发布日期:2024-11-22 01:21 点击次数:114
「计谋与海外商议中心:加速好意思国联邦政府经受云办事的艰巨和搞定建议」绫 丝袜
2023 年7月28日,计谋与海外商议中心(Center for Strategic and International Studies, CSIS)发表其网罗安全各人詹姆斯·安德鲁·刘易斯(James Andrew Lewis)撰写的褒贬著述《加速联邦云的经受以已毕当代化和安全性(Accelerating Federal Cloud Adoption for Modernization and Security)》。本文探讨了若何使好意思国政府加速经受云办事,以及要已毕办事当代化并提升安全性,政策必须搞定的阻隔政府使用更多云计较和办事的几个艰巨。
最初,作家指出,云计较办事是当代企业不行或缺的一部分,从初创企业到大型企业,大多数公司齐在使用云计较,并向云计较挪动,以提升安全性和成果、裁汰本钱。更多地使用云办事不错匡助联邦政府改善面向公民的办事终点网罗的安全性。尽管加速联邦对云计较的使用不错更好地办事于国度,但已毕这一谋略会激发对子邦资金、文化和当代化计谋变化的担忧。联邦云计较计谋包含当代化、资金和网罗安全三个成分。最初,加多云计较的使用不错匡助联邦信息技能当代化,甩掉留传系统,提升安全性并大大松弛本钱。其次,资金方面,该计谋应有简化的供资司法,让赢得云办事更容易。举例,联邦风险和授权顾问谋略(Federal Risk and Authorization Management Program, FedRAMP)的主见是简化联邦合同和采购经由,以幸免重叠审查,并创建标准的合同器用,便于与各机构开展业务。第三,在网罗安全方面,必须改变现下不利于网罗安全的联邦司法。更多地使用云计较不错提升机构的弹性和匡助较小的机构松开网罗安全职守。要求各机构使用联邦合同和采购授权,只购买安全的云计较基础设施也有助于鼓吹独到云市集的发展。当今联邦政府经受云技能的一个艰巨是衰败鼓吹私营部门进行当代化和纠正的激励机制,联邦政府的决策需要更多的监督,天真性较小,在想象上也需要愈加三想尔后行,要将云计较效益最大化,就需要全心想象的数据政策和办事公约,何况应幸免想象不当的合同和薄弱的网罗安全施行。
随后,作家指出了阻隔联邦政府更多使用云计较和办事的七个艰巨。第一,留传系统:太多政府机构依赖于与云办事不兼容的旧系统和软件,以及对过度过程中办事中断或数据丢失的合理担忧也会减速云技能的应用。但《国度网罗安全计谋(National Cybersecurity Strategy)》要求好意思国行政顾问和预算局(Office of Management and Budget, OMB)制定一项谋略,在十年内移除无法履行零信任架构计谋的留传系统。第二,资金和拨款:2022 年,好意思国政府在信息技能(Information Technology,IT)的支拨中有超越一半用于调治留传系统。从这些留传系统中振荡出来是一项复杂的使命,过渡到使用更多云技能也具有再行颐养IT支拨的优先递次的挑战性,而守护现存系统所需的资金相对容易。为此,好意思国国会从2021年好意思国救济谋略(American Rescue Plan)中为技能当代化基金(Technology Modernization Fund, TMF)注入了多量资金试图匡助弥补这一问题。尽管一些TMF样式复古云技能的经受,但该谋略大多用于零碎的当代化使命和网罗升级,而不是云挪动。更多地使用云技能不错提升成果、量入制出多量资金,也可用于复古当代化。不外,TMF要求全额还款,这对提交提案形成了阻隔。第三,司法:机构必须驯服干系云使用的多种司法和法律,如制定云安全标准的FedRAMP或《联邦信息安全顾问法案(Federal Information Security Management Act, FISMA)》。