음과 Lipo: 미국 클라우드 서비스 보안 검토 가치가 학습

음과 Lipo, 전자 과학 및 기술 정보 연구 연구소의 산업 및 정보 기술의 수석 엔지니어 인터뷰에서 말했다는 최근 클라우드 컴퓨팅 서비스의 미국 연방 정부의 응용 프로그램 및 안전 관리 잘 우리의 참고 가치가 있다.

음과 Lipo 말했다 그 클라우드 컴퓨팅은 비용 절감, 간편한 유지 보수, 때문에 유연한 구성 서비스의 발전을 촉진 하는 정부에 대 한 우선 순위가 되고있다. 미국, 영국, 호주 및 다른 국가 발행 관련 개발 정책, 클라우드 컴퓨팅 플랫폼 마이그레이션에 정부 부의 정보 시스템을 홍보 하는 계획. 그러나 그것은 또한 볼 수 있어야 클라우드 컴퓨팅 서비스를 정부 기관에 의해를 사용 하 여 그들의 중요 한 데이터와 중요 한 기업의 보안 보안 문제 포즈. 미국은 클라우드 컴퓨팅 서비스의 대변자로 서 "클라우드-첫 번째 전략" "클라우드"로 마이그레이션할 연방 정부 정보 시스템의 많은 수를 요구 하 고, 다른 한편으로, 보안을 보장 하기 위해 연방 정부에 제공 하는 클라우드 서비스의 보안 검토를 요구 한다 착수 했다.

음과 Lipo 연방 정부의 응용 하 고 클라우드 컴퓨팅 서비스의 보안 관리 4 프로세스 및 단계를 겪고 있다.

우선,에서 시스템을 구축 "돈"을 "서비스를 사기 위해 돈을 지출", 연방 정부 홍보 가이드로 컴퓨팅 전략 클라우드 클라우드 컴퓨팅 보안 응용 프로그램.

오바마 행정부는 2009 년 집행 촉진 위원회와 연방 최고 정보 책임자 위원회, 클라우드 컴퓨팅 프로젝트 관리 사무실 연방 클라우드 컴퓨팅 개발 목표와 책임을 설립 하 고 클라우드 컴퓨팅 응용 프로그램을 홍보 하기 시작 했다 일반의 서비스 부서에 따라 클라우드 컴퓨팅 자문 위원회 연방 클라우드 컴퓨팅 이니셔티브를 발표 했다. 2010 년 연방 예산 관리 구현 "처음 클라우드" 전략 사업 시스템을 클라우드 컴퓨팅 플랫폼, 그리고 2015 년까지 800 연방 데이터 센터의 감소의 점진적 마이그레이션 요구 개혁 연방 정보 기술 관리를 위한 25 포인트 구현 계획 발표. 2011 년 미국 연방 클라우드 컴퓨팅 전략 클라우드 컴퓨팅 보안 클라우드 컴퓨팅 응용 프로그램 환경 만들 특정 계획의 마이그레이션에 연방 정부를 발행. 국토 안보 부의 개발 같은 해에는 "안전 관점에서 클라우드 컴퓨팅: 연방 정보 기술 관리자와 함께 시작 하기", 16 주요 보안 문제는 연방 정부를 직면 하 고 밖으로 가리키는. 국립 표준 및 기술 출판 "공용 클라우드 컴퓨팅 보안 및 개인 정보 보호 가이드" 및 "전체 가상화 기술 보안 가이드" 2 개의 표준 확립을 연방 정부에 대 한 다음 단계 클라우드 컴퓨팅 서비스 보안 검토 시스템 정책의 좋은 일을 할.

둘째, "누가 검사, 사용"에서 "통합된 검토, 다용도" 리스크 관리를 하 고 코어, 클라우드 컴퓨팅 서비스 검토 시스템의 설립으로 권한 부여를 검토.

2011 년, 연방 예산 관리 장 발행 정보 장교 메모, "클라우드 컴퓨팅 환경 정보 시스템 보안 기관", 공식적으로 클라우드 컴퓨팅 "연방 위험 및 권한 부여 관리 계획"을 발표 했다 (FedRAMP). 연방 정보 보안 관리 법에 따라 연방 정부 정보 시스템 안전 조치 관련 표준으로 연방 정보 시스템 보안 관리의 맥락에서 보안 평가 적용 됩니다. 클라우드 컴퓨팅 서비스, 클라우드 컴퓨팅 서비스 보안 위험 평가 대 한 관련 기준에 따라 제 3 자 평가 기관에 의해 채택 하는 FedRAMP를 구매 하는 연방 정부 부처에 대 한 FEDRAMP 초기 권한 부여에 게 검토를 통해 클라우드 서비스에는 검토의 평가 결과에 따라. 모든 연방 부서 클라우드 컴퓨팅 서비스 초기 권한 부여 목록에 그들의 자신의 필요에 따라 선택할 수 있습니다, 통합된 검토, 여러 사용의 효율적인 관리를 달성 및 연방 정부 부처 수 공유 보안 평가 결과 검토, 평가의 중복을 방지 하 고 검토.

셋째, 특별 한의 설립 몸, 제 3 자 평가 메커니즘의 도입, 클라우드 컴퓨팅 보안 관리 보장 메커니즘의 설립을 검토 합니다.

