Shadow IT je súbor zariadení, aplikácií a služieb prevádzkovaných na vašej sieti bez vedomia alebo súhlasu IT oddelenia. Nie je to teoretické riziko — vo väčšine organizácií už je prítomné. Otázkou je, či ho vidíte.
Prečo je shadow IT problém
Nespravované zariadenia vytvárajú tri kategórie rizika:
- Bezpečnosť — zariadenie, o ktorom neviete, je zariadenie, ktoré nepatchujete. Môže bežať na zastaranom firmware, mať predvolené prístupové údaje alebo mu úplne chýbať ochrana endpointov.
- Licencovanie — softvér nainštalovaný na nespravovaných strojoch je softvér, ktorý nesledujete. Pri vendorovom audite sa tieto inštalácie počítajú proti vášmu súladu, či ste ich autorizovali alebo nie.
- Podpora — keď nespravované zariadenie spôsobí sieťový problém (IP konflikt, rogue DHCP, saturácia šírky pásma), riešenie problému začína otázkou „čo je toto a kto to sem dal?" Táto otázka stojí hodiny.
Ako GLPI nachádza nespravované zariadenia
Sieťové objavovanie GLPI agenta skenuje definované IP rozsahy a hlási každé zariadenie, ktoré odpovie — cez SNMP, NetBIOS alebo ping. Každé objavené zariadenie sa porovnáva s existujúcimi inventárnymi záznamami. Ak sa MAC adresa alebo sériové číslo zhoduje s existujúcim aktívom, záznamy sa automaticky prepoja. Ak zhoda neexistuje, zariadenie pristane v zozname Nespravované zariadenia — váš detekčný kanál pre shadow IT.
Nastavenie objavovania pre detekciu shadow IT
Nakonfigurujte GLPI agenta na skenovanie celého vášho spravovaného IP priestoru, nielen subnetov, kde zariadenia očakávate. Shadow IT sa skrýva v rozsahoch, do ktorých sa nepozeráte.
Postup krok za krokom
- Definujte IP rozsahy v GLPI pokrývajúce všetky produkčné subnety vrátane hostových a IoT VLAN
- Priraďte SNMP prístupové údaje pre každý rozsah (aj keď niektoré rozsahy budú odpovedať len na ping, SNMP dotaz obohatí dáta pre zariadenia, ktoré odpovedia)
- Povoľte úlohu
netdiscoveryna minimálne jednom agentovi v každom sieťovom segmente - Nastavte plán objavovania — denný interval je dobrý kompromis medzi viditeľnosťou a zaťažením siete
- Nakonfigurujte notifikačné pravidlá na upozornenie IT tímu, keď sa objavia nové nespravované zariadenia
Krok s notifikáciou je kritický. Dáta z objavovania, ktoré ležia neprezerané v zozname, neprinášajú hodnotu. Email sieťovému tímu hovoriaci „3 nové neznáme zariadenia nájdené na VLAN 40" premieňa pasívne dáta na aktívne vyšetrovanie.
Ako nakladať s objavenými-ale-nespravovanými aktívami
Keď sa objaví nové neznáme zariadenie, workflow by mal sledovať konzistentný vzor:
- Identifikujte — pomocou prefixu výrobcu MAC adresy (OUI) a akýchkoľvek SNMP dát určte, čo zariadenie je. Raspberry Pi na engineeringovej VLAN je iná konverzácia ako neznáma HP tlačiareň v lobby.
- Lokalizujte — sledujte MAC adresu k switch portu, ak máte LLDP/CDP dáta. Ak treba, zariadenie fyzicky nájdite.
- Rozhodnite — patrí toto zariadenie do siete? Ak áno, importujte ho do GLPI ako spravované aktívum, priraďte mu vlastníka a lokalitu a aplikujte príslušné bezpečnostné politiky. Ak nie, odpojte ho a vyšetrite, ako sa tam dostalo.
- Zdokumentujte — či zariadenie prijmete alebo odstránite, zaznamenajte rozhodnutie. Tým sa buduje inštitucionálna znalosť o hraniciach vašej siete.
Ako to urobiť udržateľným
Shadow IT nie je jednorazové upratovanie — je to priebežný proces. Ľudia budú naďalej zapájať osobné routery a pripájať testovacie zariadenia. Cieľom nie je zabrániť všetkému, ale detekovať to do 24 hodín a vedome sa rozhodnúť o každom zariadení.
Objavovanie GLPI beží podľa plánu a zoznam nespravovaných zariadení sa aktualizuje automaticky. Skombinujte to s notifikačnými pravidlami a triážnym procesom a máte kontrolu, ktorá udržuje vašu CMDB poctivú a perimeter vašej siete definovaný.