企业往往得不到直接的证据影子IT操作但最近对NASA IT领域的一项审计发现,有28项未经批准的云服务在NASA的环境中运行。
NASA自己的CIO办公室发现了8个这样的服务,而NASA监察长办公室发现了另外20个,这是NASA OIG进行的总体云安全审计的一部分。
+更多关于网络世界足球竞猜app软件:美国宇航局的“人类电脑”和隐藏人物的电影故事+
调查小组在报告中指出:“在未经NASA批准或知情的情况下使用云服务,会使存储在那里的NASA数据面临不必要的风险。例如,我们发现的一项服务——teamviewer——提供了“自动发现”附近联系人和设备的能力,使协作和交互更容易,以及“文件传输”,允许用户使用方便的方法共享任何大小的文件,如文件管理器、上下文菜单、拖放、以及一个可以链接到云存储提供商的文件框。这种功能可能会允许未经授权的个人访问敏感数据。类似地,Huddle是另一项未经批准的服务,它可以促进团队成员之间的协作,允许文件在NASA防火墙之外的设备、地点和团队之间轻松共享,因此可能导致同样类型的未经授权访问。”
+更多关于网络世界足球竞猜app软件:2016年最怪异、最古怪、最酷的科技故事+
这样的影子IT运营是一个主要的挑战在这个相互联系的世界里面对联邦、公共和私人实体。
Gartner最近写“在过去的几年里,有一件事变得很清楚,它的影子是在这里停留。随着数字业务的发展,IT部门将做出更少的技术决策,单个业务单位将开始为其团队选择技术。事实上,Gartner预测,到2017年,38%的技术采购将由商业领袖管理、定义和控制。”
OIG指出,在NASA的情况下,使用政府购买卡和网络浏览器,员工可以轻松购买低成本的云计算服务订阅许可证,轻松获得允许他们传输、处理、并在CIO或首席信息安全官不参与或不知情的情况下存储大量数据。事实上,在某些情况下,云存储服务是免费的。
OIG报告称,NASA使用云计算解决许多重要功能,包括支持科学项目的大规模计算服务,与行星表面高分辨率制图相关的大型数据集存储,以及网站托管和文件存储等更多常规服务。
OIG表示:“传统的数据中心模型需要在IT硬件和基础设施方面进行2020欧洲杯预赛大量初始投资,与此相反,云计算允许NASA的科学家和工程师只使用完成特定项目或功能所需的资源。”
OIG表示,自2013年以来,NASA已经建立了三个联邦风险和授权管理计划(FedRAMP)批准的云计算服务,并将大约1.2%的数据转移到这些环境中。然而,该机构的许多云计算活动都发生在fedramp批准的服务之外。随着NASA越来越多地使用云技术,该机构必须加强其风险管理和治理实践,以保护其数据。
NASA CIO表示,其办公室已经发布了政策备忘录和相关指导,要求人员只能使用NASA批准的云计算服务,并通过NASA内部网站提供批准的云服务注册。然而,OIG表示,没有任何控制措施阻止机构人员在未经批准的云服务中访问和存储NASA数据。
+更多关于网络世界足球竞猜app软件:思科推出了一个工具来揭示企业中的影子IT+
OIG表示:“此外,在我们审计时,NASA没有使用云访问安全代理工具,这可以帮助识别整个机构正在使用的所有云计算服务。”
2016年9月,NASA批准购买云访问安全代理工具,但尚不清楚该机构是否将实施该工具的全部功能,包括限制访问未经授权的云计算服务的能力。
“我们就中情局人员使用未经批准的云服务与首席信息官进行了交谈。她告诉我们,她专注于建立企业云计算解决方案,为员工提供他们需要的服务,并相信一旦NASA的云文化更加成熟,用户自然会适应使用批准的服务。因此,她表示,她并不过分担心小规模使用未经批准的服务。
看看其他热门故事:
Juniper创始人、CTO Sindhu将职位调整为专注于初创公司
思科:时钟部分故障可能会导致一些Nexus交换机、ISR路由器、ASA安全设备的故障