2011 年12 月OMB 发布了一项关于“云计算环境下信息系统安全授权”的首席信息官备忘录,正式设立FedRAMP 项目。
2012 年2 月成立了FedRAMP 项目联合授权委员会(JAB)并发布了《FedRAMP 概念框架(CONOPS)》、《FedRAMP 安全控制措施》。
2 美国联邦政府云计算安全策略分析
2.1 高度重视云计算安全和隐私、可移植性和互操作性,对云服务实施基于风险的管理
美国联邦政府在推动云计算一开始就认识到云计算安全和隐私、可移植性和互操作性是云计算被接纳的主要障碍,并给予了高度重视。美国联邦政府认为,对于云服务要实施基于风险的安全管理,在控制风险的基础上,充分利用云计算高效、快捷、利于革新等重要优势,并启动了联邦风险和授权管理项目(FedRAMP)。
2.2 加强云计算安全管理,明确安全管理相关方及其职责
首先,明确了云计算安全管理的政府部门角色及其职责:
1) 联合授权委员会(JAB):成立了由国防部(DOD)、DHS、GSA 三方组成的联合授权委员会JAB,主要负责制定更新安全基线要求、批准第三方评估机构认可标准、设立优先顺序并评审云服务授权包、对云服务供应进行初始授权等;2)FedRAMP 项目管理办公室(FedRAMPPMO):设立于GSA,负责管理评估、授权、持续监视过程等, 并与NIST 合作实施对第三方评估组织的符合性评估;3)国土安全部:主要负责监视、响应、报告安全事件,为可信互联网联接提供指南等;4)各执行部门或机构:按照DHS、JAB 等要求评估、授权、使用和监视云服务等,并每年4 月向CIOC 提供由本部门CIO 和CFO 签发的认证;5)首席信息官委员会:负责出版和分发来自FedRAMP PMO 和JAB 的信息。
其次,明确了FedRAMP 项目相关方的角色和职责(如图1)。这些角色中除了DHS、JAB、FedRAMPPMO、各执行部门或机构、CIOC 外,还包括云服务商(CSP)和第三方评估组织(3PAO)。云服务商实现安全控制措施;创建满足FedRAMP 需求的安全评估包;与第三方评估机构联系,执行初始的系统评估,以及运行中所需的评估与授权;维护连续监视项目;遵从有关变更管理和安全事件报告的联邦需求。
第三方评估组织保持满足FedRAMP 所需的独立性和技术优势;对CSP 系统执行独立评估,并创建满足FedRAMP 需求的安全评估包清单。