联邦风险和授权管理项目,也称为 FedRAMP,将会采用一个"cloud-first"政策,这样会使云服务提供商(CSPs)实现基本的安全需求标准化,比如说谷歌和微软,在签订政府的合约之前,将不得不聘请第三方评估机构来验证:公司的云服务是否满足基本的云安全要求。
这次改革的目的,第一是要提高IT领域的采购计划,第二,这也是在政府转移计算机服务的进程之中,比如说电子邮件系统、 基于云计算的系统。政府的技术项目在最近几个月已经关闭,因为它们的运行已经超过了预算而且落后于正常的日程安排,所以政府提高了IT行业的安全性标准的优先级,这样做的主要目标是要建立一个统一的安全框架,以便制定的规则和政策能在多个项目之间顺利的执行。
项目将如何工作?
此项目将会使云产品和云服务的安全性标准化,并加速其通过。目的是要设置一个政府能够完全掌控的云安全程序,这也就意味着,供应商在对云计算的项目进行投标时,不用再重复云计算服务安全性的审批过程了。
在这项经由第三方评估机构认可的列表中,包含了超过 160 个安全控件,来帮助企业进行安全性的身份验证,其中就包括垃圾邮件筛选器和加密标准。
项目的优势是什么?
- 减少评估多个机构之间相同的的云计算产品的冗余性。对于公司来说,卖给政府产品的时间会大大的缩短。
- 增加重复使用现有的跨机构的安全评估。
- 节省大量成本、 时间和资源。
- 增强了政府和云服务提供商 (CSPs) 之间的透明度。
- 提高了联邦安全授权过程的可信赖性、可靠性、一致性和质量。
该项目是由公众服务管理者参与管理,它也是国土安全部的管理的一部分。如果该项目能成为云计算服务安全的一项标准,相信不仅仅是对为政府工作的云服务提供商(CSPs)甚至对整个行业来说,都是值得期待的,那将是云计算领域的一场伟大的胜利。相信不久的将来,我们就会看到这是不是一个很好的项目。
By Rick Blaisdell / RicksCloud
原文链接:Single Standard For Cloud-Computing Services
王鹏/编译