摘要：在美國聯(lián)邦政府大力推進(jìn)云計算的同時，美國政府大力研究和制定云計算安全策略。年月美國啟動了政府范圍的云計算解決方案的安全認(rèn)證認(rèn)可過程的開發(fā)。

引言

由于云計算在經(jīng)濟(jì)、敏捷和創(chuàng)新方面的突出特點(diǎn)，受到美國政府高度重視。早在2009 年1 月, 美國行政管理和預(yù)算局(OMB)就開始關(guān)注云計算和虛擬化。3 月維維克·昆德拉被任命為聯(lián)邦政府首席信息官委員會(CIOC)的首席信息官后即表示將推動政府采用云計算，啟動了聯(lián)邦云計算倡議(FCCI)，成立了專 門管理組織，包括下設(shè)于CIOC 的決策機(jī)構(gòu)“FCCI 執(zhí)行促進(jìn)委員會”(ESC)和顧問機(jī)構(gòu)“FCCI 云計算顧問委員會”(CCAC)以及下設(shè)于總務(wù)管理局(GSA)的FCCI 日常辦公機(jī)構(gòu)“云計算項目管理辦公室”(CCPMO)，并確定了聯(lián)邦政府云計算發(fā)展目標(biāo)。5 月份發(fā)布的2010 財年美國政府預(yù)算報告的《遠(yuǎn)景分析》中明確提出要開展云計算示范項目，通過優(yōu)化云計算平臺來優(yōu)化通用的服務(wù)和解決方案，并在隨后發(fā)布了聯(lián)邦政府云服務(wù)采購 書面需求單和上線了app.gov 云服務(wù)在線店面。2010 年12 月份發(fā)布了《改革聯(lián)邦信息技術(shù)管理的25 點(diǎn)實(shí)施計劃》，要求聯(lián)邦政府與數(shù)據(jù)中心整合相配合，實(shí)施“云推薦”的策略等。2011 年發(fā)布了《聯(lián)邦云計算戰(zhàn)略》,確定了云遷移的三步走決策框架以及促進(jìn)云計算發(fā)展的6 方面措施。

在美國聯(lián)邦政府大力推進(jìn)云計算的同時，美國政府大力研究和制定云計算安全策略。本文在簡要分析美國政府云計算安全進(jìn)展的基礎(chǔ)上，重點(diǎn)剖析了美國政府云計算安全策略，可為我國政府發(fā)展云計算提供有價值的參考。

?

?

1 美國聯(lián)邦政府云計算安全發(fā)展過程

?

昆德拉上任時就承認(rèn)云計算可能存在隱私泄露或其它安全隱患，但表示不能因此而錯過云計算的速度和效率。2009 年5月召開的云計算倡議工業(yè)界峰會上，美國產(chǎn)業(yè)界認(rèn)識到云計算在法律法規(guī)和政策以及I T 安全和隱私方面的挑戰(zhàn)，深入討論了云計算認(rèn)證認(rèn)可、訪問控制和身份管理、數(shù)據(jù)和應(yīng)用安全、可移植性和互操作性以及服務(wù)級別協(xié)議(S L A)等。5 月份的《遠(yuǎn)景分析》中指出了與新技術(shù)服務(wù)交付模型相關(guān)的風(fēng)險，包括政策的變化、動態(tài)應(yīng)用的實(shí)施以及動態(tài)環(huán)境的安全保障，要求建立一個項目管理辦公室來實(shí)施 工業(yè)界較佳實(shí)踐和政府項目管理方面的政策。10 月份國家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)在《有效安全地使用云計算范式》的研究報告中分析了云計算安全的眾多優(yōu)勢和挑戰(zhàn)。

