NASA(美国国家航空航天局)近来积极将数据中心中的部分工作负载迁移至公有云,从而节约了大笔运营成本。不过糟糕的监管机制与供应商合约也将该机构暴露在本可避免的安全风险之下,本周一公布的一项研究针对这种情况进行了评述。
一项由NASA监察事务办公室(简称OIG)发起的审计发现,NASA早期实施的公有云计算迁移工作存在诸多已知弊端,并指出其缺乏监督手段与必要的合约管理措施。
此次审计只涵盖了NASA整体计算基础设施中的一小部分,但相信云计算会在不久的将来发挥越来越重要的作用。如果NASA方面不尽快建立一套更加协调统一的云计算战略,安全威胁很可能铺天盖地涌来。
值得一提的是,NASA曾经与Rackspace公司一道创立了开源云项目OpenStack,并于2012年推出了Nebula私有云。不过在五个月的调查研究后,他们发现Azure以及Amazon Web Services的执行效率更出色。
在高达15亿美元的年度预算中,NASA仅为云计算项目拿出了1000万美元。但审计报告称,NASA方面希望在未来五年内将75%的新型IT项目与云体系对接,甚至打算把几乎来自全部机构的公共数据交付云环境。报告同时补充称,将有高达四成的传统系统被迁移至云平台。
根据报告的说法,NASA的CIO办公室根本不了解所在机构曾经收购过哪些云服务、也不清楚他们采用了哪些服务供应商。在大多数情况下,向公有云迁移的流程并没有经过中央办公室的协调或监管。
违规导致风险增加
审计师们评估了五份NASA合约,并发现“没有一份符合业界推荐的最佳数据安全实践”。这些文件根本没有清晰界定分包商该如何审核、报告并实现服务性能,也没有提及分包商是否需要解决政府隐私、数据发现与保留以及销毁等问题。
在四份合约中,NASA主要使用了云服务供应商提供的标准格式合同,这根本无法满足以上特殊需求。即使是在由NASA起草的惟一一份合约中,也没有强调政府机构IT安全需求的相关条目。
“因此,这五份合约所涉及的美国宇航局系统与数据很可能遭遇由违规引发的安全风险,”NASA OIG指出。
此外,NASA还利用某款第三方云服务支持机构内外共一百多套网站,而且在两年使用过程中一直没有与供应商签订书面授权或者安全应急预案。服务的每一次年度测试都无疾而终,一旦云服务遭遇泄露事故引发的“中度影响”,NASA方面将受到“严重威胁”。
根据审计报告,NASA的门户网站(WestPrime)合约由InfoZen提供,签订于2012年,且完全遵循联邦政府风险与授权管理计划(简称FedRAMP),可惜这套模板并没有在机构的其它领域广泛铺开。
不过NASA对政府的“云计算优先”倡议非常满意,并通过多项云迁移项目在第一年就节约了100万美元,而且目前已经同意加快推出系统化云战略。
NASA新近任命的CIO Larry Sweet对审计报告中的六项建议表示赞同,其中包括实施企业级云计算战略、广泛使用与WestPrime相当的严谨合约、确保将安全合规性与测试机制普及到所有云服务当中。Sweet指出,这些建议确实具备可操作性,但最终结果仍取决于“资金预算的划拨力度”。