摘要:在美國(guó)聯(lián)邦政府大力推進(jìn)云計(jì)算的同時(shí)�����,美國(guó)政府大力研究和制定云計(jì)算安全策略��。年月美國(guó)啟動(dòng)了政府范圍的云計(jì)算解決方案的安全認(rèn)證認(rèn)可過(guò)程的開(kāi)發(fā)��。
引言
由于云計(jì)算在經(jīng)濟(jì)��、敏捷和創(chuàng)新方面的突出特點(diǎn)����,受到美國(guó)政府高度重視�����。早在2009 年1 月,
美國(guó)行政管理和預(yù)算局(OMB)就開(kāi)始關(guān)注云計(jì)算和虛擬化。3
月維維克·昆德拉被任命為聯(lián)邦政府首席信息官委員會(huì)(CIOC)的首席信息官后即表示將推動(dòng)政府采用云計(jì)算����,啟動(dòng)了聯(lián)邦云計(jì)算倡議(FCCI),成立了專(zhuān)
門(mén)管理組織�,包括下設(shè)于CIOC 的決策機(jī)構(gòu)“FCCI 執(zhí)行促進(jìn)委員會(huì)”(ESC)和顧問(wèn)機(jī)構(gòu)“FCCI
云計(jì)算顧問(wèn)委員會(huì)”(CCAC)以及下設(shè)于總務(wù)管理局(GSA)的FCCI
日常辦公機(jī)構(gòu)“云計(jì)算項(xiàng)目管理辦公室”(CCPMO),并確定了聯(lián)邦政府云計(jì)算發(fā)展目標(biāo)�����。5 月份發(fā)布的2010
財(cái)年美國(guó)政府預(yù)算報(bào)告的《遠(yuǎn)景分析》中明確提出要開(kāi)展云計(jì)算示范項(xiàng)目�����,通過(guò)優(yōu)化云計(jì)算平臺(tái)來(lái)優(yōu)化通用的服務(wù)和解決方案���,并在隨后發(fā)布了聯(lián)邦政府云服務(wù)采購(gòu)
書(shū)面需求單和上線了app.gov 云服務(wù)在線店面�����。2010 年12 月份發(fā)布了《改革聯(lián)邦信息技術(shù)管理的25
點(diǎn)實(shí)施計(jì)劃》���,要求聯(lián)邦政府與數(shù)據(jù)中心整合相配合��,實(shí)施“云推薦”的策略等���。2011
年發(fā)布了《聯(lián)邦云計(jì)算戰(zhàn)略》,確定了云遷移的三步走決策框架以及促進(jìn)云計(jì)算發(fā)展的6 方面措施。
在美國(guó)聯(lián)邦政府大力推進(jìn)云計(jì)算的同時(shí)���,美國(guó)政府大力研究和制定云計(jì)算安全策略�����。本文在簡(jiǎn)要分析美國(guó)政府云計(jì)算安全進(jìn)展的基礎(chǔ)上����,重點(diǎn)剖析了美國(guó)政府云計(jì)算安全策略����,可為我國(guó)政府發(fā)展云計(jì)算提供有價(jià)值的參考。
?
?
1 美國(guó)聯(lián)邦政府云計(jì)算安全發(fā)展過(guò)程
?