2010 年2 月美國啟動了政府范圍的云計算解決方案的安全認(rèn)證認(rèn)可過程的開發(fā)。8 月CIOC 發(fā)布了《聯(lián)邦部門和機(jī)構(gòu)使用云計算的隱私建議》，指出云環(huán)境下隱私風(fēng)險跟法律法規(guī)、隱私數(shù)據(jù)存儲位置、云服務(wù)商服務(wù)條款和隱私保護(hù)策略有關(guān)，并指出了9 類風(fēng)險，通過使用相關(guān)標(biāo)準(zhǔn)、簽署隱私保護(hù)的補(bǔ)充合同條款、進(jìn)行隱私門檻分析和隱私影響評估、充分考慮相關(guān)的隱私保護(hù)法律，可以有效加強(qiáng)云計算環(huán)境下的隱私 保護(hù)。9 月非盈利組織MITRE 給出了《政府客戶云計算SL A 考慮》。11 月份，NIST、GSA、CIOC 以及信息安全及身份管理委員會(ISIMC)等組成的團(tuán)隊歷時18 個月提出了《美國政府云計算安全評估和授權(quán)建議方案》，該方案由云計算安全要求基線、持續(xù)監(jiān)視、評估和授權(quán)三部分組成。12月，在《改革聯(lián)邦信息技術(shù)管理 的25 點(diǎn)實(shí)施計劃》中指出安全、互操作性、可移植性是云計算被接納的主要障礙。

2011 年1 月國土安全部( DHS ) 給出了《從安全角度看云計算：聯(lián)邦I(lǐng)T 管理者入門》讀本，指出了聯(lián)邦面臨的16 項關(guān)鍵安全挑戰(zhàn)：隱私、司法、調(diào)查與電子發(fā)現(xiàn)、數(shù)據(jù)保留、過程驗(yàn)證、多租戶、安全評估、共享風(fēng)險、人員安全甄選、分布式數(shù)據(jù)中心、物理安全、程序編碼安 全、數(shù)據(jù)泄露、未來的規(guī)章制度、云計算應(yīng)用、有能力的IT人員挑戰(zhàn)，NIST 發(fā)布了《公共云計算安全和隱私指南》和《完全虛擬化技術(shù)安全指南》。2 月份的《聯(lián)邦云計算戰(zhàn)略》指出在管理云服務(wù)時要主動監(jiān)視和定期評估，確保一個安全可信的環(huán)境，并做出了戰(zhàn)略部署，包括推動聯(lián)邦風(fēng)險和授權(quán)管理項目 (FedRAMP)、DHS 要每6個月或按需發(fā)布一個安全威脅TOP 列表并給出合適的安全控制措施和方法，NIST 要發(fā)布一些安全技術(shù)指南。

2011 年12 月OMB 發(fā)布了一項關(guān)于“云計算環(huán)境下信息系統(tǒng)安全授權(quán)”的首席信息官備忘錄，正式設(shè)立FedRAMP 項目。

2012 年2 月成立了FedRAMP 項目聯(lián)合授權(quán)委員會(JAB)并發(fā)布了《FedRAMP 概念框架(CONOPS)》、《FedRAMP 安全控制措施》。

?

?

2 美國聯(lián)邦政府云計算安全策略分析

2.1 高度重視云計算安全和隱私、可移植性和互操作性，對云服務(wù)實(shí)施基于風(fēng)險的管理

美國聯(lián)邦政府在推動云計算一開始就認(rèn)識到云計算安全和隱私、可移植性和互操作性是云計算被接納的主要障礙，并給予了高度重視。美國聯(lián)邦政府認(rèn)為，對于云服 務(wù)要實(shí)施基于風(fēng)險的安全管理，在控制風(fēng)險的基礎(chǔ)上，充分利用云計算高效、快捷、利于革新等重要優(yōu)勢，并啟動了聯(lián)邦風(fēng)險和授權(quán)管理項目(FedRAMP)。

2.2 加強(qiáng)云計算安全管理，明確安全管理相關(guān)方及其職責(zé)

