【MarketTrend】如何控制影子IT的风险

作者：Palo Alto Networks香港及澳门区域总经理王衍恒

影子 IT（Shadow IT）其实不足为惧。这是指一些不在机构 IT 部门掌控下的 IT 装置、软件及服务。根据 IDC 的调查指出，影子 IT 形成的两大主因包括：IT 供应商的推广延伸至商务用户，以及业务流程主管要求加快 IT 项目的进度。

在这个时代，SaaS（软件即服务）供应商代替企业管理的数据持续增加。可想而知，这些云端服务为机构提供近乎即时存取以至其他进阶功能，使企业能够在竞争中领先。既然如此，企业对影子 IT 应该采取务实的态度 ─ 如何更佳地支援业务需要，同时控制风险。

新世代防火墙最能帮忙
一个有效的策略必须考虑两个现实问题。首先，大部分安全操作缺乏用来监察机构使用 SaaS 服务所需的透明度，简单来说就是企业不能控制所看不见的东西。这并非指企业需要在公司翻箱寻找及堵截违规的云端使用者，这样某程度上很可能影响业务增长。但是，企业可能想辨识使用者的习惯，以便在推动特定的服务。

如果这些服务对一个团队有利，便很可能惠及全公司，新世代防火墙在这时候便扮演非常独特的角色。因为其设计一方面能够让企业安全地使用与业务相关的应用程序，同时阻截将带来不必要风险的应用程序。为了达致目标，此类防火墙能够识别上千个应用程序，包括建基于 SaaS 平台的程式。

这不但为机构的影子 IT 增加能见度，更是一个建立控制系统的有效方法。在某些情况下，企业可能需要快速判定 SaaS 服务会否带来太高风险，新世代防火墙此时有能力确保用户落实以应用程序和以使用者为基础的保护策略。这为个人（首席执行官或会要求存取他的 Box 账户）、团队（如人力资源部门）或整间公司提供更精细的存取控制功能。一些机构已经把这些政策延伸为合规计划的一部分，而团队在得到存取权限前亦接受基本的使用培训。

需要解决 BYOX 问题
第二个需要正视的实际情况源于 BYOX（Bring Your Own “X”）政策。由 BYOX 应运而生的流动工作团队和持续增加的云端服务，已经完全侵蚀传统的区域界线。新的界线将由两个简单的元素界定：个人身份和可存取的数据。在云端应用程序、保留在企业内的应用程序和用以登入应用程序的装置之间作小心协调，保护新的界线。

对于在公司内上班的员工，可依赖新世代防火墙提高能见度和控制风险，透过更高的透明度确保只使用受认可的 SaaS 服务。

据 Forrester 指出，新世代防火墙在 Zero Trust 架构中可用作网络分段闸关（segmentation gateway）。这有助于透过在敏感数据段建立保护区来防止黑客的入侵（lateral movement）。

识别敏感数据段后，以使用者和应用程序为基础的防火墙策略，便可作出即时的相应调整，确保只有得到授权的人和其装置才可登入。

至于在外、进行流动办公的员工，有三个优先考虑的问题。这些考虑都是基于一个简单的前提：用户应该得到与网络内同等的保护。这由确保装置可以安全地启用为本，同时简化部署和安装。如此一来，可以确保装置被适当地设置，例如使用加强的密码和加密功能。流动员工同样需要如在网络内工作时的保护，免受漏洞和恶意软件的攻击。

最后，企业必须有效控制数据存取和流动，即是透过应用程序、用户、用户的装置来控制登入。数据的流动控制则需要延伸至装置，确保数据保留在获认可的应用程序。

正确部署新世代防火墙，不但可以保护用户免于网络攻击，还可提供必须的透明度，以减低影子 IT 带来的相关风险。这些功能今天以整合解决方案的形式存在于市场。