網路資訊/FedRAMP打造雲端統一標準
作/麥克
我們很少會看到負責新專案與新計劃的IT團隊會說:「讓我們先看看聯邦政府是怎麼做的。」只要一想到美國退伍軍人事務部(Veterans Affairs Department)龐大的理賠積壓待辦事項,以及狀況不佳的全美犯罪背景即時查覈系統(The National Instant Criminal background Check System),卻只能電子化處理6%的請求時,就會讓美國政府的IT系統,給人留下緩慢、老舊且過於複雜的既定印象。
但多虧有前聯邦資訊長Vivek Kundra授權執行的「雲端優先(Cloud First)」與「開放資料(Open Data)」共享計劃,如今只要一談到雲端運算與資料安全,美國政府立即搖身變成創新者。
上述雲端作業的效益並不僅止於政府當局而已,企業當然也能充份加以利用,其中尤以安全問題爲然。在《InformationWeek》「2013年美國雲端運算大調查」所受訪的450位企業商業技術專家中,有50位以上企業員工表示有處理安全疑慮的實際需求。
同時另一方面,受訪者預測其公司只會採用少數,甚至完全不採用任何IT雲端服務的比例下滑至31%,比起2012年的調查結果下降了7個百分點,且只有18%的受訪者,以其採用雲端服務的1/4到1/2而持中間立場,即使受訪的資訊長也將其視爲雲端普及的「甜蜜點」。
不過安全成爲最大憂慮所在,特別是雲端技術的安全漏洞,以及專屬資料或顧客資料的潛在外泄風險。至於相對少得多的憂慮,則包括效能、廠商變動或廠商鎖定(Vendor Lock-in)等(見右圖)。
FedRAMP橫跨公私雲
「聯邦政府風險與授權管理計劃」(Federal Risk and Authorization Management Program, FedRAMP)提供了一個檢視美國聯邦政府雲端環境安全性的驗證架構。想要參與該標準,雲端服務供應商必須僱用政府認證且中立的稽覈人員,來進行供應商是否遵循該標準架構的驗證作業。一旦通過認證,聯邦政府當局不必透過安全審查流程,便可採用該供應商的服務。
FedRAMP標準是由美國聯邦總務署(General Services Administration, GSA)、聯同國防部(Department of Defense, DoD)、行政管理與預算局(Office of Management and Budget, OMB),以及聯邦資訊長聯席會(Federal CIO Council)及其他機構共同推動。嚴謹的治理架構對於整個政府的IT採購而言非常必要,同時也是當前企業尋求政府,來做爲雲端運算之有力參考模型的理由之一。
FedRAMP之所以會以信任驗證做爲焦點的最大原因,即在於可以引起政府之外的極大迴響,只要在5年內,FedRAMP授權之控管,不論是在公私領域中,都將成爲慣例通則而非例外。
FedRAMP最完美之處在於,其着眼於使用案例,而非只是供應商而已。例如,如果某專案涉及高價值資料,那麼不論審查做得再好,將不會採用任何雲端服務供應商。
再將場景轉換到私人機構,該做法可以降低IT負荷。企業大可不必進行一連串一次性的決策,反而可聚焦在更重要的問題上:資料與流程的移向雲端。
通過FedRAMP的校召
想通過FedRAMP的稽覈並不容易。在撰寫本文之際,只有2家雲端服務供應商Autonomic Resource與CGI Federal通過該稽覈程序,整個程序要花8個月以上時間,這比起當前猶如IT安全保障上之聯邦黃金標準的FISMA評估程序,還要讓人更感到精疲力竭。
當前對於FedRAMP的需求變得更加激烈,甚至有將近80家主流供應商,想要加入該計劃,據傳Amazon.com、Google及微軟都想參一腳。
「變動真的很大,」美國國家標準與技術局(National Institute of Standards and Technology, NIST) FISMA執行負責人Ron Ross表示。光安全控制項便從600個激增至850個,其中包括全新隱私權注重要求與底層基礎架構。這些控制項大致包括進階持續威脅(Advanced Persistent Threat, APT)、內部威脅、存取控制、事件迴應、營運不中斷(BC) 與災難復原(DR)等處理事項。
FedRAMP法條規定,3年之內,稽覈廠商的自有管理模式必須被彙整並通過稽覈人員的認證程序。這些稽覈人員與許多私人公司所僱用的人一樣,可以篤定的是,他們會想要通用於公私領域評估作業的同一標準。