一項由NASA監察事務辦公室（簡稱OIG）發起的審計發現，NASA早期實施的公有云計算遷移工作存在諸多已知弊端，并指出其缺乏監督手段與必要的合約管理措施。

 

此次審計只涵蓋了NASA整體計算基礎設施中的一小部分，但相信云計算會在不久的將來發揮越來越重要的作用。如果NASA方面不盡快建立一套更加協調統一的云計算戰略，安全威脅很可能鋪天蓋地涌來。

 

值得一提的是，NASA曾經與Rackspace公司一道創立了開源云項目OpenStack，并于2012年推出了Nebula私有云。不過在五個月的調查研究后，他們發現Azure以及Amazon Web Services的執行效率更出色。

 

在高達15億美元的年度預算中，NASA僅為云計算項目拿出了1000萬美元。但審計報告稱，NASA方面希望在未來五年內將75%的新型IT項目與云體系對接，甚至打算把幾乎來自全部機構的公共數據交付云環境。報告同時補充稱，將有高達四成的傳統系統被遷移至云平臺。

 

根據報告的說法，NASA的CIO辦公室根本不了解所在機構曾經收購過哪些云服務、也不清楚他們采用了哪些服務供應商。在大多數情況下，向公有云遷移的流程并沒有經過中央辦公室的協調或監管。

 

 

審計師們評估了五份NASA合約，并發現“沒有一份符合業界推薦的最佳數據安全實踐”。這些文件根本沒有清晰界定分包商該如何審核、報告并實現服務性能，也沒有提及分包商是否需要解決政府隱私、數據發現與保留以及銷毀等問題。

 

在四份合約中，NASA主要使用了云服務供應商提供的標準格式合同，這根本無法滿足以上特殊需求。即使是在由NASA起草的惟一一份合約中，也沒有強調政府機構IT安全需求的相關條目。

 

“因此，這五份合約所涉及的美國宇航局系統與數據很可能遭遇由違規引發的安全風險，”NASA OIG指出。

 

此外，NASA還利用某款第三方云服務支持機構內外共一百多套網站，而且在兩年使用過程中一直沒有與供應商簽訂書面授權或者安全應急預案。服務的每一次年度測試都無疾而終，一旦云服務遭遇泄露事故引發的“中度影響”，NASA方面將受到“嚴重威脅”。

 

根據審計報告，NASA的門戶網站（WestPrime）合約由InfoZen提供，簽訂于2012年，且完全遵循聯邦政府風險與授權管理計劃（簡稱FedRAMP），可惜這套模板并沒有在機構的其它領域廣泛鋪開。

 

不過NASA對政府的“云計算優先”倡議非常滿意，并通過多項云遷移項目在第一年就節約了100萬美元，而且目前已經同意加快推出系統化云戰略。

 

NASA新近任命的CIO Larry Sweet對審計報告中的六項建議表示贊同，其中包括實施企業級云計算戰略、廣泛使用與WestPrime相當的嚴謹合約、確保將安全合規性與測試機制普及到所有云服務當中。Sweet指出，這些建議確實具備可操作性，但最終結果仍取決于“資金預算的劃撥力度”。