昆德拉上任時(shí)就承認(rèn)云計(jì)算可能存在隱私泄露或其它安全隱患����,但表示不能因此而錯(cuò)過(guò)云計(jì)算的速度和效率����。2009
年5月召開(kāi)的云計(jì)算倡議工業(yè)界峰會(huì)上�����,美國(guó)產(chǎn)業(yè)界認(rèn)識(shí)到云計(jì)算在法律法規(guī)和政策以及I T
安全和隱私方面的挑戰(zhàn)��,深入討論了云計(jì)算認(rèn)證認(rèn)可����、訪問(wèn)控制和身份管理����、數(shù)據(jù)和應(yīng)用安全、可移植性和互操作性以及服務(wù)級(jí)別協(xié)議(S L A)等���。5
月份的《遠(yuǎn)景分析》中指出了與新技術(shù)服務(wù)交付模型相關(guān)的風(fēng)險(xiǎn)��,包括政策的變化����、動(dòng)態(tài)應(yīng)用的實(shí)施以及動(dòng)態(tài)環(huán)境的安全保障���,要求建立一個(gè)項(xiàng)目管理辦公室來(lái)實(shí)施
工業(yè)界較佳實(shí)踐和政府項(xiàng)目管理方面的政策����。10
月份國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)在《有效安全地使用云計(jì)算范式》的研究報(bào)告中分析了云計(jì)算安全的眾多優(yōu)勢(shì)和挑戰(zhàn)。
2010 年2 月美國(guó)啟動(dòng)了政府范圍的云計(jì)算解決方案的安全認(rèn)證認(rèn)可過(guò)程的開(kāi)發(fā)���。8 月CIOC
發(fā)布了《聯(lián)邦部門(mén)和機(jī)構(gòu)使用云計(jì)算的隱私建議》��,指出云環(huán)境下隱私風(fēng)險(xiǎn)跟法律法規(guī)����、隱私數(shù)據(jù)存儲(chǔ)位置�、云服務(wù)商服務(wù)條款和隱私保護(hù)策略有關(guān),并指出了9
類(lèi)風(fēng)險(xiǎn)�����,通過(guò)使用相關(guān)標(biāo)準(zhǔn)�����、簽署隱私保護(hù)的補(bǔ)充合同條款��、進(jìn)行隱私門(mén)檻分析和隱私影響評(píng)估����、充分考慮相關(guān)的隱私保護(hù)法律�,可以有效加強(qiáng)云計(jì)算環(huán)境下的隱私
保護(hù)���。9 月非盈利組織MITRE 給出了《政府客戶云計(jì)算SL A 考慮》。11 月份��,NIST��、GSA�、CIOC
以及信息安全及身份管理委員會(huì)(ISIMC)等組成的團(tuán)隊(duì)歷時(shí)18
個(gè)月提出了《美國(guó)政府云計(jì)算安全評(píng)估和授權(quán)建議方案》,該方案由云計(jì)算安全要求基線����、持續(xù)監(jiān)視、評(píng)估和授權(quán)三部分組成���。12月����,在《改革聯(lián)邦信息技術(shù)管理
的25 點(diǎn)實(shí)施計(jì)劃》中指出安全����、互操作性、可移植性是云計(jì)算被接納的主要障礙��。
2011 年1 月國(guó)土安全部( DHS ) 給出了《從安全角度看云計(jì)算:聯(lián)邦I(lǐng)T 管理者入門(mén)》讀本,指出了聯(lián)邦面臨的16
項(xiàng)關(guān)鍵安全挑戰(zhàn):隱私����、司法、調(diào)查與電子發(fā)現(xiàn)����、數(shù)據(jù)保留、過(guò)程驗(yàn)證�、多租戶、安全評(píng)估����、共享風(fēng)險(xiǎn)、人員安全甄選����、分布式數(shù)據(jù)中心、物理安全����、程序編碼安
全、數(shù)據(jù)泄露�、未來(lái)的規(guī)章制度、云計(jì)算應(yīng)用�、有能力的IT人員挑戰(zhàn)���,NIST 發(fā)布了《公共云計(jì)算安全和隱私指南》和《完全虛擬化技術(shù)安全指南》。2
月份的《聯(lián)邦云計(jì)算戰(zhàn)略》指出在管理云服務(wù)時(shí)要主動(dòng)監(jiān)視和定期評(píng)估�����,確保一個(gè)安全可信的環(huán)境����,并做出了戰(zhàn)略部署�����,包括推動(dòng)聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理項(xiàng)目
(FedRAMP)��、DHS 要每6個(gè)月或按需發(fā)布一個(gè)安全威脅TOP 列表并給出合適的安全控制措施和方法����,NIST 要發(fā)布一些安全技術(shù)指南。
2011 年12 月OMB 發(fā)布了一項(xiàng)關(guān)于“云計(jì)算環(huán)境下信息系統(tǒng)安全授權(quán)”的首席信息官備忘錄�,正式設(shè)立FedRAMP 項(xiàng)目。
2012 年2 月成立了FedRAMP 項(xiàng)目聯(lián)合授權(quán)委員會(huì)(JAB)并發(fā)布了《FedRAMP 概念框架(CONOPS)》��、《FedRAMP 安全控制措施》�����。
?
