企业是否需要保护未经授权使用的云服务？

IT部门面临的最新挑战之一是：对于在企业不知情、未经企业许可或不受企业控制的情况下，员工在公共云共享或存储的敏感企业信息，对此，企业应该如何保护?一项最新调查显示出“山寨”云带来的严重安全问题。

在安全供应商赛门铁克的调查中，超过超过75%的受访表示他们的员工在公共云服务中共享或存储敏感企业信息。该报告（“避免云计算的隐性成本2013”）调查了29个国家的3236家企业，发现83%的大型企业和70%中小企业在使用这些山寨云服务。

山寨云是指不属于企业IT基础设施组成部分，且在企业不知情、未经企业许可或控制的情况下被使用的公共云服务。

“可能销售经理在签署Salesforce服务时，而没想过要咨询IT部门，”该报告中举例称，“或者也许营销部门通过未经授权的Dropbox账户与外部供应商共享重要的资料。在这两种情况中，企业都在不监管的情况下将敏感信息防到公共云服务中。”

赛门铁克公司全球云计算高级产品营销经理Dave Elliott表示，这也被称为“影子IT”，但我们认为山寨云更生动。

在最近几年，这一趋势正在显著发展，IT部门也越来越意识到这个问题。Elliott表示：“在过去几年里，这已经成为一个重大的威胁。”

这种威胁不仅是理论上的。赛门铁克报告称，在部署了山寨云服务的受访者中，40%遭遇了机密信息泄露事故，超过四分之一面临账户盗用问题或产品和服务盗窃问题。

此外，40%的受访者表示，他们在云中丢失了数据，而不得不从备份中恢复数据。而这些企业中，三分之二的企业看到恢复操作失败。

其他最新调查也得出了类似的结论。大约两个月前企业存储管理公司Nasuni发布的报告称，20%的企业用户在使用Dropbox来共享和存储工作文件。这样做的人中有一半人知道这违反了企业的政策。

专家称，导致这个问题的重要原因是，与企业内部部署的服务相比，山寨云服务更简单更便捷。赛门铁克报告称：“最普遍的原因是节省时间和金钱，而咨询IT只会让事情变得复杂。”

并且，这个问题并不是简单地禁止使用未经批准的云服务就能解决的。

“人们试图寻找最方便的方式，”Wave Systems副总裁Edy Almer表示，“对于不愿意炒掉优秀员工来‘杀鸡儆猴’的企业，最好采用强制性技术措施来支持书面政策。”

国际电脑安全协会实验室(ICSA Labs)云安全服务项目经理Vinny Sakore表示：“请记住，这里的问题不是关于自动化，而是关于人类行为，我们人类是很灵活的，常常有很多奇思妙想。”

Veracode研究副总裁Chris Eng表示，在技术上，IT部门可以简单地从企业网络组织开放云服务，但人们总是想得出办法来绕道而行。

“例如，人们把工作带回家，他们也许会直接访问Dropbox，或者切换到很多其他云存储服务，例如Box或SkyDrive，”他表示，“现在你的企业敏感信息被防盗几个云服务中，人们总能找到方法来规避企业政策。”

除此之外，这种“携带自己的云服务”也有一些好处。Proofpoint技术副总裁Andres Kohn表示，“首席执行官们看到了很多这些服务的生产和成本效益，他们可能没有意识到风险。”

Dave Elliott表示没有回头路可走，“你并不会想要阻止它，这能够提高生产效率，推动业务。”

Elliott和其他专家认为需要由IT来降低相关风险。“在这一趋势的前沿的企业已经安排了首席信息安全官的职位，这些人的作用不是在于说‘不’，而应该说‘好的，你可以以这种方式安全地访问服务。’”

Elliott说，除了书面的政策，安全意识培训和监督，企业可以选择不同类别的某些公共云服务。一些企业还可以创建于主流公共云一样简单便捷的内部云服务。

理想的情况是，IT部门为用户使用任何云服务提供无缝连接，同时在上面部署分层可视性和控制。Elliott表示，这需要包括数据加密和“让企业管理密钥，而不是服务供应商”。

Eng指出，大多数员工只是想更快更好地完成其工作，企业需要意识到这一点。