统管理员认为他发现了一种让客户跟踪客户订单的完成进度的不错方式。他获批得到采购订单，然后打开了一个重要供应商的IaaS账户。他还建立了一个差强人意的应用程序，包括移动响应布局。最后，IT还帮助他设置了一个VPN连接到他的虚拟私有云（VPC）上，这样他就可以在公司网络上访问数据服务API。客户很高兴，管理也很方便。但是，唯一的问题是，他收到了航空公司给他的信用卡发来的飞行距离数据，注意，是给他的个人信用卡。

你可能不愿意看到最后一句话，因为你知道这意味着什么。

意识到该问题严重性的第一个迹象并不是该管理员又干了一段时间离职去了其它公司。而是两个月后，他的默认邮箱webhelp@thecompanyisscrewd.com开始收到各种邮件。真正严重的是，超链接和全球范围内的跟踪网站都下线了。起初这还没有引起公司的恐慌，只是以为网站崩溃，然后找管理员来修复就可以了。但是后来这个问题一再重复发生。很快，网络运营团队意识到问题不是来自主机托管，而是在混合云中。

它只是互联网上的一个IP地址，现在没有什么比一个完全不知道的生产系统更让人头疼的了。整个账户，包括机器实例、存储、关系型数据库和VPN端点已经完全被清空了。

结果就是“账户户主”删除了他的个人账户信息，然后给初级IT管理员发了一封独立的邮件，提醒他得到一个企业为其账户设置的卡。管理员认为他做的天衣无缝，但是在采购订单的问题上遇到了问题。云服务提供商只保证这个账户安全运行了60天，然后引爆了这颗安全的定时炸弹。这时，IT部门恳求供应商修复这个问题，但是最终得到的答案却是：这个账户是个人所有，无论它连接到DNS解析还是跨网络接口的标识和版权，他们都没有过户。

错失了“照亮”影子IT的机会

事后来看，这个问题其实应该像让Dropbox下线一样容易，可能比这更简单。除了要检测可以清楚显示所交易的供应商的VPN，IT还提供了VPC VPN，并且给DNS添加了所需的新子域。他们最终失败了不是因为他们没有做，而是他们从一开始就不知道自己哪里不懂。他们没有一个合理的服务审核过程，来判断企业在云端享有的服务。这样他们就不能跟踪开发权限或管理权限或强制执行的标准文档。

幸运的是，该公司几天后又重新上线了，因为造成这种局面的那个家伙还有的救，他在用完IT可以服务的核定存储账户前做了备份。这个公司也算是比较幸运，在这个事件之后他们也做出了实质性的改变。管理者实施了新的审计程序，并且开始认真扫描流量，以识别现有网站上的未知服务，更重要的是，他们越来越怀疑影子IT了。

至于我，我知道自己回到Austin以后马上要做的事了。