?
2 美國(guó)聯(lián)邦政府云計(jì)算安全策略分析
2.1 高度重視云計(jì)算安全和隱私、可移植性和互操作性���,對(duì)云服務(wù)實(shí)施基于風(fēng)險(xiǎn)的管理
美國(guó)聯(lián)邦政府在推動(dòng)云計(jì)算一開(kāi)始就認(rèn)識(shí)到云計(jì)算安全和隱私�、可移植性和互操作性是云計(jì)算被接納的主要障礙�,并給予了高度重視。美國(guó)聯(lián)邦政府認(rèn)為�,對(duì)于云服
務(wù)要實(shí)施基于風(fēng)險(xiǎn)的安全管理,在控制風(fēng)險(xiǎn)的基礎(chǔ)上�����,充分利用云計(jì)算高效��、快捷����、利于革新等重要優(yōu)勢(shì),并啟動(dòng)了聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理項(xiàng)目(FedRAMP)�。
2.2 加強(qiáng)云計(jì)算安全管理,明確安全管理相關(guān)方及其職責(zé)
首先�,明確了云計(jì)算安全管理的政府部門(mén)角色及其職責(zé):
1) 聯(lián)合授權(quán)委員會(huì)(JAB):成立了由國(guó)防部(DOD)、DHS���、GSA
三方組成的聯(lián)合授權(quán)委員會(huì)JAB���,主要負(fù)責(zé)制定更新安全基線要求����、批準(zhǔn)第三方評(píng)估機(jī)構(gòu)認(rèn)可標(biāo)準(zhǔn)�、設(shè)立優(yōu)先順序并評(píng)審云服務(wù)授權(quán)包、對(duì)云服務(wù)供應(yīng)進(jìn)行初始授
權(quán)等;2)FedRAMP 項(xiàng)目管理辦公室(FedRAMPPMO):設(shè)立于GSA����,負(fù)責(zé)管理評(píng)估���、授權(quán)��、持續(xù)監(jiān)視過(guò)程等, 并與NIST
合作實(shí)施對(duì)第三方評(píng)估組織的符合性評(píng)估;3)國(guó)土安全部:主要負(fù)責(zé)監(jiān)視��、響應(yīng)���、報(bào)告安全事件,為可信互聯(lián)網(wǎng)聯(lián)接提供指南等;4)各執(zhí)行部門(mén)或機(jī)構(gòu):按照
DHS�、JAB 等要求評(píng)估、授權(quán)�、使用和監(jiān)視云服務(wù)等����,并每年4 月向CIOC 提供由本部門(mén)CIO 和CFO
簽發(fā)的認(rèn)證;5)首席信息官委員會(huì):負(fù)責(zé)出版和分發(fā)來(lái)自FedRAMP PMO 和JAB 的信息�����。
其次�,明確了FedRAMP 項(xiàng)目相關(guān)方的角色和職責(zé)(如圖1)。這些角色中除了DHS��、JAB��、FedRAMPPMO�����、各執(zhí)行部門(mén)或機(jī)構(gòu)�、CIOC
外,還包括云服務(wù)商(CSP)和第三方評(píng)估組織(3PAO)�����。云服務(wù)商實(shí)現(xiàn)安全控制措施;創(chuàng)建滿足FedRAMP
需求的安全評(píng)估包;與第三方評(píng)估機(jī)構(gòu)聯(lián)系�����,執(zhí)行初始的系統(tǒng)評(píng)估,以及運(yùn)行中所需的評(píng)估與授權(quán);維護(hù)連續(xù)監(jiān)視項(xiàng)目;遵從有關(guān)變更管理和安全事件報(bào)告的聯(lián)邦需
求�。