首先，明確了云計算安全管理的政府部門角色及其職責(zé)：

1) 聯(lián)合授權(quán)委員會(JAB)：成立了由國防部(DOD)、DHS、GSA 三方組成的聯(lián)合授權(quán)委員會JAB，主要負(fù)責(zé)制定更新安全基線要求、批準(zhǔn)第三方評估機(jī)構(gòu)認(rèn)可標(biāo)準(zhǔn)、設(shè)立優(yōu)先順序并評審云服務(wù)授權(quán)包、對云服務(wù)供應(yīng)進(jìn)行初始授 權(quán)等;2)FedRAMP 項目管理辦公室(FedRAMPPMO)：設(shè)立于GSA，負(fù)責(zé)管理評估、授權(quán)、持續(xù)監(jiān)視過程等, 并與NIST 合作實(shí)施對第三方評估組織的符合性評估;3)國土安全部：主要負(fù)責(zé)監(jiān)視、響應(yīng)、報告安全事件，為可信互聯(lián)網(wǎng)聯(lián)接提供指南等;4)各執(zhí)行部門或機(jī)構(gòu)：按照 DHS、JAB 等要求評估、授權(quán)、使用和監(jiān)視云服務(wù)等，并每年4 月向CIOC 提供由本部門CIO 和CFO 簽發(fā)的認(rèn)證;5)首席信息官委員會：負(fù)責(zé)出版和分發(fā)來自FedRAMP PMO 和JAB 的信息。

其次，明確了FedRAMP 項目相關(guān)方的角色和職責(zé)(如圖1)。這些角色中除了DHS、JAB、FedRAMPPMO、各執(zhí)行部門或機(jī)構(gòu)、CIOC 外，還包括云服務(wù)商(CSP)和第三方評估組織(3PAO)。云服務(wù)商實(shí)現(xiàn)安全控制措施;創(chuàng)建滿足FedRAMP 需求的安全評估包;與第三方評估機(jī)構(gòu)聯(lián)系，執(zhí)行初始的系統(tǒng)評估，以及運(yùn)行中所需的評估與授權(quán);維護(hù)連續(xù)監(jiān)視項目;遵從有關(guān)變更管理和安全事件報告的聯(lián)邦需 求。

第三方評估組織保持滿足FedRAMP 所需的獨(dú)立性和技術(shù)優(yōu)勢;對CSP 系統(tǒng)執(zhí)行獨(dú)立評估，并創(chuàng)建滿足FedRAMP 需求的安全評估包清單。

FedRAMP 項目相關(guān)方的角色和職責(zé)

2.3 注重云計算安全管理的頂層設(shè)計

美國聯(lián)邦政府注重對云計算安全管理的頂層設(shè)計。在政策法規(guī)的指導(dǎo)下，以安全控制基線為基本要求，以評估和授權(quán)以及監(jiān)視為管理抓手，同時提供模板、指南等協(xié)助手段，建立了云計算安全管理的立體體系(如圖2)。

云計算安全管理立體體系

政策備忘錄：OMB 于2011 年12 月8 日發(fā)布，為政府級云計算安全提供方向和高級框架。

安全控制基線：基于N I S T 發(fā)布的S P800-53 第三版中所描述的安全控制措施指南，補(bǔ)充和增強(qiáng)了控制措施，以應(yīng)對云計算系統(tǒng)特定的安全脆弱性。FedRAMP 的安全控制基線于2012 年1 月6 號多帶帶發(fā)布。

運(yùn)營概念(CONOPS)：提供對FedRAMP 的運(yùn)營模型與關(guān)鍵過程的概述。

運(yùn)營模型：FedRAMP 的運(yùn)營模型基于OMB 發(fā)布的政策備忘錄，明確FedRAMP 實(shí)現(xiàn)的關(guān)鍵組織，對各個組織運(yùn)營角色與職責(zé)進(jìn)行抽象描述。

關(guān)鍵過程：指“安全評估與授權(quán)”、“第三方評估”、“正在進(jìn)行的評估與授權(quán)”，它們?yōu)镕edRAMP 運(yùn)營過程的三個主要功能。

詳細(xì)的模板與指南：云服務(wù)商與第三方評估組織在FedRAMP 整個過程中需要這些文檔模板作為文檔規(guī)范。

?