FedRAMP은 클라우드 컴퓨팅 서비스, 클라우드 컴퓨팅 보안 관리의 책임과 정부 역할 정의 대 한 완벽 한 보안 감사 메커니즘을 설립. 첫째, 권위, 3 자간의 국방부, 국토 안보, 일반 서비스의 주요 의사 결정 몸 공동 위임의 설립 노사 정, 연방 정부 클라우드 컴퓨팅 서비스 안전 제어 기준 요구 사항, 제 3 자 인증 표준의 승인, 클라우드 컴퓨팅 서비스, 등의 초기 인증의 개발에 대 한 책임. 두 번째는 FedRAMP 프로젝트 관리 사무실, 일반 부서에 종속 된다, 매일 관리 안전 평가, 권한 부여, 지속적인 감독 등에 대 한 책임을 져야 하 고 용량 식별 및 제 3 자 기관의 일상적인 관리에 국가 표준 및 기술 연구소와 협력 하 보안 사고; 보고 셋째, 제 3 자 평가 메커니즘, 제 3 자 기관에의 소개 충족 해야 합니다 fedramp 독립 및 기술 요구 사항, 요구 클라우드 컴퓨팅 독립 보안 평가 수행 하는 서비스.

종이의 검토, "이후에 감독", "사전 심사"에서 최고의 디자인에 초점을 맞추고 고 일련의 표준화 된 방법 및 절차를 설정 합니다.

연방 정부가 클라우드 컴퓨팅 보안 관리, 법적 기준으로 연방 정보 안전 관리 행위, 국가 표준 정책 기준으로 연방 정보 자원 관리에 대 한 최상위 디자인에 초점을 맞추고 "연방 정보 시스템 및 조직 보안 및 개인 정보 보호 제어" (SP800-53), 클라우드 컴퓨팅 보안 기준선 요구의 형성에 따라 그리고 제 3 자 조직 인식으로 클라우드 컴퓨팅 서비스 검토, 클라우드 컴퓨팅 서비스 지속적인 감독 세 키 링크는 손으로으로 10 12 표준된 서식, 절차 및 가이드 자료 연방 정부 클라우드 컴퓨팅 서비스 보안 검토 시스템 설립 했다 제공 했다. 동시에 FedRAMP 명시적으로 조달 하 여 클라우드 컴퓨팅 이후 6 월 2014에서 보안 검토 요구를 만족 하는 서비스를 사용 하 여 연방 정부 기관 요청. 지금까지, FedRAMP 27 제 3 자 기관 클라우드 컴퓨팅 서비스, 보안 평가에 참여를 확인 했다 그리고 11 클라우드 컴퓨팅 서비스 제공 업체에서 12 클라우드 컴퓨팅 서비스에 대 한 보안 감사를 통과 했다.

음과 Lipo 오바마 행정부의 전략적 계획, 정책, 규정, 표준 가이드, 분산, 반복, 비효율적인 정부 클라우드 컴퓨팅 서비스 시스템 질서, 통합 하 고 효율적인 운영, 클라우드 컴퓨팅 서비스 검토 시스템 및 권한 부여 메커니즘을 설정의 패키지의 제정을 통해 그것은 중국의 참조 가치가 있다 고 말했다.

첫째, 지속적으로 정부 및 네트워크 보안 관리의 분야에서 국가 관련 된 보안 강화. 클린턴 행정부의 국가 정보 보안 보증 조달 정책, 부시 행정부의 연방 정보 안전 관리 행위와 오바마 행정부의 연방 위험을 보안 및 평가 제품의 조달에 대 한 연방 기관의 지침 및 연방 클라우드 컴퓨팅 서비스에 대 한 권한 부여 관리 계획에서에서 미국 항상 하고있다 "추가" 효과적으로 그것의 주요 부의 네트워크 보안을 보장 하는 정부 정보 시스템의 네트워크 보안 검사를 수행.

둘째, 클라우드 컴퓨팅 서비스 검토 관리 및 조정 조직의 절대 권위 부드러운 구현 및 다양 한 시스템 및 표준의 구현에 대 한 기본적인 보장은. 국방부, 국토 안보 부, 미국 연방 최고 안전 의사 결정 및 정부로 일반 서비스 서비스 보안 기관, 모든 연방 기관이 강한 영향, 조정 및 리더십, 법률, 규정, 정책 및 완전 한 구현에 대 한 표준의 검토의 강한 보장.

셋째, 클라우드 컴퓨팅 서비스 검토 정책, 표준, 클라우드 컴퓨팅 서비스 검토 프로세스를 표준화, 검토의 효율성을 향상 시킬 것입니다. 완벽 한 정책 규정 및 표준 서식 파일 모두 제공 된 연방 클라우드 컴퓨팅 서비스 보안 검토에 대 한 시스템 보증, 클라우드 컴퓨팅 서비스 제공 업체의 승인 학위 시험 결과를 강화 하 고 검토의 신뢰성을 유지 하는 데 도움이. 동시에 일관 된 표준 또한 검토의 중복을 감소 하 고 검토의 결과의 활용을 증가.

마지막으로, 지속적인 모니터링 및 클라우드 컴퓨팅 서비스의 평가에 관심을 지불 하 고 클라우드 컴퓨팅 서비스의 보안 응용 프로그램을 홍보. 클라우드 컴퓨팅 서비스 제공 업체 네트워크 보안 자체 평가 보고서를 정기적으로 제출 하 여, 위험 상황 보고서 뿐만 아니라 네트워크 보안 사고 대응 계획, 개발 하 고 따라서 클라우드 컴퓨팅 서비스 감독 및 클라우드 컴퓨팅 서비스는 연방에서의 보안 응용 프로그램을 보장 하기 위해 관리의 일반 메커니즘을 구축 독립 보안 평가 수행 하는 제 3 자에 게 제출

(책임 편집기: Mengyishan)