一項(xiàng)由NASA監(jiān)察事務(wù)辦公室（簡(jiǎn)稱OIG）發(fā)起的審計(jì)發(fā)現(xiàn)，NASA早期實(shí)施的公有云計(jì)算遷移工作存在諸多已知弊端，并指出其缺乏監(jiān)督手段與必要的合約管理措施。

 

此次審計(jì)只涵蓋了NASA整體計(jì)算基礎(chǔ)設(shè)施中的一小部分，但相信云計(jì)算會(huì)在不久的將來(lái)發(fā)揮越來(lái)越重要的作用。如果NASA方面不盡快建立一套更加協(xié)調(diào)統(tǒng)一的云計(jì)算戰(zhàn)略，安全威脅很可能鋪天蓋地涌來(lái)。

 

值得一提的是，NASA曾經(jīng)與Rackspace公司一道創(chuàng)立了開(kāi)源云項(xiàng)目OpenStack，并于2012年推出了Nebula私有云。不過(guò)在五個(gè)月的調(diào)查研究后，他們發(fā)現(xiàn)Azure以及Amazon Web Services的執(zhí)行效率更出色。

 

在高達(dá)15億美元的年度預(yù)算中，NASA僅為云計(jì)算項(xiàng)目拿出了1000萬(wàn)美元。但審計(jì)報(bào)告稱，NASA方面希望在未來(lái)五年內(nèi)將75%的新型IT項(xiàng)目與云體系對(duì)接，甚至打算把幾乎來(lái)自全部機(jī)構(gòu)的公共數(shù)據(jù)交付云環(huán)境。報(bào)告同時(shí)補(bǔ)充稱，將有高達(dá)四成的傳統(tǒng)系統(tǒng)被遷移至云平臺(tái)。

 

根據(jù)報(bào)告的說(shuō)法，NASA的CIO辦公室根本不了解所在機(jī)構(gòu)曾經(jīng)收購(gòu)過(guò)哪些云服務(wù)、也不清楚他們采用了哪些服務(wù)供應(yīng)商。在大多數(shù)情況下，向公有云遷移的流程并沒(méi)有經(jīng)過(guò)中央辦公室的協(xié)調(diào)或監(jiān)管。

 

 

審計(jì)師們?cè)u(píng)估了五份NASA合約，并發(fā)現(xiàn)“沒(méi)有一份符合業(yè)界推薦的最佳數(shù)據(jù)安全實(shí)踐”。這些文件根本沒(méi)有清晰界定分包商該如何審核、報(bào)告并實(shí)現(xiàn)服務(wù)性能，也沒(méi)有提及分包商是否需要解決政府隱私、數(shù)據(jù)發(fā)現(xiàn)與保留以及銷毀等問(wèn)題。

 

在四份合約中，NASA主要使用了云服務(wù)供應(yīng)商提供的標(biāo)準(zhǔn)格式合同，這根本無(wú)法滿足以上特殊需求。即使是在由NASA起草的惟一一份合約中，也沒(méi)有強(qiáng)調(diào)政府機(jī)構(gòu)IT安全需求的相關(guān)條目。

 

“因此，這五份合約所涉及的美國(guó)宇航局系統(tǒng)與數(shù)據(jù)很可能遭遇由違規(guī)引發(fā)的安全風(fēng)險(xiǎn)，”NASA OIG指出。

 

此外，NASA還利用某款第三方云服務(wù)支持機(jī)構(gòu)內(nèi)外共一百多套網(wǎng)站，而且在兩年使用過(guò)程中一直沒(méi)有與供應(yīng)商簽訂書(shū)面授權(quán)或者安全應(yīng)急預(yù)案。服務(wù)的每一次年度測(cè)試都無(wú)疾而終，一旦云服務(wù)遭遇泄露事故引發(fā)的“中度影響”，NASA方面將受到“嚴(yán)重威脅”。

 

根據(jù)審計(jì)報(bào)告，NASA的門(mén)戶網(wǎng)站（WestPrime）合約由InfoZen提供，簽訂于2012年，且完全遵循聯(lián)邦政府風(fēng)險(xiǎn)與授權(quán)管理計(jì)劃（簡(jiǎn)稱FedRAMP），可惜這套模板并沒(méi)有在機(jī)構(gòu)的其它領(lǐng)域廣泛鋪開(kāi)。

 

不過(guò)NASA對(duì)政府的“云計(jì)算優(yōu)先”倡議非常滿意，并通過(guò)多項(xiàng)云遷移項(xiàng)目在第一年就節(jié)約了100萬(wàn)美元，而且目前已經(jīng)同意加快推出系統(tǒng)化云戰(zhàn)略。

 

NASA新近任命的CIO Larry Sweet對(duì)審計(jì)報(bào)告中的六項(xiàng)建議表示贊同，其中包括實(shí)施企業(yè)級(jí)云計(jì)算戰(zhàn)略、廣泛使用與WestPrime相當(dāng)?shù)膰?yán)謹(jǐn)合約、確保將安全合規(guī)性與測(cè)試機(jī)制普及到所有云服務(wù)當(dāng)中。Sweet指出，這些建議確實(shí)具備可操作性，但最終結(jié)果仍取決于“資金預(yù)算的劃撥力度”。