兩周前,美國信息管理部辦公室發(fā)表了一篇90頁的提案:提議對美國政府云計算進(jìn)行安全評估與授權(quán)�����。這篇提案是NIST,GSA,ISIMC與CIO理事會協(xié)同工作了18個月而得到的����,期間的工作包括對美國云計算進(jìn)行安全管理,多種評估與授權(quán)模式的評估�。這代表了CIO辦公室為美國聯(lián)邦政府提供云計算服務(wù)的第一步,同時為創(chuàng)建目前世界上最大私有云服務(wù)提供了可靠的榜樣���。
這個未來的評估和授權(quán)模式是由三部分組成��,講述了創(chuàng)建評估和授權(quán)框架的想法�����。美國政府為云計算定義了三種服務(wù)模型:軟件形式的服務(wù)模型(SaaS),平臺形式的服務(wù)模式PaaS和基礎(chǔ)設(shè)施形式的服務(wù)模式(IaaS)���。美國聯(lián)邦政府的這個標(biāo)準(zhǔn)是由聯(lián)邦信息安全管理法案FISMA和國家標(biāo)準(zhǔn)與技術(shù)協(xié)會(NIST)共同要求發(fā)表的。這個標(biāo)準(zhǔn)的主要指導(dǎo)方針是:基于“評估一次�,使用多次”的方法來鼓勵對云計算系統(tǒng)進(jìn)行更快速和更高效的獲取,以此方式來提供安全授權(quán)和保證政府的透明度和開放度�。
云計算安全需求基準(zhǔn)
這份安全管理是基于NIST特殊發(fā)表刊物《800-53Revision3》,聯(lián)邦信息系統(tǒng)和組織的安全管理建議:
權(quán)限控制
認(rèn)知與培訓(xùn)
審計與義務(wù)
評估與授權(quán)
配置管理
偶發(fā)事件的計劃
確認(rèn)與鑒定
事故的反應(yīng)
維護
媒體的保護
機器與環(huán)境的保護
個人安全
風(fēng)險評估
系統(tǒng)與服務(wù)的獲取
系統(tǒng)與信息交互的保護
系統(tǒng)與信息的完整度
持續(xù)監(jiān)控
這個想法是在系統(tǒng)開發(fā)生命周期中引入一種動態(tài)的��,持續(xù)的監(jiān)控程序��,由此來判斷安全管理的持續(xù)有效性��。這個流程包括為云計算環(huán)境提供一種修改監(jiān)聽程序的能力。在這種機制下�����,云服務(wù)提供商是松散定義的和開放式管理的��,所以聯(lián)邦政府或許可以公開的給公有云服務(wù)商提供支持���,其中包括:Amazon,Microsoft和Salesforce.com.這里看來�,文章的開始篇幅是重點介紹了私有云的示例�,并且在接下來的篇幅中繼續(xù)說明。
以下列表是針對所有云服務(wù)提供商所要求提供的報告和文件:
補丁管理–每月
FDCC驗證–每季度
事故反應(yīng)計劃–每年
POAM糾正–每季度
管理權(quán)限改變流程–每年
入侵測試–沒年
合作商的管理–每半年
證明系統(tǒng)邊界的掃描–每季度
系統(tǒng)配置管理–每季度
FISMA報告–每季度
更新文檔–每季度
偶發(fā)事件計劃與測試報告–每年
責(zé)任矩陣的區(qū)分–每年
信息安全認(rèn)證和培訓(xùn)–每年
潛在的評估和授權(quán)方式
CIO辦公室把云計算視為消除聯(lián)邦政府部門之間信息壁壘的一次機會���,并且它可以為共享的系統(tǒng)創(chuàng)建一種統(tǒng)一的安全底線�。不過�,這個想法的實現(xiàn)難度可能很大,因為政府的預(yù)算往往會分配給指定的政府機構(gòu)或者主動權(quán)的擁有者����,顯而易見的,他們往往不支持這樣一個共享的成本結(jié)構(gòu)��。如果CIO辦公室可以消除此類障礙�,對于美國納稅人而言,云計算是一個主張高效與節(jié)約的政府環(huán)境的突破口���。所以這就是創(chuàng)建FedRAMP的原因���,她的目標(biāo)是:
保證政府層面使用的信息系統(tǒng)和服務(wù)有足夠的安全性
避免重復(fù)的工作和減少風(fēng)險管理成本
針對聯(lián)邦政府部的信息系統(tǒng)/服務(wù),啟動快速的和成本效益為導(dǎo)向的采購
總結(jié)
總而言之����,這篇文章提出了一種為實現(xiàn)和管理云計算而創(chuàng)造徹底安全與管控的計劃。在這個計劃中���,云計算的信息管理的各個方面都被定義和表達(dá)出來了�����,主要目標(biāo)就是通過私有機構(gòu)和全球化商業(yè)機構(gòu)來提供云計算的完美框架���。針對云計算概念被政府廣泛的采納與認(rèn)同,這是全新的和堅實的第一步��。
