Amióta megjelentek a különböző, gyakran ingyenes felhőszolgáltatások, egyre nagyobb gondot okoz az ún. shadow IT a vállalatoknál. A CIO-knak számolniuk kell azzal, hogy az alkalmazottak, sőt akár egész részlegek kezdenek használni olyan felhős alkalmazásokat, melyek fölött az informatikának nincs kontrollja.

Felhőszolgáltatás az irányítás visszaszerzéséhez

A Cisco tegnap jelentette be új felhőszolgáltatását, a Cloud Consumption as a Service-t. A szolgáltatás a hálózati forgalom elemzésére építve feltérképezi és kontrollálja is a vállalatnál használt publikus felhőszolgáltatásokat, így a vállalat ígérete szerint visszaadja a felügyeletet a CIO-k kezébe az olyan rendszerek fölött is, melyeket az alkalmazottak az informatikai részleg jóváhagyása nélkül használnak munkájukhoz.

Ezáltal lehetőség lesz arra, hogy az egyes szolgáltatásokat jobban össze lehessen hangolni, és a valóban szükségeseket be lehet emelni a hivatalosan is elfogadott szolgáltatások körébe. Ez egyfajta megoldás lenne arra, hogy az IT rugalmasabban tudjon kielégíteni üzleti igényeket, miközben csökkenne az árnyék IT-ból eredő kockázat. Emellett egyszerűsíti a felhőmenedzsmentet, és – ami talán az egyik legnyomósabb érv – a felhőköltségek mintegy 15 százalékos csökkentését is eredményezheti. Természetesen a Cisco ígérete szerint.

A szolgáltatás havidíjas konstrukcióban vásárolható meg, az üzletméret függvényében alkalmazottanként 1 és 2 dollár közötti áron. A szolgáltatásnak kipróbálására egy 30 napos ingyenes próbaverzió ad lehetőséget. A Cisco régebb óta foglalkozik a problémával. Tavaly például a felhős biztonsági megoldásokat fejlesztő Elastica nevű céggel kötött megállapodást, amelynek  Elastica CloudSOC alkalmazásai az audittól a historikus tranzakcióvizsgálatig kínálnak megoldásokat a shadow IT-alkalmazásokra.

Rengeteg illegális alkalmazást használnak

A Cisco egy felméréssel is alátámasztotta, hogy érdemes használni a Cloud Consumption as a Service-t. A vállalat blogján közölt adatok elég meredekek.

A kutatás szerint a nagyvállalatoknál átlagosan több mint 1200 egyedi nyilvános felhőszolgáltatás fut, jórészt felügyelet nélkül. Az igazán megdöbbentő azonban az, hogy a megkérdezett IT-vezetők 15-25-ször kevesebbre becsülték a vállalatuknál használt felhőszolgáltatások számát, mint amennyit az utána elvégzett felmérés kimutatott.

Bármennyire is brutálisak ezek a számok, voltaképpen nincs bennük semmi meglepő. A Cloud Security Alliance egy tavalyi felmérése azt hozta ki, hogy a nagyobb, 5000 főnél többet foglalkoztató szervezeteknél a különböző IT-területek vezetőinek mindössze 14 százaléka állította azt, hogy tudja, hány alkalmazást használ a shadow IT a szervezeteben, 83 százalékának viszont elképzelése sincs erről (a maradék 3 százalékot pedig nem is érdekli).

A Cisco kutatása szerint a használt szolgáltatások száma egy év alatt 112 százalékkal nőtt. A gyarapodás üteme azonban gyorsul, erre utal a Cisco szerint, hogy az elmúlt hat hónap alatt viszont már 67 százalékkal nőtt az ilyen szolgáltatások száma. Ez rendkívül nagy kockázatot jelent mind a vállalati adatbiztonságra, mind pedig a megfelelőségre (comliance).

Bár a shadow IT használta nyilvános szolgáltatások egy része ingyenes, mégis komoly költségvonzata van. A kutatás azt állítja, hogy a publikus szolgáltatások rejtett költségei akár 4-8-szor magasabbak lehetnek, mint a felhőszolgáltatásokért hivatalosan kiszámlázott összeg. Ezek a rejtett költségterhek többek között a 4-5-ször magasabb üzleti kockázatokból és a megnövekedett operációs és integrációs költségekből állnak össze. Legkevésbé a hálózati biztonság költségeire hatnak.

Túlzóak-e a Cisco számai?

Bár az köztudott, hogy az árnyák IT egyre nagyobb kihívás a CIO-knak, a Cisco kutatásában szereplő konkrét számokat érdemes fenntartásokkal fogadni, hiszen a felmérés egyértelműen az új szolgáltatás bevezetéséhez kapcsolódik. (Azt meg ugye Churchill óta tudjuk, hogy csak abban a statisztikában szabad hinni, amit mi magunk hamisítunk.) A The Wall Street Journal idézi Cser Andrást, a Forester Research elemzőjét, aki szerint például ezek a számok esetleg az Egyesült Államokban lehetnek igazak, de ő globálisan lényegesen alacsonyabbra teszi a vállalatoknál azoknak a felhős szolgáltatások arányát, melyet az IT nem hagyott jóvá. A DigitalOcean egyik alapító-vezetője, Moisey Uretsky viszont úgy gondolja, a számok elég reálisak lehetnek.

A lap által megkérdezett szakértők abban azonban egyetértenek, hogy az árnyék IT valóban egyre nagyobb probléma, és abban is, hogy ennek egyik fő oka a nyilvános felhőszolgáltatások elburjánzásában keresendő. A felhőszolgáltatások köre ugyanis egyre szélesebb, ma már szinte mindenre van cloudból igénybe vehető megoldás. A webmail, a tárolás vagy az online irodai alkalmazások stb. mellett kifejezetten vállalati célú alkalmazások is egyre nagyobb számban érhetők el.

Másrészt ezekhez a szolgáltatásokhoz nagyon egyszerű hozzáférni, pár kattintás, és gyakorlatilag igénybe vehetők, ha van nethozzáférés. Vonzóak azért is, mert gyorsan bevethetők, hiszen nem kell várni mindenféle jóváhagyási procedúrára, ráadásul így kevesebb surlódást is okoz a bevezetésük.

Egyre többen repülnek rá erre a piacra

Nem a Cisco az első, amely átfogó szolgáltatást vezetett be az árnyék IT kezelésére. Az IBM tavaly szeptemberben mutatta be Cloud Security Enforcer nevű eszközét. Az IBM azonban elsősorban a biztonság felől közelítette meg a kérdést, ugyanis a shadow IT által használt felhős alkalmazások gyakori forrásai az adatszivárgásnak. Azonban az IBM eszköze sem csak az ilyen alkalmazások feltárásával foglalkozik, hanem lehetőséget ad az alkalmazottaknak egy központosított felügyelet révén, hogy önállóan is használjanak külső felhős szolgáltatásokat. A rendszer észleli, ha egy alkalmazott új felhőszolgáltatást kezd használni. Elemzi a szolgáltatás kockázatait, és ha ezen a szűrőn átmegy, akkor jóváhagyja a használatot, illetve a használat szabályozásában is segít.

Az IBM-éhez hasonló a Skyhigh Networks szolgáltatása is, amely szintén a biztonság felől közelít a problémához. A Skyhigh Shadow IT elsősorban a vállalati IT-részelege által nem jóváhagyott szolgáltatások felkutatását, valamint kockázatuk elemzését segíti.