一項由NASA監(jiān)察事務(wù)辦公室（簡稱OIG）發(fā)起的審計發(fā)現(xiàn)，NASA早期實施的公有云計算遷移工作存在諸多已知弊端，并指出其缺乏監(jiān)督手段與必要的合約管理措施。

 

此次審計只涵蓋了NASA整體計算基礎(chǔ)設(shè)施中的一小部分，但相信云計算會在不久的將來發(fā)揮越來越重要的作用。如果NASA方面不盡快建立一套更加協(xié)調(diào)統(tǒng)一的云計算戰(zhàn)略，安全威脅很可能鋪天蓋地涌來。

 

值得一提的是，NASA曾經(jīng)與Rackspace公司一道創(chuàng)立了開源云項目OpenStack，并于2012年推出了Nebula私有云。不過在五個月的調(diào)查研究后，他們發(fā)現(xiàn)Azure以及Amazon Web Services的執(zhí)行效率更出色。

 

在高達15億美元的年度預算中，NASA僅為云計算項目拿出了1000萬美元。但審計報告稱，NASA方面希望在未來五年內(nèi)將75%的新型IT項目與云體系對接，甚至打算把幾乎來自全部機構(gòu)的公共數(shù)據(jù)交付云環(huán)境。報告同時補充稱，將有高達四成的傳統(tǒng)系統(tǒng)被遷移至云平臺。

 

根據(jù)報告的說法，NASA的CIO辦公室根本不了解所在機構(gòu)曾經(jīng)收購過哪些云服務(wù)、也不清楚他們采用了哪些服務(wù)供應(yīng)商。在大多數(shù)情況下，向公有云遷移的流程并沒有經(jīng)過中央辦公室的協(xié)調(diào)或監(jiān)管。

 

 

審計師們評估了五份NASA合約，并發(fā)現(xiàn)“沒有一份符合業(yè)界推薦的最佳數(shù)據(jù)安全實踐”。這些文件根本沒有清晰界定分包商該如何審核、報告并實現(xiàn)服務(wù)性能，也沒有提及分包商是否需要解決政府隱私、數(shù)據(jù)發(fā)現(xiàn)與保留以及銷毀等問題。

 

在四份合約中，NASA主要使用了云服務(wù)供應(yīng)商提供的標準格式合同，這根本無法滿足以上特殊需求。即使是在由NASA起草的惟一一份合約中，也沒有強調(diào)政府機構(gòu)IT安全需求的相關(guān)條目。

 

“因此，這五份合約所涉及的美國宇航局系統(tǒng)與數(shù)據(jù)很可能遭遇由違規(guī)引發(fā)的安全風險，”NASA OIG指出。

 

此外，NASA還利用某款第三方云服務(wù)支持機構(gòu)內(nèi)外共一百多套網(wǎng)站，而且在兩年使用過程中一直沒有與供應(yīng)商簽訂書面授權(quán)或者安全應(yīng)急預案。服務(wù)的每一次年度測試都無疾而終，一旦云服務(wù)遭遇泄露事故引發(fā)的“中度影響”，NASA方面將受到“嚴重威脅”。

 

根據(jù)審計報告，NASA的門戶網(wǎng)站（WestPrime）合約由InfoZen提供，簽訂于2012年，且完全遵循聯(lián)邦政府風險與授權(quán)管理計劃（簡稱FedRAMP），可惜這套模板并沒有在機構(gòu)的其它領(lǐng)域廣泛鋪開。

 

不過NASA對政府的“云計算優(yōu)先”倡議非常滿意，并通過多項云遷移項目在第一年就節(jié)約了100萬美元，而且目前已經(jīng)同意加快推出系統(tǒng)化云戰(zhàn)略。

 

NASA新近任命的CIO Larry Sweet對審計報告中的六項建議表示贊同，其中包括實施企業(yè)級云計算戰(zhàn)略、廣泛使用與WestPrime相當?shù)膰乐敽霞s、確保將安全合規(guī)性與測試機制普及到所有云服務(wù)當中。Sweet指出，這些建議確實具備可操作性，但最終結(jié)果仍取決于“資金預算的劃撥力度”。