两周前,美国信息管理部办公室发表了一篇 90 页的提案:提议对美国政府云计算进行安全评估与授权。这篇提案是 NIST, GSA, ISIMC 与 CIO 理事会协同工作了 18 个月而得到的,期间的工作包括对美国云计算进行安全管理,多种评估与授权模式的评估。这代表了 CIO 办公室为美国联邦政府提供云计算服务的第一步,同时为创建目前世界上最大私有云服务提供了可靠的榜样。
这个未来的评估和授权模式是由三部分组成,讲述了创建评估和授权框架的想法。美国政府为云计算定义了三种服务模型:软件形式的服务模型 (SaaS), 平台形式的服务模式 PaaS 和基础设施形式的服务模式 (IaaS). 美国联邦政府的这个标准是由联邦信息安全管理法案 FISMA 和国家标准与技术协会 (NIST) 共同要求发表的。这个标准的主要指导方针是:基于“评估一次,使用多次”的方法来鼓励对云计算系统进行更快速和更高效的获取,以此方式来提供安全授权和保证政府的透明度和开放度。
云计算安全需求基准
这份安全管理是基于 NIST 特殊发表刊物 800-53 Revision 3, 联邦信息系统和组织的安全管理建议
- 权限控制
- 认知与培训
- 审计与义务
- 评估与授权
- 配置管理
- 偶发事件的计划
- 确认与鉴定
- 事故的反应
- 维护
- 媒体的保护
- 机器与环境的保护
- 个人安全
- 风险评估
- 系统与服务的获取
- 系统与信息交互的保护
- 系统与信息的完整度
持续监控
这个想法是在系统开发生命周期中引入一种动态的,持续的监控程序,由此来判断安全管理的持续有效性。这个流程包括为云计算环境提供一种修改监听程序的能力。在这种机制下,云服务提供商是松散定义的和开放式管理的,所以联邦政府或许可以公开的给公有云服务商提供支持,其中包括: Amazon, Microsoft 和 Salesforce.com. 这里看来,文章的开始篇幅是重点介绍了私有云的示例,并且在接下来的篇幅中继续说明。
以下列表是针对所有云服务提供商所要求提供的报告和文件
- 补丁管理 – 每月
- FDCC 验证 – 每季度
- 事故反应计划 – 每年
- POAM 纠正 – 每季度
- 管理权限改变流程 – 每年
- 入侵测试 – 没年
- 合作商的管理 – 每半年
- 证明系统边界的扫描 – 每季度
- 系统配置管理 – 每季度
- FISMA 报告 – 每季度
- 更新文档 – 没季度
- 偶发事件计划与测试报告 – 每年
- 责任矩阵的区分 – 每年
- 信息安全认证和培训 – 每年
潜在的评估和授权方式
CIO 办公室把云计算视为消除联邦政府部门之间信息壁垒的一次机会,并且它可以为共享的系统创建一种统一的安全底线。不过,这个想法的实现难度可能很大,因为政府的预算往往会分配给指定的政府机构或者主动权的拥有者,显而易见的,他们往往不支持这样一个共享的成本结构。如果 CIO 办公室可以消除此类障碍,对于美国纳税人而言,云计算是一个主张高效与节约的政府环境的突破口。所以这就是创建 FedRAMP 的原因,她的目标是:
- 保证政府层面使用的信息系统和服务有足够的安全性
- 避免重复的工作和减少风险管理成本
- 针对联邦政府部的信息系统 / 服务,启动快速的和成本效益为导向的采购
总结
总而言之,这篇文章提出了一种为实现和管理云计算而创造彻底安全与管控的计划。在这个计划中,云计算的信息管理的各个方面都被定义和表达出来了,主要目标就是通过私有机构和全球化商业 机构 来提供云计算的完美框架。针对云计算概念被政府广泛的采纳与认同,这是全新的和坚实的第一步。
这份提议可以公开评论,您可以通过 FedRAMP 在 2010 年 12 月 2 日凌晨前提交您的评论。
查看英文原文: US Government: Proposed Assessment and Authorization for Cloud Computing
分布式云行业实践指南(2023)
业内首个分布式云行业实践方法论、工具箱。
评论