七月，美國宇航局NASA(NASA)監(jiān)察長辦公室(OIG)公布了一份關于NASA云計算環(huán)境下云執(zhí)行工作進展的審計報告。 報告明確表明，NASA已經(jīng)“發(fā)現(xiàn)IT治理和風險管理實踐中的弱點，正是這些弱點阻礙了原子能機構充分發(fā)揮云計算的優(yōu)勢，并且很可能將NASA存儲在云中的系統(tǒng)和數(shù)據(jù)置于風險中�！�

像這種報表很容易引起關注，因為NASA是云計算的先行者：NASA的星云平臺眾所周知，并且該平臺通過支持OpenStack技術和Rackspace的合作關系，對云社區(qū)作出貢獻。因此，當一份報告出來，并且指出NASA云實施的安全問題，就成了一個大問題。

大部分集中于此問題的報道都忽略了重要的一點：這只是一份審計報告。 暫時先拋開報告的內(nèi)容，出于與審計過程相關的嚴謹性考慮，也需要出示這樣的報告。 例如，報告清楚地表達了NASA的云計算戰(zhàn)略，表明審計機構在戰(zhàn)略層面上對云計算的認識和了解。 此外，該報告明確量化了“影子IT ”(不受內(nèi)部控制的云部署)流行的程度，并進一步分析了供應鏈，剖析了私有云合同細節(jié)，再到具體的條款。 因為大多數(shù)組織審查供應商與評估使用云技術的方法，都有很大的不同，這些內(nèi)容往往不包括在傳統(tǒng)的IT審計中。

話雖如此，關鍵是要關注公共部門與私營行業(yè)IT審計之間的不同，尤其是公共部門與私營行業(yè)IT審計都具有不同程度的外部透明度。盡管對那些想要準確評估大型、復雜、異構云環(huán)境的組織，提出上述警示，但是還有很多從NASA審計方法中應該吸取的教訓。具體而言，這些教訓是關于評估和報告云使用方面。其中最重要的五條教訓如下所示。

第一課：了解戰(zhàn)略背景

本報告的第一個顯著的特點就是詳細了解云的戰(zhàn)略地位及云為機構帶來的好處。例如，將云視為關鍵舉措的組織可能會發(fā)現(xiàn)在短期內(nèi)，組織的承受風險能力不足，因為安全事件對未來采納產(chǎn)生的影響。因此，提高審計小組對云計算“愿景”的透明度是非常有益的。

第二課：了解歷史

報告是對機構內(nèi)技術使用歷史的了解，對平臺、服務交付模式和供應商集什么時間改變、為什么改變、改變的內(nèi)容等作了詳細的解釋。了解這些歷史，有助于引導審計隊伍到需要加強檢查的領域去。例如，到傳統(tǒng)的領域或者到那些因為新的關系，支撐減少的領域。使你的審計師了解這些，可能會幫你簡化審計程序，提高資源的使用效率，并因此產(chǎn)生更全面、更準確的輸出。

第三課：分析供應鏈

云服務使用(至少通過服務提供商提供的服務)在供應鏈管理中，算是一種練習。 因此，當務之急是，評估人員將服務提供商實際提供服務的安全性和操作控制與合同要求的安全性和操作控制相比，進行評估。在實踐中，這兩者通常是不同的。 而且，因為兩者之間的相互作用，對這兩項內(nèi)容進行評估是有益的。 理想情況下，組織的關鍵要素，在實踐中實施，也會在合同中列出，了解合同中哪些內(nèi)容達不到預期目標，對確定整體風險來說，至關重要。

第四課：了解所提供服務的價值和效果

該報告單獨分析了服務對機構使命的影響。這很重要，因為不僅指出了所發(fā)現(xiàn)問題的嚴重性，而且綜合考慮了所提供的服務及其用途。 在實踐中，企業(yè)經(jīng)常進行評估，卻不知道如何使用服務或者不知道服務使用的臨界是什么。對使用有一個完整的了解是有益的，有助于審計團隊優(yōu)化結果，了解潛在缺陷所帶來的風險和一些細節(jié)。

第五課：鼓勵直接化

評估報告的價值與報告的清晰度和準確性成正比。評估工作通常面臨著緩和語言或者與合格人員發(fā)生沖突的壓力。為了增加準確性和客觀性，這是有價值的，但如果是因為內(nèi)部政治或者�；ㄕ�，不值得。 最終，評估的直接和簡潔對組織有利，簡潔性使利益相關者能夠閱讀并遵循內(nèi)容，而公開化則消除了對讀者作不必要的解釋。

這五條說明了在私營部門的經(jīng)驗教訓，我們可以拿來學習，有助于指導我們?nèi)绾卧u估云部署。一個成熟組織的特點，盡管是具有主動找出潛在問題，直接并明確地解釋問題，然后制訂緩解措施來糾正這些問題的能力。但是，每個云環(huán)境下，即使在技術上成熟、“開創(chuàng)性的”(沒有雙關語意)的云計算組織，例如NASA，也會遇到安全、風險和法規(guī)遵從等的問題。

在不久的將來，云計算一定會徹底走入我們的生活，有興趣入行未來前沿產(chǎn)業(yè)的朋友，可以收藏云計算，及時獲取人工智能、大數(shù)據(jù)、云計算和物聯(lián)網(wǎng)的前沿資訊和基礎知識，讓我們一起攜手，引領人工智能的未來！

標簽： 安全 大數(shù)據(jù) 云服務 云計算 云計算的優(yōu)勢

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。