云計(jì)算在經(jīng)濟(jì)高效、敏捷和創(chuàng)新等方面的突出優(yōu)勢(shì),受到各國政府的廣泛重視。文章在考察美國政府云計(jì)算安全進(jìn)展基礎(chǔ)上,詳細(xì)分析了美國政府在云計(jì)算安全組織建立、安全管理框架設(shè)計(jì)、安全基線制定、評(píng)估和授權(quán)、安全服務(wù)采購等方面的策略,這些策略可以為中國政府部門采購和管理安全的云服務(wù)提供參考。
引言
由于云計(jì)算在經(jīng)濟(jì)、敏捷和創(chuàng)新方面的突出特點(diǎn),受到美國政府高度重視。早在2009 年1 月, 美國行政管理和預(yù)算局(OMB)就開始關(guān)注云計(jì)算和虛擬化。3 月維維克·昆德拉被任命為聯(lián)邦政府首席信息官委員會(huì)(CIOC)的首席信息官后即表示將推動(dòng)政府采用云計(jì)算,啟動(dòng)了聯(lián)邦云計(jì)算倡議(FCCI),成立了專門管理組織,包括下設(shè)于CIOC 的決策機(jī)構(gòu)“FCCI 執(zhí)行促進(jìn)委員會(huì)”(ESC)和顧問機(jī)構(gòu)“FCCI 云計(jì)算顧問委員會(huì)”(CCAC)以及下設(shè)于總務(wù)管理局(GSA)的FCCI 日常辦公機(jī)構(gòu)“云計(jì)算項(xiàng)目管理辦公室”(CCPMO),并確定了聯(lián)邦政府云計(jì)算發(fā)展目標(biāo)。5 月份發(fā)布的2010 財(cái)年美國政府預(yù)算報(bào)告的《遠(yuǎn)景分析》中明確提出要開展云計(jì)算示范項(xiàng)目,通過優(yōu)化云計(jì)算平臺(tái)來優(yōu)化通用的服務(wù)和解決方案,并在隨后發(fā)布了聯(lián)邦政府云服務(wù)采購書面需求單和上線了app.gov 云服務(wù)在線店面。2010 年12 月份發(fā)布了《改革聯(lián)邦信息技術(shù)管理的25 點(diǎn)實(shí)施計(jì)劃》,要求聯(lián)邦政府與數(shù)據(jù)中心整合相配合,實(shí)施“云首選”的策略等。2011 年發(fā)布了《聯(lián)邦云計(jì)算戰(zhàn)略》,確定了云遷移的三步走決策框架以及促進(jìn)云計(jì)算發(fā)展的6 方面措施。
在美國聯(lián)邦政府大力推進(jìn)云計(jì)算的同時(shí),美國政府大力研究和制定云計(jì)算安全策略。本文在簡要分析美國政府云計(jì)算安全進(jìn)展的基礎(chǔ)上,重點(diǎn)剖析了美國政府云計(jì)算安全策略,可為我國政府發(fā)展云計(jì)算提供有價(jià)值的參考。
1. 美國聯(lián)邦政府云計(jì)算安全發(fā)展過程
昆德拉上任時(shí)就承認(rèn)云計(jì)算可能存在隱私泄露或其它安全隱患,但表示不能因此而錯(cuò)過云計(jì)算的速度和效率。2009 年5月召開的云計(jì)算倡議工業(yè)界峰會(huì)上,美國產(chǎn)業(yè)界認(rèn)識(shí)到云計(jì)算在法律法規(guī)和政策以及I T 安全和隱私方面的挑戰(zhàn),深入討論了云計(jì)算認(rèn)證認(rèn)可、訪問控制和身份管理、數(shù)據(jù)和應(yīng)用安全、可移植性和互操作性以及服務(wù)級(jí)別協(xié)議(S L A)等。5 月份的《遠(yuǎn)景分析》中指出了與新技術(shù)服務(wù)交付模型相關(guān)的風(fēng)險(xiǎn),包括政策的變化、動(dòng)態(tài)應(yīng)用的實(shí)施以及動(dòng)態(tài)環(huán)境的安全保障,要求建立一個(gè)項(xiàng)目管理辦公室來實(shí)施工業(yè)界最佳實(shí)踐和政府項(xiàng)目管理方面的政策。10 月份國家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)在《有效安全地使用云計(jì)算范式》的研究報(bào)告中分析了云計(jì)算安全的眾多優(yōu)勢(shì)和挑戰(zhàn)。