第三方評(píng)估組織保持滿足FedRAMP 所需的獨(dú)立性和技術(shù)優(yōu)勢(shì);對(duì)CSP 系統(tǒng)執(zhí)行獨(dú)立評(píng)估,并創(chuàng)建滿足FedRAMP 需求的安全評(píng)估包清單���。
FedRAMP 項(xiàng)目相關(guān)方的角色和職責(zé)
2.3 注重云計(jì)算安全管理的頂層設(shè)計(jì)
美國(guó)聯(lián)邦政府注重對(duì)云計(jì)算安全管理的頂層設(shè)計(jì)���。在政策法規(guī)的指導(dǎo)下,以安全控制基線為基本要求�����,以評(píng)估和授權(quán)以及監(jiān)視為管理抓手���,同時(shí)提供模板、指南等協(xié)助手段����,建立了云計(jì)算安全管理的立體體系(如圖2)。
云計(jì)算安全管理立體體系
政策備忘錄:OMB 于2011 年12 月8 日發(fā)布��,為政府級(jí)云計(jì)算安全提供方向和高級(jí)框架����。
安全控制基線:基于N I S T 發(fā)布的S P800-53 第三版中所描述的安全控制措施指南�,補(bǔ)充和增強(qiáng)了控制措施���,以應(yīng)對(duì)云計(jì)算系統(tǒng)特定的安全脆弱性���。FedRAMP 的安全控制基線于2012 年1 月6 號(hào)多帶帶發(fā)布。
運(yùn)營(yíng)概念(CONOPS):提供對(duì)FedRAMP 的運(yùn)營(yíng)模型與關(guān)鍵過(guò)程的概述�。
運(yùn)營(yíng)模型:FedRAMP 的運(yùn)營(yíng)模型基于OMB 發(fā)布的政策備忘錄,明確FedRAMP 實(shí)現(xiàn)的關(guān)鍵組織���,對(duì)各個(gè)組織運(yùn)營(yíng)角色與職責(zé)進(jìn)行抽象描述�。
關(guān)鍵過(guò)程:指“安全評(píng)估與授權(quán)”����、“第三方評(píng)估”、“正在進(jìn)行的評(píng)估與授權(quán)”��,它們?yōu)镕edRAMP 運(yùn)營(yíng)過(guò)程的三個(gè)主要功能���。
詳細(xì)的模板與指南:云服務(wù)商與第三方評(píng)估組織在FedRAMP 整個(gè)過(guò)程中需要這些文檔模板作為文檔規(guī)范��。
?
2.4 豐富已有安全措施規(guī)范�����,制定云計(jì)算安全基線要求
在《推薦的聯(lián)邦信息系統(tǒng)和組織安全措施》(s p800-53)基礎(chǔ)上�����,根據(jù)云計(jì)算特點(diǎn)���,針對(duì)信息系統(tǒng)的不同等級(jí)(低影響級(jí)和中影響級(jí))����,制定了云計(jì)算安全基線要求《FedRAMP 安全控制措施》��。與傳統(tǒng)安全控制措施相比����,云計(jì)算環(huán)境下需增強(qiáng)的安全控制措施包括:
1)訪問(wèn)控制:要求定義非用戶帳戶(如設(shè)備帳戶)的存活期限、采用基于角色的訪問(wèn)控制���、供應(yīng)商提供安全功能列表、確定系統(tǒng)使用通知的要素��、供應(yīng)商實(shí)現(xiàn)的網(wǎng)絡(luò)協(xié)議要經(jīng)過(guò)JAB 同意等����。
2)審計(jì)和可追蹤:供應(yīng)商要定義審計(jì)的事件集合����、配置軟硬件的審計(jì)特性�、定義審計(jì)記錄類(lèi)型并經(jīng)過(guò)同意、服務(wù)商要實(shí)現(xiàn)合法的加密算法�����、審計(jì)記錄90 天有效等�����。
