云計算在經(jīng)濟高效、敏捷和創(chuàng )新等方面的突出優(yōu)勢,受到各國政府的廣泛重視。文章在考察美國政府云計算安全進(jìn)展基礎上,詳細分析了美國政府在云計算安全組織建立、安全管理框架設計、安全基線(xiàn)制定、評估和授權、安全服務(wù)采購等方面的策略,這些策略可以為中國政府部門(mén)采購和管理安全的云服務(wù)提供參考。
引言
由于云計算在經(jīng)濟、敏捷和創(chuàng )新方面的突出特點(diǎn),受到美國政府高度重視。早在2009 年1 月, 美國行政管理和預算局(OMB)就開(kāi)始關(guān)注云計算和虛擬化。3 月維維克·昆德拉被任命為聯(lián)邦政府首席信息官委員會(huì )(CIOC)的首席信息官后即表示將推動(dòng)政府采用云計算,啟動(dòng)了聯(lián)邦云計算倡議(FCCI),成立了專(zhuān)門(mén)管理組織,包括下設于CIOC 的決策機構“FCCI 執行促進(jìn)委員會(huì )”(ESC)和顧問(wèn)機構“FCCI 云計算顧問(wèn)委員會(huì )”(CCAC)以及下設于總務(wù)管理局(GSA)的FCCI 日常辦公機構“云計算項目管理辦公室”(CCPMO),并確定了聯(lián)邦政府云計算發(fā)展目標。5 月份發(fā)布的2010 財年美國政府預算報告的《遠景分析》中明確提出要開(kāi)展云計算示范項目,通過(guò)優(yōu)化云計算平臺來(lái)優(yōu)化通用的服務(wù)和解決方案,并在隨后發(fā)布了聯(lián)邦政府云服務(wù)采購書(shū)面需求單和上線(xiàn)了app.gov 云服務(wù)在線(xiàn)店面。2010 年12 月份發(fā)布了《改革聯(lián)邦信息技術(shù)管理的25 點(diǎn)實(shí)施計劃》,要求聯(lián)邦政府與數據中心整合相配合,實(shí)施“云首選”的策略等。2011 年發(fā)布了《聯(lián)邦云計算戰略》,確定了云遷移的三步走決策框架以及促進(jìn)云計算發(fā)展的6 方面措施。
在美國聯(lián)邦政府大力推進(jìn)云計算的同時(shí),美國政府大力研究和制定云計算安全策略。本文在簡(jiǎn)要分析美國政府云計算安全進(jìn)展的基礎上,重點(diǎn)剖析了美國政府云計算安全策略,可為我國政府發(fā)展云計算提供有價(jià)值的參考。
1. 美國聯(lián)邦政府云計算安全發(fā)展過(guò)程
昆德拉上任時(shí)就承認云計算可能存在隱私泄露或其它安全隱患,但表示不能因此而錯過(guò)云計算的速度和效率。2009 年5月召開(kāi)的云計算倡議工業(yè)界峰會(huì )上,美國產(chǎn)業(yè)界認識到云計算在法律法規和政策以及I T 安全和隱私方面的挑戰,深入討論了云計算認證認可、訪(fǎng)問(wèn)控制和身份管理、數據和應用安全、可移植性和互操作性以及服務(wù)級別協(xié)議(S L A)等。5 月份的《遠景分析》中指出了與新技術(shù)服務(wù)交付模型相關(guān)的風(fēng)險,包括政策的變化、動(dòng)態(tài)應用的實(shí)施以及動(dòng)態(tài)環(huán)境的安全保障,要求建立一個(gè)項目管理辦公室來(lái)實(shí)施工業(yè)界最佳實(shí)踐和政府項目管理方面的政策。10 月份國家標準和技術(shù)研究所(NIST)在《有效安全地使用云計算范式》的研究報告中分析了云計算安全的眾多優(yōu)勢和挑戰。
2010 年2 月美國啟動(dòng)了政府范圍的云計算解決方案的安全認證認可過(guò)程的開(kāi)發(fā)。8 月CIOC 發(fā)布了《聯(lián)邦部門(mén)和機構使用云計算的隱私建議》,指出云環(huán)境下隱私風(fēng)險跟法律法規、隱私數據存儲位置、云服務(wù)商服務(wù)條款和隱私保護策略有關(guān),并指出了9 類(lèi)風(fēng)險,通過(guò)使用相關(guān)標準、簽署隱私保護的補充合同條款、進(jìn)行隱私門(mén)檻分析和隱私影響評估、充分考慮相關(guān)的隱私保護法律,可以有效加強云計算環(huán)境下的隱私保護。9 月非盈利組織MITRE 給出了《政府客戶(hù)云計算SL A 考慮》。11 月份,NIST、GSA、CIOC 以及信息安全及身份管理委員會(huì )(ISIMC)等組成的團隊歷時(shí)18 個(gè)月提出了《美國政府云計算安全評估和授權建議方案》,該方案由云計算安全要求基線(xiàn)、持續監視、評估和授權三部分組成。12月,在《改革聯(lián)邦信息技術(shù)管理的25 點(diǎn)實(shí)施計劃》中指出安全、互操作性、可移植性是云計算被接納的主要障礙。
