上周,联邦政府为联邦风险和授权管理计划(FedRAMP)举行了一次亮相派对。FedRAMP最初是在10月份宣布的,它为云提供商设定了隐私和安全标准,以支持政府用户。FedRAMP让我感到兴奋的是,美国国家标准与技术研究所(NIST)正在进行的标准工作,对任何计划进入云计算的人都非常有帮助。
我不知道联邦机构是否采用IaaS,但在商业方面,17%的公司已经在使用IaaS,还有18%的公司计划在2012年底使用IaaS。阻碍进一步采用的是对安全性和合规性的担忧。但是,这句话我们已经听过很多次了,它到底是什么意思呢?嗯,根据欧洲网络信息安全局(ENISA)的工作,最主要的安全问题是缺乏治理。而且,这种治理的缺乏与云提供商为保护客户数据的机密性、完整性和可用性而设置的控制缺乏可视性直接相关。评估这些控制措施有效性的唯一方法是通过例行渗透测试、漏洞评估和审计。然而,这是一个双赢的局面:对每个公司来说,运行相同的测试是昂贵和浪费的,如果每个客户都想做笔测试和审计,它将永久地吸收云提供商的所有支持资源。FedRAMP是一种更好的方法,由“可信的”第三方定期评估云提供商。我们需要的是一个商业版本,而朝着这个方向前进的组织就是云安全联盟(CSA)。但是,我们还没到那一步。与此同时,NIST正在做着对所有组织都有帮助的出色工作。关于云安全问题的最好概述之一,请参阅NIST特别出版物草案(SP 800-144)。它易于阅读,并且很好地阐述了公共云计算的安全性和隐私问题。