七月，美國宇航局NASA(NASA)監察長辦公室(OIG)公布了一份關于NASA云計算環境下云執行工作進展的審計報告。 報告明確表明，NASA已經“發現IT治理和風險管理實踐中的弱點，正是這些弱點阻礙了原子能機構充分發揮云計算的優勢，并且很可能將NASA存儲在云中的系統和數據置于風險中。”

像這種報表很容易引起關注，因為NASA是云計算的先行者：NASA的星云平臺眾所周知，并且該平臺通過支持OpenStack技術和Rackspace的合作關系，對云社區作出貢獻。因此，當一份報告出來，并且指出NASA云實施的安全問題，就成了一個大問題。

大部分集中于此問題的報道都忽略了重要的一點：這只是一份審計報告。 暫時先拋開報告的內容，出于與審計過程相關的嚴謹性考慮，也需要出示這樣的報告。 例如，報告清楚地表達了NASA的云計算戰略，表明審計機構在戰略層面上對云計算的認識和了解。 此外，該報告明確量化了“影子IT ”(不受內部控制的云部署)流行的程度，并進一步分析了供應鏈，剖析了私有云合同細節，再到具體的條款。 因為大多數組織審查供應商與評估使用云技術的方法，都有很大的不同，這些內容往往不包括在傳統的IT審計中。

話雖如此，關鍵是要關注公共部門與私營行業IT審計之間的不同，尤其是公共部門與私營行業IT審計都具有不同程度的外部透明度。盡管對那些想要準確評估大型、復雜、異構云環境的組織，提出上述警示，但是還有很多從NASA審計方法中應該吸取的教訓。具體而言，這些教訓是關于評估和報告云使用方面。其中最重要的五條教訓如下所示。

***課：了解戰略背景

本報告的***個顯著的特點就是詳細了解云的戰略地位及云為機構帶來的好處。例如，將云視為關鍵舉措的組織可能會發現在短期內，組織的承受風險能力不足，因為安全事件對未來采納產生的影響。因此，提高審計小組對云計算“愿景”的透明度是非常有益的。

第二課：了解歷史

報告是對機構內技術使用歷史的了解，對平臺、服務交付模式和供應商集什么時間改變、為什么改變、改變的內容等作了詳細的解釋。了解這些歷史，有助于引導審計隊伍到需要加強檢查的領域去。例如，到傳統的領域或者到那些因為新的關系，支撐減少的領域。使你的審計師了解這些，可能會幫你簡化審計程序，提高資源的使用效率，并因此產生更全面、更準確的輸出。

第三課：分析供應鏈

云服務使用(至少通過服務提供商提供的服務)在供應鏈管理中，算是一種練習。 因此，當務之急是，評估人員將服務提供商實際提供服務的安全性和操作控制與合同要求的安全性和操作控制相比，進行評估。在實踐中，這兩者通常是不同的。 而且，因為兩者之間的相互作用，對這兩項內容進行評估是有益的。 理想情況下，組織的關鍵要素，在實踐中實施，也會在合同中列出，了解合同中哪些內容達不到預期目標，對確定整體風險來說，至關重要。

第四課：了解所提供服務的價值和效果

該報告單獨分析了服務對機構使命的影響。這很重要，因為不僅指出了所發現問題的嚴重性，而且綜合考慮了所提供的服務及其用途。 在實踐中，企業經常進行評估，卻不知道如何使用服務或者不知道服務使用的臨界是什么。對使用有一個完整的了解是有益的，有助于審計團隊優化結果，了解潛在缺陷所帶來的風險和一些細節。

第五課：鼓勵直接化

評估報告的價值與報告的清晰度和準確性成正比。評估工作通常面臨著緩和語言或者與合格人員發生沖突的壓力。為了增加準確性和客觀性，這是有價值的，但如果是因為內部政治或者耍花招，不值得。 最終，評估的直接和簡潔對組織有利，簡潔性使利益相關者能夠閱讀并遵循內容，而公開化則消除了對讀者作不必要的解釋。

這五條說明了在私營部門的經驗教訓，我們可以拿來學習，有助于指導我們如何評估云部署。一個成熟組織的特點，盡管是具有主動找出潛在問題，直接并明確地解釋問題，然后制訂緩解措施來糾正這些問題的能力。但是，每個云環境下，即使在技術上成熟、“開創性的”(沒有雙關語意)的云計算組織，例如NASA，也會遇到安全、風險和法規遵從等的問題。