美国宇航局存在IT影子问题

美国宇航局 OIG在航天局发现了28个未经授权的云服务

美国国家航空航天局有一个阴影,它的问题
Reuters

企业通常不会直接获得有关 影子IT运营 但是最近对NASA的IT领域进行的审计得出了在其环境中运行的28个未经批准的云服务。

作为由NASA OIG进行的总体云安全审核的一部分,NASA自己的CIO办公室发现了八项此类服务,而NASA监察长办公室又发现了二十项服务。

+有关网络世界的更多信息: 美国宇航局的“人机”和“隐藏人物”电影故事+

监察办在报告中指出:“未经NASA批准或知情而使用云服务会使存储在其中的原子能机构数据面临不必要的风险。例如,我们发现的一项服务–TeamViewer –提供了“自动发现”附近的联系人和设备的功能,从而使协作和交互变得更加容易,还提供了“文件传输”功能,该功能允许用户使用便捷的方法共享任何大小的文件作为文件管理器,上下文菜单,拖放以及可以链接到云存储提供商的文件框。此功能可以允许未经授权的个人访问敏感数据。同样,Huddle是另一项未经批准的服务,可促进团队成员之间的协作,允许文件在NASA防火墙之外的设备,位置和团队之间轻松共享,因此可能导致相同类型的未授权访问。” OIG表示。

+有关网络世界的更多信息: 2016年最古怪,最古怪和最酷的科技故事+

这样 影子IT运营是一项重大挑战 面对互联世界中的联邦,公共和私人实体。

Gartner最近写道 那是:“在过去几年中,有一件事情变得很清楚, 影子IT 在这里停留。随着数字业务的发展,IT部门将做出更少的技术决策,各个业务部门将开始为其团队选择技术。实际上,Gartner预测,到2017年,将有38%的技术购买将由企业领导者管理,定义和控制。”

在NASA的情况下,OIG指出,使用政府购买卡和Web浏览器,员工可以轻松地购买低成本的云计算服务订阅许可证,并轻松获得使他们能够传输,处理和存储大量数据的应用程序,而无需CIO或首席信息安全官的参与或意识。实际上,在某些情况下,云存储服务是免费的。

美国国家航空航天局(NASA)使用云计算来解决许多重要功能,包括支持科学程序的大型计算服务以及与行星表面高分辨率映射相关的大数据集的存储,以及网站托管和文档存储等更多常规服务, OIG报告指出。

OIG表示:“与需要在IT硬件和基础架构上进行大量初始投资的传统数据中心模型相反,云计算使NASA科学家和工程师仅使用完成特定项目或功能所需的资源即可。”

OIG表示,自2013年以来,NASA已建立了三项经联邦风险与授权管理计划(FedRAMP)批准的,供原子能机构使用的云计算服务,并将大约1.2%的数据移入了这些环境。但是,该机构的许多云计算活动都发生在FedRAMP批准的这些服务之外。随着NASA对云的越来越多的使用,原子能机构必须加强其风险管理和治理实践以保护其数据。

美国宇航局首席信息官表示,其办公室已发布政策备忘录和相关指南,要求人员仅使用原子能机构批准的云计算服务,并已通过内部NASA网站提供了已批准云服务的云服务注册中心。但是,目前没有任何控制措施可以阻止代理机构人员在未经批准的云服务中访问和存储NASA数据。

+有关网络世界的更多信息: 思科推出工具以发现企业中的影子IT+

OIG表示:“此外,在我们进行审核时,NASA并未使用可帮助识别整个机构使用的所有云计算服务的Cloud Access 安全 Broker工具。”

2016年9月,美国国家航空航天局(NASA)批准了购买云访问安全代理工具,但是目前尚不清楚原子能机构是否将实施该工具的全部功能,包括限制对未经授权的云计算服务的访问的能力。

“我们与CIO谈到了机构人员使用未经批准的云服务的情况。她告诉我们,她专注于建立企业云计算解决方案,该解决方案将为人员提供所需的服务,并相信一旦NASA的云文化更加成熟,用户自然会适应使用批准的服务。因此,她表示,她对过度使用未经批准的服务并不过于担心。”监察办指出。

查看以下其他热门故事:

IBM和爱立信宣称5G阵列在物联网,虚拟现实方面取得了进步

Juniper创始人,CTO Sindhu裁掉职位,专注于创业

如何捕捉全速行驶的400磅无人机

思科:时钟部分故障可能导致某些Nexus交换机,ISR路由器,ASA安全设备出现故障

美国移民和海关执法局在超级碗51赛事之前抢走了价值2000万美元的假运动装备

美国国税局警告说,不断变化的“危险W-2网络钓鱼诈骗”

加入以下网络世界社区 脸书领英 对最重要的话题发表评论。

版权© 2017 IDG通讯,Inc.