2011 年1 月國土安全部( DHS ) 給出了《從安全角度看云計算:聯(lián)邦I(lǐng)T 管理者入門(mén)》讀本,指出了聯(lián)邦面臨的16 項關(guān)鍵安全挑戰:隱私、司法、調查與電子發(fā)現、數據保留、過(guò)程驗證、多租戶(hù)、安全評估、共享風(fēng)險、人員安全甄選、分布式數據中心、物理安全、程序編碼安全、數據泄露、未來(lái)的規章制度、云計算應用、有能力的IT人員挑戰,NIST 發(fā)布了《公共云計算安全和隱私指南》和《完全虛擬化技術(shù)安全指南》。2 月份的《聯(lián)邦云計算戰略》指出在管理云服務(wù)時(shí)要主動(dòng)監視和定期評估,確保一個(gè)安全可信的環(huán)境,并做出了戰略部署,包括推動(dòng)聯(lián)邦風(fēng)險和授權管理項目(FedRAMP)、DHS 要每6個(gè)月或按需發(fā)布一個(gè)安全威脅TOP 列表并給出合適的安全控制措施和方法,NIST 要發(fā)布一些安全技術(shù)指南。
2011 年12 月OMB 發(fā)布了一項關(guān)于“云計算環(huán)境下信息系統安全授權”的首席信息官備忘錄,正式設立FedRAMP 項目。
2012 年2 月成立了FedRAMP 項目聯(lián)合授權委員會(huì )(JAB)并發(fā)布了《FedRAMP 概念框架(CONOPS)》、《FedRAMP 安全控制措施》。
2. 美國聯(lián)邦政府云計算安全策略分析
2.1 高度重視云計算安全和隱私、可移植性和互操作性,對云服務(wù)實(shí)施基于風(fēng)險的管理
美國聯(lián)邦政府在推動(dòng)云計算一開(kāi)始就認識到云計算安全和隱私、可移植性和互操作性是云計算被接納的主要障礙,并給予了高度重視。美國聯(lián)邦政府認為,對于云服務(wù)要實(shí)施基于風(fēng)險的安全管理,在控制風(fēng)險的基礎上,充分利用云計算高效、快捷、利于革新等重要優(yōu)勢,并啟動(dòng)了聯(lián)邦風(fēng)險和授權管理項目(FedRAMP)。
2.2 加強云計算安全管理,明確安全管理相關(guān)方及其職責
首先,明確了云計算安全管理的政府部門(mén)角色及其職責:
1) 聯(lián)合授權委員會(huì )(JAB):成立了由國防部(DOD)、DHS、GSA 三方組成的聯(lián)合授權委員會(huì )JAB,主要負責制定更新安全基線(xiàn)要求、批準第三方評估機構認可標準、設立優(yōu)先順序并評審云服務(wù)授權包、對云服務(wù)供應進(jìn)行初始授權等;2)FedRAMP 項目管理辦公室(FedRAMPPMO):設立于GSA,負責管理評估、授權、持續監視過(guò)程等, 并與NIST 合作實(shí)施對第三方評估組織的符合性評估;3)國土安全部:主要負責監視、響應、報告安全事件,為可信互聯(lián)網(wǎng)聯(lián)接提供指南等;4)各執行部門(mén)或機構:按照DHS、JAB 等要求評估、授權、使用和監視云服務(wù)等,并每年4 月向CIOC 提供由本部門(mén)CIO 和CFO 簽發(fā)的認證;5)首席信息官委員會(huì ):負責出版和分發(fā)來(lái)自FedRAMP PMO 和JAB 的信息。
其次,明確了FedRAMP 項目相關(guān)方的角色和職責(如圖1)。這些角色中除了DHS、JAB、FedRAMPPMO、各執行部門(mén)或機構、CIOC 外,還包括云服務(wù)商(CSP)和第三方評估組織(3PAO)。云服務(wù)商實(shí)現安全控制措施;創(chuàng )建滿(mǎn)足FedRAMP 需求的安全評估包;與第三方評估機構聯(lián)系,執行初始的系統評估,以及運行中所需的評估與授權;維護連續監視項目;遵從有關(guān)變更管理和安全事件報告的聯(lián)邦需求。
第三方評估組織保持滿(mǎn)足FedRAMP 所需的獨立性和技術(shù)優(yōu)勢;對CSP 系統執行獨立評估,并創(chuàng )建滿(mǎn)足FedRAMP 需求的安全評估包清單。
FedRAMP 項目相關(guān)方的角色和職責
2.3 注重云計算安全管理的頂層設計
