QCon 演讲火热征集中,快来分享你的技术实践与洞见! 了解详情
写点什么

美国政府提议对云计算进行评估与授权

  • 2010-12-16
  • 本文字数:1397 字

    阅读完需:约 5 分钟

两周前,美国信息管理部办公室发表了一篇 90 页的提案:提议对美国政府云计算进行安全评估与授权。这篇提案是 NIST, GSA, ISIMC 与 CIO 理事会协同工作了 18 个月而得到的,期间的工作包括对美国云计算进行安全管理,多种评估与授权模式的评估。这代表了 CIO 办公室为美国联邦政府提供云计算服务的第一步,同时为创建目前世界上最大私有云服务提供了可靠的榜样。

这个未来的评估和授权模式是由三部分组成,讲述了创建评估和授权框架的想法。美国政府为云计算定义了三种服务模型:软件形式的服务模型 (SaaS), 平台形式的服务模式 PaaS 和基础设施形式的服务模式 (IaaS). 美国联邦政府的这个标准是由联邦信息安全管理法案 FISMA 和国家标准与技术协会 (NIST) 共同要求发表的。这个标准的主要指导方针是:基于“评估一次,使用多次”的方法来鼓励对云计算系统进行更快速和更高效的获取,以此方式来提供安全授权和保证政府的透明度和开放度。

云计算安全需求基准

这份安全管理是基于 NIST 特殊发表刊物 800-53 Revision 3, 联邦信息系统和组织的安全管理建议

  1. 权限控制
  2. 认知与培训
  3. 审计与义务
  4. 评估与授权
  5. 配置管理
  6. 偶发事件的计划
  7. 确认与鉴定
  8. 事故的反应
  9. 维护
  10. 媒体的保护
  11. 机器与环境的保护
  12. 个人安全
  13. 风险评估
  14. 系统与服务的获取
  15. 系统与信息交互的保护
  16. 系统与信息的完整度

持续监控

这个想法是在系统开发生命周期中引入一种动态的,持续的监控程序,由此来判断安全管理的持续有效性。这个流程包括为云计算环境提供一种修改监听程序的能力。在这种机制下,云服务提供商是松散定义的和开放式管理的,所以联邦政府或许可以公开的给公有云服务商提供支持,其中包括: Amazon, Microsoft 和 Salesforce.com. 这里看来,文章的开始篇幅是重点介绍了私有云的示例,并且在接下来的篇幅中继续说明。

以下列表是针对所有云服务提供商所要求提供的报告和文件

  • 补丁管理 – 每月
  • FDCC 验证 – 每季度
  • 事故反应计划 – 每年
  • POAM 纠正 – 每季度
  • 管理权限改变流程 – 每年
  • 入侵测试 – 没年
  • 合作商的管理 – 每半年
  • 证明系统边界的扫描 – 每季度
  • 系统配置管理 – 每季度
  • FISMA 报告 – 每季度
  • 更新文档 – 没季度
  • 偶发事件计划与测试报告 – 每年
  • 责任矩阵的区分 – 每年
  • 信息安全认证和培训 – 每年

潜在的评估和授权方式

CIO 办公室把云计算视为消除联邦政府部门之间信息壁垒的一次机会,并且它可以为共享的系统创建一种统一的安全底线。不过,这个想法的实现难度可能很大,因为政府的预算往往会分配给指定的政府机构或者主动权的拥有者,显而易见的,他们往往不支持这样一个共享的成本结构。如果 CIO 办公室可以消除此类障碍,对于美国纳税人而言,云计算是一个主张高效与节约的政府环境的突破口。所以这就是创建 FedRAMP 的原因,她的目标是:

  • 保证政府层面使用的信息系统和服务有足够的安全性
  • 避免重复的工作和减少风险管理成本
  • 针对联邦政府部的信息系统 / 服务,启动快速的和成本效益为导向的采购

总结

总而言之,这篇文章提出了一种为实现和管理云计算而创造彻底安全与管控的计划。在这个计划中,云计算的信息管理的各个方面都被定义和表达出来了,主要目标就是通过私有机构和全球化商业 机构 来提供云计算的完美框架。针对云计算概念被政府广泛的采纳与认同,这是全新的和坚实的第一步。

这份提议可以公开评论,您可以通过 FedRAMP 在 2010 年 12 月 2 日凌晨前提交您的评论。

查看英文原文: US Government: Proposed Assessment and Authorization for Cloud Computing

2010-12-16 20:151700

评论

发布
暂无评论
发现更多内容

Go语言chan实现原理,彻底搞懂chan读写机制

微客鸟窝

Go 语言 8月日更

史上最大DDoS攻击之争:这三次攻击,谁才是「最大」?

百度开发者中心

最佳实践 方法论 信息安全 案例分析 行业深度

高可用架构演进之单元化

华为云开发者联盟

物联网 IoT 华为云

Android技术分享| 自定义ViewGroup实现直播间大小屏无缝切换

anyRTC开发者

android 音视频 实时通信 Android开发 大小屏切换

JavaScript 的 null 和 undefined 判断

HoneyMoose

如何理解 Java 多线程

HoneyMoose

用Python爬取《王者荣耀》英雄皮肤数据并可视化分析,用图说话

Python研究者

8月日更

细数浅拷贝和深拷贝

苹果看辽宁体育

Java 后端

什么是强化学习?

华为云开发者联盟

机器学习 强化学习 智能体 环境 动作空间

浅谈在探索数分之路上“数据思维”培养

小飞象@木木自由

数据分析 数据思维

索信达控股: 银行对公业务数字化营销进阶攻略

索信达控股

MaxCompute执行引擎核心技术DAG揭秘

阿里云大数据AI技术

Java 为什么设计成 String 不能用 == 来进行比较

HoneyMoose

网络货运平台要智能,安全的数据底座少不了

华为云开发者联盟

数据库 华为云 物流 智慧物流 可视化追踪

Vue进阶(四十):ref ($refs) 用法详解

No Silver Bullet

Vue 8月日更

【Vue2.x 源码学习】第三十八篇 - 组件部分 - 组件的编译

Brave

源码 vue2 8月日更

基于昇腾CANN的卡通图像生成可在线体验啦!十分钟带你了解CANN应用开发全流程

华为云开发者联盟

ai框架 CANN 昇腾 昇腾AI应用 图像生成

后Kubernetes时代的虚拟机管理技术之Virtual-Kubelet篇

谐云

k8s 虚拟机

Go1.17正式发布--切片转为数组指针

草原狼

Go 语言

The Data Way Vol.2 | 做个『单纯』的程序员还真不简单

SphereEx

数据库 开源

OPPO数据湖统一存储技术实践

安第斯智能云

大数据 数据湖 存储

架构实战营模块五作业 -微博评论高性能高可用架构

hello

架构训练营

Compose 列表

Changing Lin

8月日更

富文本及编辑器的跨平台方案

vivo互联网技术

跨平台 编辑器 富文本

又翻车了?列表点击事件采集那些你不知道的坑!

神策技术社区

数据库 大前端 后端 代码

Pulsar Manager - Use Docker

ZHOUWEI

Apache Pulsar

从0搭建在线聊天室,只需4步!

网易云信

SpringBoot dockerfile生成镜像

Rubble

8月日更

解读短小精悍的 Then 框架

fuyoufang

ios swift 阅读代码 8月日更

Nginx可观测最佳实践分享,一篇文章带你快速入门!

观测云

nginx 云计算

七步实现列表点击事件的采集

神策技术社区

大前端 后端 代码

美国政府提议对云计算进行评估与授权_治理_James Vastbinder_InfoQ精选文章