美國的一些州政府和地方政府將云計算用于各種IT任務,并獲得廣泛的效率。道格拉斯奧馬哈技術委員會是內布拉斯加州奧馬哈市的集中式IT部門,其使用谷歌云平臺來增強協作,并降低IT基礎設施成本。加州技術部為其他州政府部門提供基于云計算的基礎設施即服務。而一份美國政府技術的報告表明,堪薩斯州去年將其牲畜品牌注冊計劃遷移到了云端,這使得該州能夠簡化并將以前通過郵件完成的流程轉移到網上。
云計算的應用可能會將繼續增長。調研機構Gartner公司預計美國的政府部門使用公共云服務將實現兩位數增長,預計到2021年,支出預計平均每年增長17.1%。在所有組織中,企業將20.4%的IT預算用于云計算,而地方政府為20.6%。
Gartner公司的研究主管Neville Cannon在一篇博客文章中說:“政府部門成功采用云計算技術的關鍵是解決其獨特的技術、組織、程序和監管問題。例如,州政府通常將云計算技術視為實現戰略IT現代化的一個長期途徑,而地方和區域政府則傾向于追求創新和成本節約的即時戰術利益。”
政府部門應如何應對云安全
安全性是一個美國州政府和地方政府IT領導者需要時刻牢記的領域,其中包括云部署。2017年4月,安全廠商賽門鐵克公司在州政府和地方政府的云安全白皮書中指出,“在云安全方面,政府部門長期以來專注于升級和修補一系列安全產品,以監督流程的各個部分,從而選擇了未經計劃或開發的專門構建的解決方案相互合作,這就形成了一個修補的、不完整的安全基礎設施。”
賽門鐵克公司認為,云安全的最佳方法是使用一個統一的、基于網絡的平臺,該平臺具有靈活的安全架構,可以管理不斷變化的云環境,從端點到數據傳輸管道再到云平臺。
這份云安全白皮書指出,“政府部門可以使用這樣一個平臺統一跨云平臺和本地安全基礎架構的訪問治理,信息安全和威脅防護,提供與政府部門在自己的物理網絡中習慣相同的保護級別。”
白皮書建議,政府部門首先制定管理其人員和流程的政策,并確保員工只能訪問所需的數據。接下來,政府部門應該實施網絡安全解決方案來補充端點安全。
白皮書指出:“政府部門有能力確定數據在云計算、移動、網絡、端點和存儲系統中的存儲位置,對數據進行分類,監控數據的使用情況,保護數據不被泄露或被盜,并監控異常情況。”
此外,政府部門應投資于預防數據丟失的工具,以幫助發現已批準和未批準的云計算應用程序中的數據丟失盲點。此外,賽門鐵克公司還表示,“集成云計算訪問安全代理可以擴大信息技術部門的覆蓋范圍,在用戶和數據交互時保護他們。通過云計算應用程序和服務,直接提供對應用程序使用的可見性和控制。”
政府機構最重要的云安全和合規問題
盡管云計算為美國的州政府和地方政府帶來了諸多好處,但云安全問題仍然存在。
根據來自Crowd Research Partners公司發布的2018年云安全報告,面臨的最主要的云安全挑戰是防止數據丟失和泄漏(67%)、數據隱私威脅(61%)和機密性泄露(53%)。
該報告基于對位于LinkedIn公司的40萬名成員信息安全社區的網絡安全專業人員進行的在線調查報告,該報告還顯示,只有16%的受訪者認為傳統安全工具足以管理云計算的安全性,比2017年下降了6個百分點。
調查發現還有其他問題,其中包括云計算基礎設施安全的可視性(43%)、合規性(38%)和跨越云平臺和內部環境的一致安全策略(35%)。
Stratical Solutions公司首席顧問Sebastian Taphanel表示,“惡意的網絡行為和無意的非惡意錯誤難以預測或改變,因此政府部門必須將安全性和合規性視為持續的關鍵優先事項。”
Taphanel指出,公共云根據安全的共享責任模式運行,其中云計算服務提供商(CSP)實施云計算的安全性,而客戶負責在云中運行業務的安全性。”這意味著政府部門必須保護他們的數據和交易安全。他說,通過應用程序編程接口和連接器,監控其云計算服務提供商(CSP)的計算、存儲、數據庫和網絡服務。
