七月,美国宇航局NASA(NASA)监察长办公室(OIG)公布了一份关于NASA云计算环境下云执行工作进展的审计报告。 报告明确表明,NASA已经“发现IT治理和风险管理实践中的弱点,正是这些弱点阻碍了原子能机构充分发挥云计算的优势,并且很可能将NASA存储在云中的系统和数据置于风险中。”
像这种报表很容易引起关注,因为NASA是云计算的先行者:NASA的星云平台众所周知,并且该平台通过支持OpenStack技术和Rackspace的合作关系,对云社区作出贡献。因此,当一份报告出来,并且指出NASA云实施的安全问题,就成了一个大问题。
大部分集中于此问题的报道都忽略了重要的一点:这只是一份审计报告。 暂时先抛开报告的内容,出于与审计过程相关的严谨性考虑,也需要出示这样的报 告。 例如,报告清楚地表达了NASA的云计算战略,表明审计机构在战略层面上对云计算的认识和了解。 此外,该报告明确量化了“影子IT ”(不受内部 控制的云部署)流行的程度,并进一步分析了供应链,剖析了私有云合同细节,再到具体的条款。 因为大多数组织审查供应商与评估使用云技术的方法,都有很大 的不同,这些内容往往不包括在传统的IT审计中。
话虽如此,关键是要关注公共部门与私营行业IT审计之间的不同,尤其是公共部门与私营 行业IT审计都具有不同程度的外部透明度。尽管对那些想要准确评估大型、复杂、异构云环境的组织,提出上述警示,但是还有很多从NASA审计方法中应该吸 取的教训。具体而言,这些教训是关于评估和报告云使用方面。其中最重要的五条教训如下所示。
第一课:了解战略背景
本报告的第一个显著的特点就是详细了解云的战略地位及云为机构带来的好处。例如,将云视为关键举措的组织可能会发现在短期内,组织的承受风险能力不足,因为安全事件对未来采纳产生的影响。因此,提高审计小组对云计算“愿景”的透明度是非常有益的。
第二课:了解历史
报告是对机构内技术使用历史的了解,对平台、服务交付模式和供应商集什么时间改变、为什么改变、改变的内容等作了详细的解释。了解这些历史,有助于引导 审计队伍到需要加强检查的领域去。例如,到传统的领域或者到那些因为新的关系,支撑减少的领域。使你的审计师了解这些,可能会帮你简化审计程序,提高资源 的使用效率,并因此产生更全面、更准确的输出。
第三课:分析供应链
云服务使用(至少通过服务提供商提供的服务)在供 应链管理中,算是一种练习。 因此,当务之急是,评估人员将服务提供商实际提供服务的安全性和操作控制与合同要求的安全性和操作控制相比,进行评估。在实 践中,这两者通常是不同的。 而且,因为两者之间的相互作用,对这两项内容进行评估是有益的。 理想情况下,组织的关键要素,在实践中实施,也会在合同中 列出,了解合同中哪些内容达不到预期目标,对确定整体风险来说,至关重要。
第四课:了解所提供服务的价值和效果
该报告单独分析了服务对机构使命的影响。这很重要,因为不仅指出了所发现问题的严重性,而且综合考虑了所提供的服务及其用途。 在实践中,企业经常进行评估, 却不知道如何使用服务或者不知道服务使用的临界是什么。对使用有一个完整的了解是有益的,有助于审计团队优化结果,了解潜在缺陷所带来的风险和一些细节。
第五课:鼓励直接化
评估报告的价值与报告的清晰度和准确性成正比。评估工作通常面临着缓和语言或者与合格人员发生冲突的压力。为了增加准确性和客观性,这是有价值的,但如 果是因为内部政治或者耍花招,不值得。 最终,评估的直接和简洁对组织有利,简洁性使利益相关者能够阅读并遵循内容,而公开化则消除了对读者作不必要的解释。