2010 年2 月美國啟動(dòng)了政府范圍的云計(jì)算解決方案的安全認(rèn)證認(rèn)可過程的開發(fā)。8 月CIOC 發(fā)布了《聯(lián)邦部門和機(jī)構(gòu)使用云計(jì)算的隱私建議》,指出云環(huán)境下隱私風(fēng)險(xiǎn)跟法律法規(guī)、隱私數(shù)據(jù)存儲(chǔ)位置、云服務(wù)商服務(wù)條款和隱私保護(hù)策略有關(guān),并指出了9 類風(fēng)險(xiǎn),通過使用相關(guān)標(biāo)準(zhǔn)、簽署隱私保護(hù)的補(bǔ)充合同條款、進(jìn)行隱私門檻分析和隱私影響評(píng)估、充分考慮相關(guān)的隱私保護(hù)法律,可以有效加強(qiáng)云計(jì)算環(huán)境下的隱私保護(hù)。9 月非盈利組織MITRE 給出了《政府客戶云計(jì)算SL A 考慮》。11 月份,NIST、GSA、CIOC 以及信息安全及身份管理委員會(huì)(ISIMC)等組成的團(tuán)隊(duì)歷時(shí)18 個(gè)月提出了《美國政府云計(jì)算安全評(píng)估和授權(quán)建議方案》,該方案由云計(jì)算安全要求基線、持續(xù)監(jiān)視、評(píng)估和授權(quán)三部分組成。12月,在《改革聯(lián)邦信息技術(shù)管理的25 點(diǎn)實(shí)施計(jì)劃》中指出安全、互操作性、可移植性是云計(jì)算被接納的主要障礙。
2011 年1 月國土安全部( DHS ) 給出了《從安全角度看云計(jì)算:聯(lián)邦I(lǐng)T 管理者入門》讀本,指出了聯(lián)邦面臨的16 項(xiàng)關(guān)鍵安全挑戰(zhàn):隱私、司法、調(diào)查與電子發(fā)現(xiàn)、數(shù)據(jù)保留、過程驗(yàn)證、多租戶、安全評(píng)估、共享風(fēng)險(xiǎn)、人員安全甄選、分布式數(shù)據(jù)中心、物理安全、程序編碼安全、數(shù)據(jù)泄露、未來的規(guī)章制度、云計(jì)算應(yīng)用、有能力的IT人員挑戰(zhàn),NIST 發(fā)布了《公共云計(jì)算安全和隱私指南》和《完全虛擬化技術(shù)安全指南》。2 月份的《聯(lián)邦云計(jì)算戰(zhàn)略》指出在管理云服務(wù)時(shí)要主動(dòng)監(jiān)視和定期評(píng)估,確保一個(gè)安全可信的環(huán)境,并做出了戰(zhàn)略部署,包括推動(dòng)聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理項(xiàng)目(FedRAMP)、DHS 要每6個(gè)月或按需發(fā)布一個(gè)安全威脅TOP 列表并給出合適的安全控制措施和方法,NIST 要發(fā)布一些安全技術(shù)指南。
2011 年12 月OMB 發(fā)布了一項(xiàng)關(guān)于“云計(jì)算環(huán)境下信息系統(tǒng)安全授權(quán)”的首席信息官備忘錄,正式設(shè)立FedRAMP 項(xiàng)目。
2012 年2 月成立了FedRAMP 項(xiàng)目聯(lián)合授權(quán)委員會(huì)(JAB)并發(fā)布了《FedRAMP 概念框架(CONOPS)》、《FedRAMP 安全控制措施》。