StateScoop指出,云計算服務提供商(CSP)已經進行了重要投資,以確保政府云保持安全,在某些情況下超過政府網絡安全合規標準,其中包括IRS 1075,刑事司法信息服務和其他標準。
微軟公司表示,其推出的Azure Government服務將受到某些政府法規和要求約束的數據,如美國聯邦風險和授權管理計劃(FedRAMP)、NIST 800.171(DIB)、ITAR、IRS 1075、DoD L4和CJIS。
“為了提供最高級別的安全性和合規性,Azure Government使用物理隔離的數據中心和網絡(僅限于美國)。”微軟公司表示。
谷歌云平臺還符合眾多法規,其中包括NIST 800-171、CJS、FedRAMP。
FedRAMP法規評估美國聯邦機構使用的云計劃的安全性并授權。如果州政府或當地政府的云計算供應商已獲得FedRAMP授權,則可以確保它符合嚴格的安全合規性規定。
FedRAMP治理結構的概述。云計算服務商必須經過嚴格的安全檢查才能獲得FedRAMP的授權。
微軟公司指出,“Azure Government已經獲得了FedRAMP臨時運營授權(P-ATO)和DoD臨時授權(PA)。這些授權減少了基于Azure的系統中客戶責任安全控制的范圍。從Azure Government繼承安全控制實現,使可以專注于特定于Azure內置的IaaS、PaaS或SaaS環境的控制實現。”
合規性有助于確保將數據放入云平臺的政府部門符合適當的數據保護標準,尤其是居民個人可識別信息的標準。然而,微軟公司負責州政府和地方政府業務的首席技術官Stuart McKee表示,合規性只是政府部門及其云計算服務合作伙伴必須克服的第一個障礙。
McKee表示,云計算安全的合規性可以為網絡安全提供更強大、更具彈性的方法,保護政府部門免受各種網絡攻擊。他指出,“不幸的是,對外披露的網絡攻擊事件只是冰山一角,實際發生的網絡攻擊數量遠遠超過報道的數量。”
為什么政府部門采用云計算
美國的一些政府部門正在轉向云計算,以獲得靈活性,降低成本,并能夠更快地進行創新。微軟公司Azure Government業務高級主管Karina Homme在博客文章中表示,“州政府部門通過采用云計算技術實現數字化轉型,使其能夠快速實現系統現代化,充分利用無限資源,同時確保充分利用時間和預算。各級政府部門可以推動更強大的治理、合規和問責制,同時實現更好的公民服務。”
Homme表示,云計算可以讓政府部門構建從簡單的移動應用程序到互聯網規模解決方案的所有內容,然后可以幫助他們啟動新計劃,提高效率,加快決策速度,改善公民服務,并優化運營。
Homme補充說,政府部門采用云計算,通過采用由云計算服務提供商管理的彈性和按需付費服務來削減IT基礎設施成本。云計算的隨需應變靈活性、可擴展性和整體可訪問性還增強了員工的能力,提高了效率。
他們還求助于云計算服務商提高安全性、合規性和監管,以保護居民的關鍵數據和服務。Homme指出,云計算技術還使機構能夠為應用程序開發、IT管理和數據保護采用新的方法。
協作服務仍然是州首席信息官遷移到云端的最常見服務,緊隨其后的是辦公效率和存儲。
然而,該調查補充說,與安全相關的服務也越來越受歡迎,現在更多的是考慮在云中遷移項目和項目組合管理解決方案。
2017年對政府部門的首席信息官的調查中,將云遷移工作的結果如何與最初預期的收益進行了比較。總體來說,報告的實際收益與他們最初的預期非常吻合。
例如,75%的受訪者表示,云計算降低了資產投資門檻,并提高了創新能力,相比之下,78%的受訪者希望實現這一目標。此外,38%的受訪者表示已經實現了成本節約,而預期為44%。23%的受訪者認為合規性和報告有所改善,而預期為28%。
調查表明,差異的一個重要領域是通過更靈活的利用率和按需付費來提高可擴展性。雖然在調查中,81%的政府部門首席信息官預計這會帶來好處,但只有65%的政府部門首席信息官在報告中表示已經獲得了這些好處。
京公網安備 11010502049343號