2月7日訊 cloud.gov是供美國政府機構使用的PaaS(平臺即服務,是一種云計算服務,提供運算平臺與解決方案堆棧即服務。在云計算的典型層級中,平臺即服務層介于軟件即服務與基礎設施即服務之間。)平臺。cloud.gov為美國聯邦機構提供快速的方式托管和更新網站(和其它web應用,例如API)。借助該平臺,美國聯邦機構雇員和承包商可以跳過管理服務器基礎設施,專注開發支持完成機構任務的服務。cloud.gov目前已經獲得FedRAMP認證,這使得聯邦機構可以快速將基于Web的服務過渡到高效、易于使用的云托管服務。
美國FedRAMP(Federal Risk and Authorization Management Program)認證是面向政府采購的云服務認證,目的是指導政府采購云計算服務。該認證由美國政府主導,標準研究所、總務署、國家安全局、聯邦CIO委員會等機構組成云計算管理辦公室PMO主導認證工作。認證標準參考NIST SP 800-53標準,內容包括信息安全、服務質量、市場因素等方面。
由于cloud.gov已經獲得FedRAMP認證,政府機構通過較少的前期工作便能將cloud.gov投入使用,并反過來使用cloud.gov更快速地提供服務。
cloud.gov簡介cloud.gov項目是由美國總務管理局的18F辦公室負責運營,18F擔負著引導美國政府數字化轉型的繁重工作。
cloud.gov是一個基于Pivotal Cloud Foundry政府創新平臺,由 “政府開發人員開發,為政府開發人員所用” 。該平臺正在幫助著眾多聯邦機構步入云開發的現代世界。cloud.gov為聯邦機構提供快速便捷的方式托管并更新網站(和其它Web應用,例如API),因此,聯邦機構的雇員和承包商可以專注自己的任務,而不必為聯邦系統公用基礎設施和合規要求爭論不休。cloud.gov的運作方式以及技術資料,可以參見cloud.gov官方網站。
FedRAMP如何幫助聯邦機構使用cloud.gov?許多美國機構都很有興趣使用cloud.gov,從過去來看,每個機構在允許其團隊使用cloud.gov之前,都會cloud.gov的安全與合規性進行深度審查。這一步驟至關重要,但卻耗時耗力,因此使得聯邦機構難以投資嘗試云服務,雖然他們認為云服務將大有裨益
FedRAMP認證將此問題迎刃而解。 FedRAMP負責協調聯合授權委員會(Joint Authorization Board,JAB,由國防部、國土安全部和總務管理局的首席信息官組成)。JAB成員及其團隊通過嚴苛的標準評估云服務。如果云服務滿足要求,他們會支持臨時操作授權(Provisional Authority to Operate,P-ATO)。其后,任何聯邦機構便可以使用該P-ATO(包含來自云服務的詳細安全文檔),而不必進行獨立的研究。
cloud.gov已經收到中等影響級別的JAB P-ATO。(聯邦系統分為低、中、高影響級別,因此這意味著聯邦機構可以輕松使用cloud.gov托管低、中級別的系統,即大多數聯邦系統)。當某機構接受此P-ATO,該機構的團隊可以將P-ATO用于他們創建的系統。因為cloud.gov注重聯邦機構的大量合規要求,在cloud.gov上創建的每個新系統都具有短程路徑實現授權操作。換句話講:團隊可以更快速地開發并部署新的、經過升級的Web應用,從而敏捷提供服務。
cloud.gov如何幫助聯邦機構完成任務?cloud.gov供聯邦機構構建并提供網站(和其它基于Web的應用),例如,機構的首頁、開放數據API或內部信息管理工具。機構的開發團隊在cloud.gov上創建應用,cloud.gov負責處理底層平臺的安全、維護和合規要求。
這就意味著聯邦機構團隊可以專注自己的任務,而不必管理基礎設施,這樣一來,大大降低了技術工作量。正如上文所述,cloud.gov大大降低了取得操作授權所需的工作量和時間。而機構團隊只需要證明應用程序的合規性。中級影響水平系統所需的320項安全控制中,cloud.gov處理了269項控制,41項控制為共同責任(cloud.gov提供部分要求,機構應用程序提供余下的要求)。機構團隊只需全面實施余下15項控制,例如確保備份數據,并確保網站使用可靠的DNS名稱服務器。
考慮到安全在合規性中的地位,cloud.gov的運營團隊18F在此采用了BOSH干細胞全自動化,以提供OS骨架,最少常用工具和配置文件,還有BOSH代理,這就構成了默認安全配置。他們的UAA設置實際上授予了用戶訪問實施多因素和生物認證的上游SAML提供商的權限。
cloud.gov的運營團隊18F還為所有安全組件采用BOSH發布,容許以迭代方法來發布和測試,然后將安全性完全統一地應用于所有服務器。入侵防御和檢測,硬化腳本,漏洞掃描,SSH合規性檢查,完整性檢查,和記錄分析組件都是一致內置在各個服務器中。同時,團隊追蹤問題直至來源干細胞或構建包,跨數成百上千的服務器重建,再測試和自動部署。有了恰當的自動化,安全性可以得到持續保證。事實上,cloud.gov能夠在一天之內完成漏洞回應和生產修復部署。
cloud.gov還是供應商和承包商的組成部分(為聯邦機構提供服務)。供應商和承包商可以向機構提出建議,將服務構建在cloud.gov上,從而減少技術與合規負擔。
Cloud.gov自建立以來取得的進展適應開源Cloud Foundry 項目2個月后,cloud.gov團隊首次于2015年5月宣布建立該平臺。從那時起,cloud.gov就有取得FedRAMP認證的想法。該平臺于2016年3月開始準備FedRAMP進程,并于2016年5月建立了FedRAMP準備狀態(Ready status)。Cloud.gov設定了在6個月內使用新FedRAMP加速過程(FedRAMP Accelerated Process)取得FedRAMP授權的宏偉目標。
FedRAMP評估過程十分徹底!在第三方評估機構Veris的幫助下(審計工作)滿足了所有要求,cloud.gov還進一步改進技術和操作情況。cloud.gov在此過程中增加了更多了監控和報警,開發并進行額外的團隊訓練,編寫清單和自動化腳本使流程一致、可重復,將多團隊政策和程序以書面形式正規化,等等。
2016年8月,cloud.gov正式與JAB團隊開始審查,并與審查開始后不到6個月的時間獲得FedRAMP認證(2017年1月)。
京公網安備 11010502049343號