七月，美國(guó)宇航局NASA(NASA)監(jiān)察長(zhǎng)辦公室(OIG)公布了一份關(guān)于NASA云計(jì)算環(huán)境下云執(zhí)行工作進(jìn)展的審計(jì)報(bào)告。 報(bào)告明確表明，NASA已經(jīng)“發(fā)現(xiàn)IT治理和風(fēng)險(xiǎn)管理實(shí)踐中的弱點(diǎn)，正是這些弱點(diǎn)阻礙了原子能機(jī)構(gòu)充分發(fā)揮云計(jì)算的優(yōu)勢(shì)，并且很可能將NASA存儲(chǔ)在云中的系統(tǒng)和數(shù)據(jù)置于風(fēng)險(xiǎn)中。”

像這種報(bào)表很容易引起關(guān)注，因?yàn)镹ASA是云計(jì)算的先行者：NASA的星云平臺(tái)眾所周知，并且該平臺(tái)通過(guò)支持OpenStack技術(shù)和Rackspace的合作關(guān)系，對(duì)云社區(qū)作出貢獻(xiàn)。因此，當(dāng)一份報(bào)告出來(lái)，并且指出NASA云實(shí)施的安全問(wèn)題，就成了一個(gè)大問(wèn)題。

大部分集中于此問(wèn)題的報(bào)道都忽略了重要的一點(diǎn)：這只是一份審計(jì)報(bào)告。 暫時(shí)先拋開(kāi)報(bào)告的內(nèi)容，出于與審計(jì)過(guò)程相關(guān)的嚴(yán)謹(jǐn)性考慮，也需要出示這樣的報(bào)告。 例如，報(bào)告清楚地表達(dá)了NASA的云計(jì)算戰(zhàn)略，表明審計(jì)機(jī)構(gòu)在戰(zhàn)略層面上對(duì)云計(jì)算的認(rèn)識(shí)和了解。 此外，該報(bào)告明確量化了“影子IT ”(不受內(nèi)部控制的云部署)流行的程度，并進(jìn)一步分析了供應(yīng)鏈，剖析了私有云合同細(xì)節(jié)，再到具體的條款。 因?yàn)榇蠖鄶?shù)組織審查供應(yīng)商與評(píng)估使用云技術(shù)的方法，都有很大的不同，這些內(nèi)容往往不包括在傳統(tǒng)的IT審計(jì)中。

話(huà)雖如此，關(guān)鍵是要關(guān)注公共部門(mén)與私營(yíng)行業(yè)IT審計(jì)之間的不同，尤其是公共部門(mén)與私營(yíng)行業(yè)IT審計(jì)都具有不同程度的外部透明度。盡管對(duì)那些想要準(zhǔn)確評(píng)估大型、復(fù)雜、異構(gòu)云環(huán)境的組織，提出上述警示，但是還有很多從NASA審計(jì)方法中應(yīng)該吸取的教訓(xùn)。具體而言，這些教訓(xùn)是關(guān)于評(píng)估和報(bào)告云使用方面。其中最重要的五條教訓(xùn)如下所示。

***課：了解戰(zhàn)略背景

本報(bào)告的***個(gè)顯著的特點(diǎn)就是詳細(xì)了解云的戰(zhàn)略地位及云為機(jī)構(gòu)帶來(lái)的好處。例如，將云視為關(guān)鍵舉措的組織可能會(huì)發(fā)現(xiàn)在短期內(nèi)，組織的承受風(fēng)險(xiǎn)能力不足，因?yàn)榘踩录?duì)未來(lái)采納產(chǎn)生的影響。因此，提高審計(jì)小組對(duì)云計(jì)算“愿景”的透明度是非常有益的。