3)配置管理:要求供應(yīng)商維護(hù)軟件程序列表�����、建立變更控制措施和通知措施�����、建立集中網(wǎng)絡(luò)配置中心且配置列表符合或兼容安全內(nèi)容自動(dòng)化協(xié)議(SCAP)��、確定屬性可追蹤信息等��。
4)持續(xù)性規(guī)劃:要求服務(wù)商確定關(guān)鍵的持續(xù)性人員和組織要素的列表、開(kāi)發(fā)業(yè)務(wù)持續(xù)性測(cè)試計(jì)劃���、確定哪些要素需要備份�、備份如何驗(yàn)證和定期檢查�����、至少保留用戶級(jí)信息的3份備份等��。
5)標(biāo)識(shí)和鑒別:要求供應(yīng)商確定抗重放的鑒別機(jī)制�、提供特定設(shè)備列表等。
6)事件響應(yīng):要求每天提供演練計(jì)劃��、提供事件響應(yīng)人員和組織要素的列表等�����。
7)維護(hù):要確定關(guān)鍵的安全信息系統(tǒng)要素或信息技術(shù)要素����、確定獲取維護(hù)的期限等。
8)介質(zhì)保護(hù):確定介質(zhì)類(lèi)型和保護(hù)方式等����。
9)物理和環(huán)境保護(hù):要確定緊急關(guān)閉的開(kāi)關(guān)位置、測(cè)量溫濕度�、確定可替代的工作節(jié)點(diǎn)的管理、運(yùn)維和技術(shù)信息系統(tǒng)安全控制措施等��。
10)系統(tǒng)和服務(wù)獲?。簩?duì)所有外包的服務(wù)要記錄在案并進(jìn)行風(fēng)險(xiǎn)評(píng)估、對(duì)開(kāi)發(fā)的代碼提供評(píng)估報(bào)告��、確定供應(yīng)鏈威脅的應(yīng)對(duì)措施列表等���。
11)系統(tǒng)和通信保護(hù):確定拒絕服務(wù)攻擊類(lèi)型列表�、使用可信網(wǎng)絡(luò)聯(lián)接傳輸聯(lián)邦信息�����、通信網(wǎng)絡(luò)流量通過(guò)經(jīng)鑒別的服務(wù)器轉(zhuǎn)發(fā)���、使用隔離措施�����。
12)系統(tǒng)和信息完整性:在信息系統(tǒng)監(jiān)視時(shí)要確定額外的指示系統(tǒng)遭到攻擊的指標(biāo)����。其他方面如意識(shí)和培訓(xùn)、評(píng)估和授權(quán)��、規(guī)劃�����、人員安全���、風(fēng)險(xiǎn)評(píng)估則與傳統(tǒng)差別不大���。
2.5 主抓評(píng)估和授權(quán),加強(qiáng)安全監(jiān)視
安全授權(quán)越來(lái)越變?yōu)橐环N高時(shí)間消耗的過(guò)程��,其成本也不斷增加���。政府級(jí)的風(fēng)險(xiǎn)和授權(quán)項(xiàng)目通過(guò)“一次授權(quán)�����,多次應(yīng)用”的方式加速政府部門(mén)采用云服務(wù)的過(guò)程�����,節(jié)約云服務(wù)采用費(fèi)用���,實(shí)現(xiàn)在政府部門(mén)內(nèi)管理目標(biāo)的開(kāi)放和透明。
1)以第三方評(píng)估機(jī)構(gòu)作支撐��,對(duì)云服務(wù)進(jìn)行安全評(píng)估
CSP 向FedRAMP PMO 提出安全評(píng)估請(qǐng)求�,并經(jīng)已獲得授權(quán)的3PAO 檢查與驗(yàn)證后,向FedRAMP PMO
提交評(píng)估材料�,由FedRAMP PMO 組織專(zhuān)家組對(duì)其進(jìn)行評(píng)審。當(dāng)專(zhuān)家組通過(guò)評(píng)估后��,由FedRAMP PMO 向CSP
