其實云計算想要落地不是一件容易的事情,涉及到方方面面。我的一些觀察是圍繞著美國他們最近兩到三年做的一些事情,通過他們做的事情希望給大家提供參考。
美國政府CIO昆德拉在RSA20111的報告中指出,私營企業的IT是先進的,是更加高效率的。由此得出一個結論,政府IT需要大規模的改進,云計算就是一個機遇。
剛剛過去的美國政府2011個財年總結里歸結為叫劃時代。經濟危機之后,政府IT的預算逐年下降。奧巴馬2009年上臺以后,正式推出了開發信息服務化的項目。我有了驅動力以后,在比較早的時候,2009年稍候沒有多長時間,先是在工作總層面征求總意見。要求各個部委制定詳細的計劃,OMB/GSA/GSO,國土安全部列了三個數據中心的服務,還有員工的認證服務。美國聯邦信息安全管理法案里規定我給你一定的時間,把框架的映射做出來。還有財務目標。
NIST做了細分,分成幾個大框。中間一個大框識別了五個利益相關方,這是一個游戲。其中包括Cloud Provider,現在既做集成又做服務。一類是Cloud Auditor。他識別了某種角色以后,規定了比較詳細的游戲規則,五個玩家各自承擔著一個責任,每一家都想從更大的幾率當中獲取自己的利益,這是正當的。怎么去促成這些大事,于是他推出了FedRAMP的計劃,全稱是聯邦風險和授權管理項目。用這個計劃提綱挈領,第一要回答聯邦政府所謂云用戶的訴求,你的安全要求是什么。作為用戶他是有責任的,他有什么要求要講出來。同時云計算的公司把他能解決什么也要提出來。讓大家的數據和指標體系是一致的,這樣可以更好的降低成本,云用戶應該把他的需求講出來,定義一些流程,怎么樣講清楚,怎么樣去配備,最終怎么樣去授權。作為用戶一方他很清楚他的要求是什么等級,提供的一方能夠提供什么等級,雙方的責任得到合理的分攤。
在研制機制下面,在對比層有立法,還有落地的,所有的自動化,比如說桌面、安全配置自動化,在自動化上面還有量化的指標。比如說2010年桌面自動化是58,2011年推進到80,在基礎管理、安全管理方面的成熟度更好。在這之上建立了FedRAMP的游戲規則,創造了一個小的生態環境,用戶在這里跟政府IT部門有這樣的訴求,但又有安全風險,這時提供商想要搶占云計算藍海的商機,但他怎么能讓人相信他是安全的,并且人家用了他的云服務出了問題不至于進監獄。所以他有一大幫安全從業人員也等著參與這個游戲,怎么去參與?包括他擁有的這些專業的資源。還有一方是民間的非盈利組織幫助建立這樣的標準,能夠形成中立客觀的標準,使各方資源能夠得到公平的配置。圍繞著這個得到了一個比較好的小的生態,繼續往前推進。
最終我們要想讓云計算在云安全中怎么落地,我們還要清楚我們面臨的危險是什么,面臨的攻擊方是什么,我們想要得到的安全是什么。這就需要用戶自己去仔細的梳理,有了這些以后,我們就可以跟云計算提供商,因為那一方同樣也有高中低分門別類的經過了審計或者是清理。經過大致的游戲規則,安全提供商、用戶、政府的審計機構大家能夠各得其利,云計算就可以非常好的進展下去了。
京公網安備 11010502049343號