第二課：了解歷史

報(bào)告是對(duì)機(jī)構(gòu)內(nèi)技術(shù)使用歷史的了解，對(duì)平臺(tái)、服務(wù)交付模式和供應(yīng)商集什么時(shí)間改變、為什么改變、改變的內(nèi)容等作了詳細(xì)的解釋。了解這些歷史，有助于引導(dǎo)審計(jì)隊(duì)伍到需要加強(qiáng)檢查的領(lǐng)域去。例如，到傳統(tǒng)的領(lǐng)域或者到那些因?yàn)樾碌年P(guān)系，支撐減少的領(lǐng)域。使你的審計(jì)師了解這些，可能會(huì)幫你簡(jiǎn)化審計(jì)程序，提高資源的使用效率，并因此產(chǎn)生更全面、更準(zhǔn)確的輸出。

第三課：分析供應(yīng)鏈

云服務(wù)使用(至少通過(guò)服務(wù)提供商提供的服務(wù))在供應(yīng)鏈管理中，算是一種練習(xí)。 因此，當(dāng)務(wù)之急是，評(píng)估人員將服務(wù)提供商實(shí)際提供服務(wù)的安全性和操作控制與合同要求的安全性和操作控制相比，進(jìn)行評(píng)估。在實(shí)踐中，這兩者通常是不同的。 而且，因?yàn)閮烧咧g的相互作用，對(duì)這兩項(xiàng)內(nèi)容進(jìn)行評(píng)估是有益的。 理想情況下，組織的關(guān)鍵要素，在實(shí)踐中實(shí)施，也會(huì)在合同中列出，了解合同中哪些內(nèi)容達(dá)不到預(yù)期目標(biāo)，對(duì)確定整體風(fēng)險(xiǎn)來(lái)說(shuō)，至關(guān)重要。

第四課：了解所提供服務(wù)的價(jià)值和效果

該報(bào)告單獨(dú)分析了服務(wù)對(duì)機(jī)構(gòu)使命的影響。這很重要，因?yàn)椴粌H指出了所發(fā)現(xiàn)問(wèn)題的嚴(yán)重性，而且綜合考慮了所提供的服務(wù)及其用途。 在實(shí)踐中，企業(yè)經(jīng)常進(jìn)行評(píng)估，卻不知道如何使用服務(wù)或者不知道服務(wù)使用的臨界是什么。對(duì)使用有一個(gè)完整的了解是有益的，有助于審計(jì)團(tuán)隊(duì)優(yōu)化結(jié)果，了解潛在缺陷所帶來(lái)的風(fēng)險(xiǎn)和一些細(xì)節(jié)。

第五課：鼓勵(lì)直接化

評(píng)估報(bào)告的價(jià)值與報(bào)告的清晰度和準(zhǔn)確性成正比。評(píng)估工作通常面臨著緩和語(yǔ)言或者與合格人員發(fā)生沖突的壓力。為了增加準(zhǔn)確性和客觀性，這是有價(jià)值的，但如果是因?yàn)閮?nèi)部政治或者?；ㄕ?，不值得。 最終，評(píng)估的直接和簡(jiǎn)潔對(duì)組織有利，簡(jiǎn)潔性使利益相關(guān)者能夠閱讀并遵循內(nèi)容，而公開(kāi)化則消除了對(duì)讀者作不必要的解釋。

這五條說(shuō)明了在私營(yíng)部門(mén)的經(jīng)驗(yàn)教訓(xùn)，我們可以拿來(lái)學(xué)習(xí)，有助于指導(dǎo)我們?nèi)绾卧u(píng)估云部署。一個(gè)成熟組織的特點(diǎn)，盡管是具有主動(dòng)找出潛在問(wèn)題，直接并明確地解釋問(wèn)題，然后制訂緩解措施來(lái)糾正這些問(wèn)題的能力。但是，每個(gè)云環(huán)境下，即使在技術(shù)上成熟、“開(kāi)創(chuàng)性的”(沒(méi)有雙關(guān)語(yǔ)意)的云計(jì)算組織，例如NASA，也會(huì)遇到安全、風(fēng)險(xiǎn)和法規(guī)遵從等的問(wèn)題。