610 likes | 1.03k Views
美国政府云计算发展及 FedRAMP. 陈兴蜀 四川大学网络 与可信计算 研究所. 2013 年 3 月 29 日. 主要内容. 美国联邦云 计算 发展 背景. FedRAMP 简介. FedRAMP 管理流程. 云计算相关标准与指南. 美国联邦政府云计算发展. 提出云计算 动议 FCCI. 2009 年 7 月 发布 IaaS RFQ. 2012. 2010. 2009. 2011. 未来. 2009 年 4 月 成立云 计算项目管理 办公室 PMO. 2009 年 9 月上线 Apps.gov.
E N D
美国政府云计算发展及FedRAMP 陈兴蜀 四川大学网络与可信计算研究所 2013年3月29日
主要内容 美国联邦云计算发展背景 FedRAMP简介 FedRAMP管理流程 云计算相关标准与指南
美国联邦政府云计算发展 提出云计算动议FCCI 2009年7月发布IaaS RFQ 2012 2010 2009 2011 未来 2009年4月 成立云计算项目管理办公室PMO 2009年9月上线Apps.gov
云计算动议(Federal Cloud Computing Initiative--FCCI) • FCCI的任务: • 制定联邦云计算战略; • 整理可能面临的障碍与合规问题; • 制定采购不同云计算服务的机制; • 识别并提供标准的协作与沟通工具; • 允许部门以商品方式采购云计算服务。
PMO的角色 • PMO在FCCI的技术和管理方面充当领导角色,PMO主要关注: • 支持Apps.gov的设计与运营,也包括云采购建议(Cloud procurement initiatives); • 推进对关键的云计算安全需求确认,特别是在FedRAMP框架下确定政府部门的基本安全需求; • 宣传推广当前以及规划的云计算项目(projects); • 数据中心整合分析、规划和战略性支持; • 制定并分发云计算相关信息。
PMO的主要任务 • PMO主要包括三个运营任务 • 云计算采购 • 云计算安全 • 云计算与开放性政务(Open Government)
PMO的任务一——云计算采购 • GSA创建了Apps.gov站点,Apps.gov目的是提供简单、便易地发现、研究与采购商业云产品和服务的方式 • 2009年5月,PMO发布了需求信息(Request for Information--RFI),要求云计算厂商回答以下几个方面的内容 • 云计算业务模型、价格、服务水平协议、运营支持、数据管理、安全与标准 • RFI的响应需要包括IaaS的RFQ(Request to Quote),对应到RFI的服务能力和服务价格内容 • 最终的审查结果可以被多个部门用于采购基于云的WEB托管、虚拟机和存储服务,只要拟采购云计算服务的政府部门安全影响根据FISMA划分为中级即可
PMO的任务二——云计算安全 联邦政府部门担心如果云计算环境中缺乏FISMA所要求的安全控制与可确认机制,数据在云计算这种场外情景下的安全风险 当政府部门使用基于云的产品时,他们需要一个有效的认证与认可(Certification & Accreditation – C&A)过程以及签署运营授权(Authority to Operate –ATO) 为了避免CSP为每个使用他们产品的政府部门都重新获得C&A和ATO,PMO成立了安全工作组,制定了能满足多个部门要求的过程与一致的安全控制,及联邦风险与授权管理计划(Federal Risk and Authorization Management Program -- FedRAMP)
PMO的任务三——云计算与开放性政务 新的WEB2.0技术和工具可以使用基于SaaS的解决方案,为美国公民提供更加经济的沟通机制
美国联邦政府云计算发展 2010年12月9,OMB颁发了“改革联邦信息技术管理的25点实施规划 提出云计算动议FCCI 2012 2010 2009 2011 未来 2009年4月 成立云计算项目管理办公室PMO
美国联邦政府信息化建设现状——自我分析 • 过去10年,美国联邦政府的IT支出超过6000亿美元,美国政府各部门已建的数据中心约2100个左右 • 美国政府首席信息官VivekKundra认为 • IT支出获得的收效甚微,而且联邦政府的 IT 项目依然存在预算超支、进度滞后或不能提交承诺的功能等问题 • 在轻量级技术或共享服务存在时,政府部门还常常依赖于大型的、定制的、专属的系统
美国联邦政府拟消除信息化建设中的障碍 • 2010 年 12 月9日提出了《改革联邦政府IT管理的25条实施计划》 • 明确提出“云优先”策略,并与总统管理委员会联合实施 • 同时授予行政管理和预算局OMB以及其他相关的执行机构相应的权限,改进IT预算模型、加强IT项目管理,全面实施“云优先”策略 • 虽然25条实施计划不能处理所有的联邦IT挑战,但是将处理最迫切、最持久的挑战
云计算的三个显著特点 • 云计算是根据应用进行投资的模式,具有三个方面的显著特点: • 经济性:具有前期投资低、并仅仅在增加应用时才需要额外投资的经济性; • 灵活性:具有在需求变动时,不需要增加额外的软硬件,而是可以实现应用快速部署的灵活性; • 快速响应性:即云计算避免了长期的采购和验证过程,同时提供了几乎无限的服务选择。
计划的重点 • 在未来18个月内转变或终结至少1/3属于IT投资领域中运营不佳的项目 • 转向“云优先”策略:在未来的3个月内,每个部门需要确定3个“必须迁移”至云中的服务,并在未来12个月内移动其中1个服务至云中,另外2个服务则在18个月内完成移动 • 至2015年至少减少政府部门数据中心800个 • 该进展比计划快,2012年底前,计划关闭472个数据中心
