首页 首页 云计算 查看内容

美联邦:安全问题顾虑阻碍云计算落地进程

木马童年 2018-11-9 15:42 4 0

《》(全球IP通信联盟旗下媒体)10月11日讯(上海)美国总务署(The General Services Administration)正在加速实施联邦风险和授权管理体系(FedRAMP),旨在为云供应商的运作提供一个政府范围的临时权力机构。然而政府 ...

《》(全球IP通信联盟旗下媒体)10月11日讯(上海)美国总务署(The General Services Administration)正在加速实施联邦风险和授权管理体系(FedRAMP),旨在为云供应商的运作提供一个政府范围的临时权力机构。然而政府官员向议会小组透露,对于云计算这个崭新的计算模型,联邦政府欠缺一个完整的框架来满足安全要求。

政府问责局(Government Accountability Office)信息安全主管Gregory Wilshusen表示:“毋庸置疑,云计算的采用有望为联邦政府创造价值,然而云计算也可能引发大量的信息安全风险。想要确保云计算在联邦政府的安全实施,我们需要付出锲而不舍的努力。”

Wilshusen在10月6日的听证会上表示,我们欣喜地看到很多机构已经为之付出努力,例如全球移动设备供应商协会(Global mobile Suppliers Association,GSA),美国行政管理和预算局 (Office of Management and Budget),美国首席信息官委员会(The Federal CIO Council),美国国家标准技术研究所(National Institute of Standards and Technology,NIST)。然而,政策和进程均有待完善,这可能会减缓云计算的正常采用。另外,美国众议院国土安全委员会(House Homeland Security Committee)的网际安全(Cybersecurity)、基础设施保护及安全委员会也出席了该听证会。

联邦政府的首份云策略(Cloud First policy)呼吁机构在作出新的IT投资前,考虑云计算选项。而机构也在逐渐探索,开始向“云”过渡。美国国土安全部(DHS)的首席信息官Richard Spires表示,DHS正在混合采用私有云和公有云平台,即将低影响的应用程序托管给商业服务提供商,而将中高级影响的应用程序和服务存储于两个数据中心。

Spires说,并非所有的云平台都受到了完全的保护。一些云环境具备抵御攻击和灾难恢复的能力,比如说先进的监测能力和信息安全专家,而有些就并非如此了。在激烈的市场竞争下,迫于创建安全功能的成本增高,云供应商不得不抬高定价以保证自己的利益。

Spires进一步表示,在私有云中托管应用程序帮助DHS通过企业安全项目来保护应用程序的安全。

为了满足《联邦信息安全管理法案》(the Federal Information Security Management Act)的要求,公有云产品在部署前必须仔细评估。为了缓解行业和机构的负担且促进其更好地发展,全球移动设备供应商协会(GSA)正在努力提供一个政府范围的方案,旨在评估安全性能,同时为机构的经营提供临时授权。

GSA公民服务创新技术办公室的副署长David McClure表示,联邦风险和授权管理体系(即FedRAMP),为《联邦信息安全管理法案》中低风险级别的基线安全评估和连续监测要求创建了一套统一标准(根据NIST标准,中低风险级别是所有云系统都必须实现的)。

商业云服务提供商的第三方评审需要经由GSA认可,GSA会提供一个临时的经营许可。与服务提供商签订合同的机构拥有临时授权的使用权,根据机构的特定需求,如有必要可以进行最后认证。服务提供商必须向国土安全部和机构安全运营中心提交连续监测数据的准实时报告(near-real-time reporting)。

FedRAMP将分阶段推出。根据美国管理与预算办公室(Office of Management and Budget,OMB)消息,FedRAMP预计将于今年秋天正式试运。在其初始作战能力有限的范围内,FedRAMP将首先覆盖少量的云服务供应商。预计到明年春天会进行全面运作。满足市场需求的大规模的持续运营则预计于2012年年底拉开序幕。

不可否认,安全方面的顾虑依旧存在,尤其是在公有云环境下。对此,Wilshusen罗列了一些具体顾虑:

安全控制方面有待完善,目前仍然存有安全漏洞。

供应商在负责机构的有关安全控制时,对于机构数据的管理及物理防治仍有疏忽。

针对服务提供商雇员的背景安全调查不够到位。

供应商可能倒闭,或者停止提供服务。

由虚拟环境中的多个租户(multiple tenants)引发的安全漏洞。

虽然安全问题得到重视,但相应的综合性解决方案仍旧空缺。直到框架全部完成才后知后觉,认识到云计算的所有好处。

(By William Jackson,Vicky 编译)

在不久的将来,多智时代一定会彻底走入我们的生活,有兴趣入行未来前沿产业的朋友,可以收藏多智时代,及时获取人工智能、大数据、云计算和物联网的前沿资讯和基础知识,让我们一起携手,引领人工智能的未来!

云供应商 云计算 信息安全 移动设备 供应商 国家标准
0
为您推荐
去中心化:比云计算影响更大的下一波计算浪潮

去中心化:比云计算影响更大的下一波计算浪

事物的发展往往呈现出波浪式前进、螺旋式上升的特点。螺旋式上升意味着事物的发展趋势…...

为什么企业需要把所有东西都移动到云?

为什么企业需要把所有东西都移动到云?

  到目前为止,几乎所有的公司,至少都在使用一种IT云服务。由于其固有的优势,随着…...

OpenStack Neutron 架构指南

OpenStack Neutron 架构指南

一.前言由于OpenStack Neutron项目本身的高度复杂性和抽象性,加之我仅作为一名初学…...

云计算定义是什么,云计算的主机安全问题需要重视!

云计算定义是什么,云计算的主机安全问题需

主机安全是云计算安全中的一个非常重要的组成部分,需要结合传统的主机安全技术和云计…...

【云计算】在Devops世界中的混合云

【云计算】在Devops世界中的混合云

如果IT中的devops运动教会了我们什么,那就是竖井与敏捷实践相对立并产生脆弱性。 在…...

云将走向终结,主要原因是什么?

云将走向终结,主要原因是什么?

一直以来,都有这样的一个传统观点:运行服务器的应用程序,无论是Web应用还是移动应…...

银行信息化主管解读银行业数据大集中

银行信息化主管解读银行业数据大集中

日前,中国进出口银行信息技术部总经理王云生表示,数据大集中不仅是一个技术名词。而…...

贝索斯每年只从亚马逊领8万工资?美股年报该这么挖

贝索斯每年只从亚马逊领8万工资?美股年报

原标题:贝索斯每年只从亚马逊领8万工资?美股年报该这么挖 图片来源:视觉中国 “…...

云计算背后的运维,你了解多少?

云计算背后的运维,你了解多少?

随着智慧城市、智慧家庭等物联网应用的普及,万物智能互联产生的数据量愈加庞大,对计…...

亚马逊大数据揭2016年中国最爱阅读城市榜,合肥荣登首位

亚马逊大数据揭2016年中国最爱阅读城市榜,

与2015年中最爱阅读城市榜相比,亚马逊中国2016年中最爱阅读城市榜前十城市中,只有温…...