解决“Shadow IT”数据库问题

Source: VMware Blog

什么是 Shadow IT？

如果你走在开发部门的走廊（或浏览他们的 Slack 频道），你可能会发现组织中运行的数据库远比你想象的多。它们不在 CMDB 中，也没有被你的统一备份方案备份，更不是由你的团队配置的。它们运行在公有云上，用个人信用卡或自由支配的项目预算支付。

这就是 Shadow IT 的现实。多年来，我们把它当作一种纪律问题——政策遵守的失败。但如果说实话，它实际上是服务交付的失败。开发者并不是出于恶意绕过 IT，而是因为被阻塞。当选择是等待两周的工单处理，还是刷卡在两分钟内获得数据库时，速度往往会赢。

然而，这种便利的代价是巨大的企业风险。每一个“影子”数据库都是一个合规盲点。那个 PostgreSQL 实例是否加密？是否已针对最新的 CVE 打补丁？敏感的客户数据是否存储在违反数据主权法的地区？在零信任的世界里，你无法保护看不见的东西。

“两全其美”方法

解决方案不是通过严苛的政策进一步打压 Shadow IT，而是让内部平台像公有云一样易于使用。这正是 VMware Data Services Manager (DSM) 背后的核心理念。

通过将 DSM 部署为原生 VMware Cloud Foundation (VCF) 高级服务，你可以为开发者提供与 AWS 或 Azure 完全相同的 API 驱动、自助服务体验，只是运行在自己的基础设施上。他们可以在几分钟内获取数据库，直接从你控制的目录中自助供给。这样既满足了他们对敏捷性的需求，也消除了走官方渠道之外的动机。

通过设计实现治理：护栏模型

开发者获得速度的同时，IT 通过 “数据服务策略” 获得控制。你不必手动批准每一个请求，而是在事前定义好游乐场的边界。你可以设定备份频率、维护窗口、存储类别和计算资源的上限。当开发者请求数据库时，只能在这些预先批准的护栏范围内进行供给。

这实际上实现了合规的自动化。你可以确保环境中部署的每一个数据库——无论是用于开发/测试的沙箱，还是关键业务应用——默认遵循公司的安全标准。不存在“流氓”实例，因为平台本身会强制执行规则。

零信任与基础设施集成

通过 VCF 将这些数据库重新带回本地，也能弥补公有云蔓延带来的安全缺口。DSM 直接集成到 VCF 的安全架构中，能够自动为数据库套上 NSX 微分段规则。你可以在网络层面隔离工作负载，确保被攻破的 Web 前端无法随意扫描整个数据库舰队。

此外，你还能消除让 CISO 夜不能寐的 “合规盲点”。使用 DSM，你拥有整个舰队的集中视图，清楚知道运行的版本、所有者以及补丁状态。你可以审计使用情况并强制升级，而无需逐个追踪项目负责人。

战略转型

归根结底，解决 Shadow IT 问题需要思维方式的转变。你必须从“守门人”——拖慢进度的角色，转变为“平台提供者”——加速业务的角色。

通过采用 VMware Data Services Manager，你可以让 Dev 与 Ops 的目标保持一致。开发者获得创新的速度，业务则获得私有云的安全、治理和成本控制。

并不仅仅是把数据带回本地；您正在把云运营模型带到您的数据上。