计划重点(续) • 只批准主要的IT项目资金: • 拥有专门的项目经理并具备人员齐备的综合项目团队 • 使用模块化的方法,每6个月就可以交付可用的功能 • 使用专业的IT采购专家 • 与国会共同工作: • 在部门CIO的指导下整合IT资金 • 开发灵活的预算模块,并与模块开发保持一致 • 为pre-RFP业界-部门合作开启一个交互平台
美国联邦政府云计算发展 2010年12月9 OMB颁发了“改革联邦信息技术管理的25点实施规划 2011年12月8号 OMB发布FedRAMP备忘录 提出云计算动议FCCI 2010 2012 2009 未来 2011 2009年4月 成立云计算项目管理办公室PMO 2011年2月8号 发布“联邦云计算战略”
联邦政府云计算战略 • 大力推进新技术的同时,更加关注云计算所带来的隐私、安全等方面的挑战 • 美国政府重点采取了三方面措施 • 制定指导各级政府向云计算快速迁移的国家战略规划 • 加强相关标准和流程的研究制定 • 创造安全的云计算应用环境
明确云计算应用可提高IT项目的收益 提高资源使用效率 提升资产利用率 整合需求 加速数据中心重组 简化IT项目 提高服务灵活性 改善服务可扩展性 推动创新提升服务效率 降低风险
指导政府部门进行云计算技术选择 • 云计算的选择依据 • 向云计算迁移的预期收益和准备程度关系框图 • 预期收益和准备程度评估的考虑因素 • 明确预期收益:效率、灵活性、创新性 • 评估云计算的准备程度:安全需求(FISMA的要求)、服务特性(互操作性、可用性、可扩展性、可移植性、兼容性、性能及度量方法、供应商的稳定性等)、市场因素(评估市场竞争成都,避免垄断)、业务及相关技术的准备程度、政府准备程度、技术的生命周期等
如何提供云计算的有效供应 • 政府机构将工作着眼点从硬件性能指标(如服务器数量、网络带宽等)转向服务质量管理,重点关注: • 整合业务需求 • 整合服务 • 有效执行合同 • 实现云服务的价值
政府部门须转变管理方式 • 转变管理思想。管理云系统需要将CSP、政府部门和最终用户都考虑进来,将关注侧重点聚焦于服务而非资产,系统需要有效地管理输出过程(如SLA) • 完善管理制度。 • 开展周期性评估。 • 对服务与供应商开展周期性评估 • 不断引入新的服务和供应商,鼓励竞争 • 市场成熟后再扩大云服务的范围,如从IaaS过渡到PaaS和SaaS • 对政府机构开展定期评估,以巩固和标准化IT项目方案
联邦云计算战略中不同部门的角色 • NIST定义云计算标准和指南; • GSA制定政府级的采购平台,在需要时制定政府范围且基于云的应用解决方案; • DHS对云计算的运营安全问题进行监视; • 联邦CIO委员会推动政府级云计算的采用,识别下一代云计算技术并共享最佳实践以及可重用的示例分析与模版; • OMB协调各部门之间的活动,确定云计算优先等级,为政府部门提供指导。
美国联邦政府云计算发展 2011年12月8 OMB发布FedRAMP备忘录 2012年6月 FedRAMP具备初步运营能力 提出云计算动议FCCI 2010年12月9 改革联邦信息技术管理的25点实施规划 2010 2009 未来 2011 2012 2009年4月 成立云计算项目管理办公室PMO 2011年2月8 “联邦云计算战略” 2012年2月24 “联邦政府创建有效的云计算合同”
联邦政府创建有效的云计算合同 • 从十个方面对合同提出了建议 • 选择云服务 • CSP和用户的协议 • 服务水平协议 • CSP、政府部门、集成商的角色和责任 • 标准 • 安全 • 隐私 • 电子取证 • 信息自由法案 • 电子记录
主要内容 美国联邦云计算计划背景 FedRAMP简介 FedRAMP管理流程 云计算相关标准与指南
NIST RMF介绍 • 2002年国会通过了联邦信息安全管理方案(FISMA) • NIST制定了风险管理框架(RMF) • FIPS 199, FIPS 200 • SP 800系列指南 • 风险管理框架包含以下6个步骤 • 分类 • 选择 • 实现 • 评估 • 授权 • 监视
RMF下联邦政府信息和信息系统安全管理流程 解决办法:FedRAMP 政府部门 :重复的风险管理工作 … :部门间安全策略不一致 :云服务采购过程冗长 … :应用的安全需求存在差异 信息系统
解决方法:政府范围的风险管理项目(Program)解决方法:政府范围的风险管理项目(Program) : 节约成本 增加有效性 政府部门 … • 统一的风险管理 • 授权 • 连续监视 • 政府级安全需求 : 部门间共享安全评估 与审查结果 云计算风险管理与授权项目 : 加快部门采购公有云 过程 … : 政府部门安全需求 统一化 公有云服务
FedRAMP背景介绍 • FedRAMP是美国政府项目,其目的是提供一个标准化的方法来对云计算产品和服务进行安全评估、授权与连续监视。 • 2011年12月8号,美国联邦预算管理局给美国联邦政府首席信息官以及各级政府部门首席信息官发布一个官方备忘录,从而宣布FedRAMP项目正式生效,并在政府部门内强制实施。 FedRAMP官方主页:www.fedramp.gov FedRAMP的全称为Federal Risk and Authorization Management Program
FedRAMP的各相关方 FedRAMP 授权 联合授权委员会(JAB) (DOD, DHS, GSA) 安全评估 3PAO 管理办公室 政府部门 CSP 连续监视 国土安全部
主要内容 美国联邦云计算计划背景 FedRAMP简介 FedRAMP管理流程 云计算相关标准与指南
运行时评估与授权 (连续监视)