2.4 豐富已有安全措施規(guī)范，制定云計算安全基線要求

在《推薦的聯(lián)邦信息系統(tǒng)和組織安全措施》(s p800-53)基礎(chǔ)上，根據(jù)云計算特點(diǎn)，針對信息系統(tǒng)的不同等級(低影響級和中影響級)，制定了云計算安全基線要求《FedRAMP 安全控制措施》。與傳統(tǒng)安全控制措施相比，云計算環(huán)境下需增強(qiáng)的安全控制措施包括：

1)訪問控制：要求定義非用戶帳戶(如設(shè)備帳戶)的存活期限、采用基于角色的訪問控制、供應(yīng)商提供安全功能列表、確定系統(tǒng)使用通知的要素、供應(yīng)商實(shí)現(xiàn)的網(wǎng)絡(luò)協(xié)議要經(jīng)過JAB 同意等。

2)審計和可追蹤：供應(yīng)商要定義審計的事件集合、配置軟硬件的審計特性、定義審計記錄類型并經(jīng)過同意、服務(wù)商要實(shí)現(xiàn)合法的加密算法、審計記錄90 天有效等。

3)配置管理：要求供應(yīng)商維護(hù)軟件程序列表、建立變更控制措施和通知措施、建立集中網(wǎng)絡(luò)配置中心且配置列表符合或兼容安全內(nèi)容自動化協(xié)議(SCAP)、確定屬性可追蹤信息等。

4)持續(xù)性規(guī)劃：要求服務(wù)商確定關(guān)鍵的持續(xù)性人員和組織要素的列表、開發(fā)業(yè)務(wù)持續(xù)性測試計劃、確定哪些要素需要備份、備份如何驗(yàn)證和定期檢查、至少保留用戶級信息的3份備份等。

5)標(biāo)識和鑒別：要求供應(yīng)商確定抗重放的鑒別機(jī)制、提供特定設(shè)備列表等。

6)事件響應(yīng)：要求每天提供演練計劃、提供事件響應(yīng)人員和組織要素的列表等。

7)維護(hù)：要確定關(guān)鍵的安全信息系統(tǒng)要素或信息技術(shù)要素、確定獲取維護(hù)的期限等。

8)介質(zhì)保護(hù)：確定介質(zhì)類型和保護(hù)方式等。

9)物理和環(huán)境保護(hù)：要確定緊急關(guān)閉的開關(guān)位置、測量溫濕度、確定可替代的工作節(jié)點(diǎn)的管理、運(yùn)維和技術(shù)信息系統(tǒng)安全控制措施等。

10)系統(tǒng)和服務(wù)獲?。簩λ型獍姆?wù)要記錄在案并進(jìn)行風(fēng)險評估、對開發(fā)的代碼提供評估報告、確定供應(yīng)鏈威脅的應(yīng)對措施列表等。

11)系統(tǒng)和通信保護(hù)：確定拒絕服務(wù)攻擊類型列表、使用可信網(wǎng)絡(luò)聯(lián)接傳輸聯(lián)邦信息、通信網(wǎng)絡(luò)流量通過經(jīng)鑒別的服務(wù)器轉(zhuǎn)發(fā)、使用隔離措施。

12)系統(tǒng)和信息完整性：在信息系統(tǒng)監(jiān)視時要確定額外的指示系統(tǒng)遭到攻擊的指標(biāo)。其他方面如意識和培訓(xùn)、評估和授權(quán)、規(guī)劃、人員安全、風(fēng)險評估則與傳統(tǒng)差別不大。