2. 美國聯(lián)邦政府云計(jì)算安全策略分析
2.1 高度重視云計(jì)算安全和隱私、可移植性和互操作性,對(duì)云服務(wù)實(shí)施基于風(fēng)險(xiǎn)的管理
美國聯(lián)邦政府在推動(dòng)云計(jì)算一開始就認(rèn)識(shí)到云計(jì)算安全和隱私、可移植性和互操作性是云計(jì)算被接納的主要障礙,并給予了高度重視。美國聯(lián)邦政府認(rèn)為,對(duì)于云服務(wù)要實(shí)施基于風(fēng)險(xiǎn)的安全管理,在控制風(fēng)險(xiǎn)的基礎(chǔ)上,充分利用云計(jì)算高效、快捷、利于革新等重要優(yōu)勢(shì),并啟動(dòng)了聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理項(xiàng)目(FedRAMP)。
2.2 加強(qiáng)云計(jì)算安全管理,明確安全管理相關(guān)方及其職責(zé)
首先,明確了云計(jì)算安全管理的政府部門角色及其職責(zé):
1) 聯(lián)合授權(quán)委員會(huì)(JAB):成立了由國防部(DOD)、DHS、GSA 三方組成的聯(lián)合授權(quán)委員會(huì)JAB,主要負(fù)責(zé)制定更新安全基線要求、批準(zhǔn)第三方評(píng)估機(jī)構(gòu)認(rèn)可標(biāo)準(zhǔn)、設(shè)立優(yōu)先順序并評(píng)審云服務(wù)授權(quán)包、對(duì)云服務(wù)供應(yīng)進(jìn)行初始授權(quán)等;2)FedRAMP 項(xiàng)目管理辦公室(FedRAMPPMO):設(shè)立于GSA,負(fù)責(zé)管理評(píng)估、授權(quán)、持續(xù)監(jiān)視過程等, 并與NIST 合作實(shí)施對(duì)第三方評(píng)估組織的符合性評(píng)估;3)國土安全部:主要負(fù)責(zé)監(jiān)視、響應(yīng)、報(bào)告安全事件,為可信互聯(lián)網(wǎng)聯(lián)接提供指南等;4)各執(zhí)行部門或機(jī)構(gòu):按照DHS、JAB 等要求評(píng)估、授權(quán)、使用和監(jiān)視云服務(wù)等,并每年4 月向CIOC 提供由本部門CIO 和CFO 簽發(fā)的認(rèn)證;5)首席信息官委員會(huì):負(fù)責(zé)出版和分發(fā)來自FedRAMP PMO 和JAB 的信息。
其次,明確了FedRAMP 項(xiàng)目相關(guān)方的角色和職責(zé)(如圖1)。這些角色中除了DHS、JAB、FedRAMPPMO、各執(zhí)行部門或機(jī)構(gòu)、CIOC 外,還包括云服務(wù)商(CSP)和第三方評(píng)估組織(3PAO)。云服務(wù)商實(shí)現(xiàn)安全控制措施;創(chuàng)建滿足FedRAMP 需求的安全評(píng)估包;與第三方評(píng)估機(jī)構(gòu)聯(lián)系,執(zhí)行初始的系統(tǒng)評(píng)估,以及運(yùn)行中所需的評(píng)估與授權(quán);維護(hù)連續(xù)監(jiān)視項(xiàng)目;遵從有關(guān)變更管理和安全事件報(bào)告的聯(lián)邦需求。
第三方評(píng)估組織保持滿足FedRAMP 所需的獨(dú)立性和技術(shù)優(yōu)勢(shì);對(duì)CSP 系統(tǒng)執(zhí)行獨(dú)立評(píng)估,并創(chuàng)建滿足FedRAMP 需求的安全評(píng)估包清單。
FedRAMP 項(xiàng)目相關(guān)方的角色和職責(zé)
2.3 注重云計(jì)算安全管理的頂層設(shè)計(jì)