企业并不经常获得直接证据阴影IT操作但是,最近对NASA IT领域的审计提出了28个未经批准的云服务在其环境中运行。
NASA自己的CIO办公室找到了八项此类服务,而NASA监察长办公室则发现了另外20个服务,这是NASA OIG进行的整体云安全审计的一部分。
+有关网络世界的更足球竞猜app软件多信息:美国宇航局的“人类计算机”和隐藏人物电影故事+
在报告中,OIG表示:“未经NASA批准或意识地点的云服务的利用,该数据存储在此处不必要的风险。例如,我们发现的一项服务(teamViewer)提供了“自动发现”附近联系人和设备的功能,以使协作和互动更加容易,以及“文件传输”,允许用户使用任何方便的方法共享任何尺寸的文件,例如作为文件管理器,上下文菜单,拖放以及可以链接到云存储提供商的文件框。这种功能可以允许未经授权的个人访问敏感数据。同样,Huddle是另一项未经批准的服务,可以促进团队成员之间的协作,允许在NASA的防火墙以外的设备,位置和团队中轻松共享文件,因此可能会导致相同类型的未经授权的访问。”
+有关网络世界的更足球竞猜app软件多信息:2016年最奇怪,最古怪,最酷的科幻/技术故事+
这样的影子IT操作是一项主要挑战面对相互联系的联邦,公共和私人实体。
Gartner最近写道那是:“在过去的几年中,一件事变得很清楚,阴影在这里留下来。随着数字业务的发展,IT部门将做出更少的技术决策,个人业务部门将开始为其团队选择技术。实际上,加特纳(Gartner)预测,到2017年,将有38%的技术购买将由业务领导者管理,定义和控制。”
在NASA情况下,OIG指出,使用政府购买卡和网络浏览器,员工可以轻松购买低成本订阅许可证来云计算服务,并轻松获取允许他们传输,处理和存储大量数据的应用程序the CIO’s or Chief Information Security Officer’s involvement or awareness. Indeed, in some cases, cloud storage services are free.
NASA使用云计算来解决许多重要功能,包括大规模计算服务,以支持科学计划和与行星表面高分辨率映射相关的大型数据集的存储,以及更多常规服务,例如网站托管和文档存储,OIG报告说。
OIG说:“与需要对IT硬件和基础架构进行大量初始投资的传统数据2020欧洲杯预赛中心模型相反,云计算使NASA科学家和工程师只能使用完成特定项目或功能所需的资源。”
OIG表示,自2013年以来,NASA已建立了三个联邦风险和授权管理计划(FEDRAMP)批准的用于代理使用的云计算服务,并将其数据的约1.2%移至这些环境中。但是,该机构的大部分云计算活动都发生在这些FedRamp批准的服务之外。随着NASA越来越多地使用云,必须加强其风险管理和治理实践来保护其数据。
NASA CIO表示,其办公室已发布了政策备忘录和相关指南,要求人员仅利用该机构批准的云计算服务,并使云服务注册表可通过内部NASA网站获得批准的云服务。但是,没有任何控制能力阻止代理人员在未批准的云服务中访问和存储NASA数据。
+有关网络世界的更足球竞猜app软件多信息:思科启动工具以发现企业中的阴影+
OIG说:“此外,在我们审核时,美国国家航空航天局(NASA)没有使用云访问安全经纪人工具,这些工具可以帮助识别整个代理商中使用的所有云计算服务。”
2016年9月,NASA批准购买了云访问安全经纪人工具,但尚不清楚该机构是否将实施该工具的完整功能,其中包括限制对未经授权的云计算服务的访问的能力。
“我们与CIO谈到了代理人员使用未批准的云服务。她告诉我们,她专注于建立企业云计算解决方案,该解决方案将为人员提供所需的服务,并认为一旦NASA的云文化更加成熟,用户自然会适应使用批准的服务。因此,她表示她不太关心未经批准的服务的规模较小。”
查看这些其他热门故事:
Juniper创始人CTO Sindhu削减了专注于启动的角色
思科:故障时钟部分可能会导致某些Nexus开关,ISR路由器,ASA安全设备的故障