頒發(fā)初始授權(quán)���。云計(jì)算應(yīng)用部門(mén)不應(yīng)該把部門(mén)的安全責(zé)任轉(zhuǎn)嫁給CSP����,政府部門(mén)以該初始授權(quán)為基礎(chǔ)�����,頒發(fā)部門(mén)的云服務(wù)運(yùn)營(yíng)授權(quán)(ATO)��。
2)通過(guò)初始安全授權(quán)����,加強(qiáng)雙層授權(quán)機(jī)制
FedRAMP PMO 維護(hù)一個(gè)初始授權(quán)以及相關(guān)安全評(píng)估材料的信息庫(kù)���,政府部門(mén)可以基于這些初始授權(quán)和評(píng)估材料頒發(fā)部門(mén)的服務(wù)運(yùn)營(yíng)授權(quán),政府部門(mén)也可以添加另外的安全控制��。
3)對(duì)云服務(wù)商持續(xù)監(jiān)視����,保證云服務(wù)運(yùn)營(yíng)安全
對(duì)已獲得初始授權(quán)的CSP,F(xiàn)edRAMP PMO 應(yīng)與3PAO 一同開(kāi)展對(duì)其系統(tǒng)和服務(wù)的連續(xù)監(jiān)視活動(dòng)���。連續(xù)監(jiān)視需要判斷安全控制是否持續(xù)有效����。
2.6 提供SLA�����、合同等指導(dǎo)����,為云服務(wù)安全采購(gòu)提供指南
政府部門(mén)在采用云服務(wù)、特別在采用公有云服務(wù)時(shí)�,將會(huì)面臨諸多嚴(yán)重安全風(fēng)險(xiǎn),如多租戶引入的安全問(wèn)題、信息安全與隱私泄露����、業(yè)務(wù)連續(xù)性、廠商鎖定等諸多安全問(wèn)題�����。在云服務(wù)采購(gòu)合同中包含有效的SLA 內(nèi)容將會(huì)為云服務(wù)采購(gòu)及其使用過(guò)程提供充分的安全保障��。
2010 年9 月MITRE 給出的《政府客戶云計(jì)算SL A 考慮》中���,對(duì)政府部門(mén)與云服務(wù)商之間的SLA 設(shè)計(jì)給出了具體的指南,指出SLA
設(shè)計(jì)要考慮如下11 方面的內(nèi)容�,每個(gè)方面的內(nèi)容又劃分為具體的細(xì)項(xiàng)給予了具體的指導(dǎo):S L A
背景、服務(wù)描述���、測(cè)量與關(guān)鍵性能指標(biāo)�、連續(xù)性或業(yè)務(wù)中斷����、安全管理、角色與責(zé)任��、支付與賠償及獎(jiǎng)勵(lì)、術(shù)語(yǔ)與條件����、報(bào)告指南與需求、服務(wù)管理��、定義/
術(shù)語(yǔ)表�。
另外,在合同方面�����,2012 年2 月發(fā)布的《聯(lián)邦政府制定有效的云計(jì)算合同——獲取IT
即服務(wù)的較佳實(shí)踐》����,給出了采購(gòu)云服務(wù)的合同需求和建議,包括服務(wù)協(xié)議條款��、保密協(xié)議�、服務(wù)級(jí)別協(xié)議等,并分析安全���、隱私�����、電子發(fā)現(xiàn)����、信息自由訪問(wèn)、聯(lián)邦
記錄保留等方面的需求并給出了具體建議�。
?
3 結(jié)束語(yǔ)
本文從政府部門(mén)如何安全管理云計(jì)算的角度,重點(diǎn)分析了美國(guó)聯(lián)邦政府的云計(jì)算安全保障策略�。這些策略可以為中國(guó)政府部門(mén)實(shí)施基于云服務(wù)的信息安全保障提供參考。
