七月,美國宇航局NASA(NASA)監(jiān)察長辦公室(OIG)公布了一份關(guān)于NASA云計算環(huán)境下云執(zhí)行工作進展的審計報告。 報告明確表明,NASA已經(jīng)“發(fā)現(xiàn)IT治理和風(fēng)險管理實踐中的弱點,正是這些弱點阻礙了原子能機構(gòu)充分發(fā)揮云計算的優(yōu)勢,并且很可能將NASA存儲在云中的系統(tǒng)和數(shù)據(jù)置于風(fēng)險中。”
像這種報表很容易引起關(guān)注,因為NASA是云計算的先行者:NASA的星云平臺眾所周知,并且該平臺通過支持OpenStack技術(shù)和Rackspace的合作關(guān)系,對云社區(qū)作出貢獻。因此,當(dāng)一份報告出來,并且指出NASA云實施的安全問題,就成了一個大問題。
大部分集中于此問題的報道都忽略了重要的一點:這只是一份審計報告。 暫時先拋開報告的內(nèi)容,出于與審計過程相關(guān)的嚴(yán)謹(jǐn)性考慮,也需要出示這樣的報告。 例如,報告清楚地表達了NASA的云計算戰(zhàn)略,表明審計機構(gòu)在戰(zhàn)略層面上對云計算的認(rèn)識和了解。 此外,該報告明確量化了“影子IT ”(不受內(nèi)部控制的云部署)流行的程度,并進一步分析了供應(yīng)鏈,剖析了私有云合同細節(jié),再到具體的條款。 因為大多數(shù)組織審查供應(yīng)商與評估使用云技術(shù)的方法,都有很大的不同,這些內(nèi)容往往不包括在傳統(tǒng)的IT審計中。
話雖如此,關(guān)鍵是要關(guān)注公共部門與私營行業(yè)IT審計之間的不同,尤其是公共部門與私營行業(yè)IT審計都具有不同程度的外部透明度。盡管對那些想要準(zhǔn)確評估大型、復(fù)雜、異構(gòu)云環(huán)境的組織,提出上述警示,但是還有很多從NASA審計方法中應(yīng)該吸取的教訓(xùn)。具體而言,這些教訓(xùn)是關(guān)于評估和報告云使用方面。其中最重要的五條教訓(xùn)如下所示。
第一課:了解戰(zhàn)略背景
本報告的第一個顯著的特點就是詳細了解云的戰(zhàn)略地位及云為機構(gòu)帶來的好處。例如,將云視為關(guān)鍵舉措的組織可能會發(fā)現(xiàn)在短期內(nèi),組織的承受風(fēng)險能力不足,因為安全事件對未來采納產(chǎn)生的影響。因此,提高審計小組對云計算“愿景”的透明度是非常有益的。
第二課:了解歷史
報告是對機構(gòu)內(nèi)技術(shù)使用歷史的了解,對平臺、服務(wù)交付模式和供應(yīng)商集什么時間改變、為什么改變、改變的內(nèi)容等作了詳細的解釋。了解這些歷史,有助于引導(dǎo)審計隊伍到需要加強檢查的領(lǐng)域去。例如,到傳統(tǒng)的領(lǐng)域或者到那些因為新的關(guān)系,支撐減少的領(lǐng)域。使你的審計師了解這些,可能會幫你簡化審計程序,提高資源的使用效率,并因此產(chǎn)生更全面、更準(zhǔn)確的輸出。
第三課:分析供應(yīng)鏈
云服務(wù)使用(至少通過服務(wù)提供商提供的服務(wù))在供應(yīng)鏈管理中,算是一種練習(xí)。 因此,當(dāng)務(wù)之急是,評估人員將服務(wù)提供商實際提供服務(wù)的安全性和操作控制與合同要求的安全性和操作控制相比,進行評估。在實踐中,這兩者通常是不同的。 而且,因為兩者之間的相互作用,對這兩項內(nèi)容進行評估是有益的。 理想情況下,組織的關(guān)鍵要素,在實踐中實施,也會在合同中列出,了解合同中哪些內(nèi)容達不到預(yù)期目標(biāo),對確定整體風(fēng)險來說,至關(guān)重要。
第四課:了解所提供服務(wù)的價值和效果
該報告單獨分析了服務(wù)對機構(gòu)使命的影響。這很重要,因為不僅指出了所發(fā)現(xiàn)問題的嚴(yán)重性,而且綜合考慮了所提供的服務(wù)及其用途。 在實踐中,企業(yè)經(jīng)常進行評估,卻不知道如何使用服務(wù)或者不知道服務(wù)使用的臨界是什么。對使用有一個完整的了解是有益的,有助于審計團隊優(yōu)化結(jié)果,了解潛在缺陷所帶來的風(fēng)險和一些細節(jié)。
第五課:鼓勵直接化
評估報告的價值與報告的清晰度和準(zhǔn)確性成正比。評估工作通常面臨著緩和語言或者與合格人員發(fā)生沖突的壓力。為了增加準(zhǔn)確性和客觀性,這是有價值的,但如果是因為內(nèi)部政治或者耍花招,不值得。 最終,評估的直接和簡潔對組織有利,簡潔性使利益相關(guān)者能夠閱讀并遵循內(nèi)容,而公開化則消除了對讀者作不必要的解釋。
這五條說明了在私營部門的經(jīng)驗教訓(xùn),我們可以拿來學(xué)習(xí),有助于指導(dǎo)我們?nèi)绾卧u估云部署。一個成熟組織的特點,盡管是具有主動找出潛在問題,直接并明確地解釋問題,然后制訂緩解措施來糾正這些問題的能力。但是,每個云環(huán)境下,即使在技術(shù)上成熟、“開創(chuàng)性的”(沒有雙關(guān)語意)的云計算組織,例如NASA,也會遇到安全、風(fēng)險和法規(guī)遵從等的問題。
京公網(wǎng)安備 11010502049343號