2.5 主抓評估和授權(quán)，加強(qiáng)安全監(jiān)視

安全授權(quán)越來越變?yōu)橐环N高時間消耗的過程，其成本也不斷增加。政府級的風(fēng)險和授權(quán)項目通過“一次授權(quán)，多次應(yīng)用”的方式加速政府部門采用云服務(wù)的過程，節(jié)約云服務(wù)采用費(fèi)用，實(shí)現(xiàn)在政府部門內(nèi)管理目標(biāo)的開放和透明。

1)以第三方評估機(jī)構(gòu)作支撐，對云服務(wù)進(jìn)行安全評估

CSP 向FedRAMP PMO 提出安全評估請求，并經(jīng)已獲得授權(quán)的3PAO 檢查與驗(yàn)證后，向FedRAMP PMO 提交評估材料，由FedRAMP PMO 組織專家組對其進(jìn)行評審。當(dāng)專家組通過評估后，由FedRAMP PMO 向CSP 頒發(fā)初始授權(quán)。云計算應(yīng)用部門不應(yīng)該把部門的安全責(zé)任轉(zhuǎn)嫁給CSP，政府部門以該初始授權(quán)為基礎(chǔ)，頒發(fā)部門的云服務(wù)運(yùn)營授權(quán)(ATO)。

2)通過初始安全授權(quán)，加強(qiáng)雙層授權(quán)機(jī)制

FedRAMP PMO 維護(hù)一個初始授權(quán)以及相關(guān)安全評估材料的信息庫，政府部門可以基于這些初始授權(quán)和評估材料頒發(fā)部門的服務(wù)運(yùn)營授權(quán)，政府部門也可以添加另外的安全控制。

3)對云服務(wù)商持續(xù)監(jiān)視，保證云服務(wù)運(yùn)營安全

對已獲得初始授權(quán)的CSP，F(xiàn)edRAMP PMO 應(yīng)與3PAO 一同開展對其系統(tǒng)和服務(wù)的連續(xù)監(jiān)視活動。連續(xù)監(jiān)視需要判斷安全控制是否持續(xù)有效。

2.6 提供SLA、合同等指導(dǎo)，為云服務(wù)安全采購提供指南

政府部門在采用云服務(wù)、特別在采用公有云服務(wù)時，將會面臨諸多嚴(yán)重安全風(fēng)險，如多租戶引入的安全問題、信息安全與隱私泄露、業(yè)務(wù)連續(xù)性、廠商鎖定等諸多安全問題。在云服務(wù)采購合同中包含有效的SLA 內(nèi)容將會為云服務(wù)采購及其使用過程提供充分的安全保障。

2010 年9 月MITRE 給出的《政府客戶云計算SL A 考慮》中，對政府部門與云服務(wù)商之間的SLA 設(shè)計給出了具體的指南，指出SLA 設(shè)計要考慮如下11 方面的內(nèi)容，每個方面的內(nèi)容又劃分為具體的細(xì)項給予了具體的指導(dǎo)：S L A 背景、服務(wù)描述、測量與關(guān)鍵性能指標(biāo)、連續(xù)性或業(yè)務(wù)中斷、安全管理、角色與責(zé)任、支付與賠償及獎勵、術(shù)語與條件、報告指南與需求、服務(wù)管理、定義/ 術(shù)語表。

另外，在合同方面，2012 年2 月發(fā)布的《聯(lián)邦政府制定有效的云計算合同——獲取IT 即服務(wù)的較佳實(shí)踐》，給出了采購云服務(wù)的合同需求和建議，包括服務(wù)協(xié)議條款、保密協(xié)議、服務(wù)級別協(xié)議等，并分析安全、隱私、電子發(fā)現(xiàn)、信息自由訪問、聯(lián)邦 記錄保留等方面的需求并給出了具體建議。

?

3 結(jié)束語

本文從政府部門如何安全管理云計算的角度，重點(diǎn)分析了美國聯(lián)邦政府的云計算安全保障策略。這些策略可以為中國政府部門實(shí)施基于云服務(wù)的信息安全保障提供參考。