监管关于秘籍、安全和平允竞争是必要的,以确保数据得到保护,合同得jijng到平允授予,但繁琐的监管会挫伤更动和竞争,且变成合规职守,因此绫 丝袜,应费力扩大批准互惠和简化FedRAMP终点他里面司法。第四,秘籍和数据保护:在所有这个词IT系统中,确保数据免受未经授权的造访、外泄和间谍行为的影响齐是一项挑战,觉得云的使用会挫伤秘籍或数据的不准确认识也会减缓或阻隔挪动。第五,数据所有这个词权:当数据存储在云中时,必须意志到谁领有和逼迫数据,并在合同或办事公约中明确阐发。另外,各机构需要了解云提供商若何顾问不行幸免的数据流露事件。第六,供应商绑定:各机构和联邦委员会齐怜惜和追忆供应商的绑定会阻隔云提供商之间的数据和办事传输,并戒指政府出动数据、改换提供商或谈判有益条件的才智。尽管这些担忧频频被夸大了,但搞定决策仍需仔细缠绵和草拟合同,以确保数据和应用依次的可移植性。第七,机构文化:使用/得志经受云计较需要以不同于传统里面搞定决策的形式来商量IT办事和数据,部分东谈主可能会厌恶其中的风险,但这也反应出机构衰败对云技能和最好施行的了解,这么就阻隔了变革。
作家还提议了要扩大联邦云使用的具体建议和有计划奏效过渡的两个标准。好意思国政府应为联邦机构向安全云办事和基础设施过渡制定并履行一项综意想谋。具体有以下九点建议:第一,该计谋应轮廓联邦政府在本十年扫尾前完成履行、当代化以及用安全云办事取代留传系统的具体法子,以及包含一项日落条件,章程留传系统在过去七年内退役的里程碑。还应包括国度网罗总监办公室(Office of the National Cyber Director, ONCD)和国度标准与技能商议院(National Institute of Standards and Technology, NIST)制定云网罗安全要求的任务,并将其看成联邦云合同的强制性成分。第二,该计谋应选用怒放数据的方法,为各机构分享数据和办事创造条件,并通过齐集办事来裁汰支拨和提升运营成果。第三,深入预算和采购在履行云计谋中的中枢作用。政府需要与国会妥洽制定并授权天的确供资经由,出奇是立法应修改《反失掉法(Antideficiency Act)》对各机构提前承付资金的要求,并经受基于绩效的合同,让各机构在国会批准的情况下再行分派资金,以复古云的经受和淘汰留传系统。为匡助克服文化艰巨,还应扩大对采购官员和IT高管的联邦培训,以树立对云办事的隆重进程。第四,该计谋应得到NIST标准使命的复古,由OMB认真,并需与ONCD和网罗安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency, CISA)协商,何况不错让私营部门充分、实时地参与进来。第五,该计谋必须简化FedRAMP和其他潜在司法,并扩大东谈主员编制,以提升审查速率。第六,为裁汰向云过渡所带来的中断风险,OMB应在各机构大畛域部署搞定决策前,经受快速原型测试的迭代方法进行云部署。云过渡并不料味着一触即发,这种迭代方法应与预算里程碑挂钩,以监测机构支拨向云计较过渡的情况。ONCD、CISA 和 NIST 应在《国度网罗安全计谋》的基础上,笃定联邦云计较使用的网罗安全要求。反过来,OMB 不错控制这些要求强制纳入联邦云合同。这些要求应包括基于办事提供商深入的云合同拒绝条件。第七,加多云使用可除外包联邦IT劳能源。联邦政府频频很难招聘和留下IT和网罗安全专科东谈主员,加多云使用不错减少和重塑联邦劳能源的招聘要求,更容易顾问东谈主才短缺问题。第八,好意思国政府应连接将云技能的经受看成联邦简化数据中心使用的一大费力。整合和优化数据中心基础设施有益于排斥冗余,提升运行成果,且各机构还不错控制分享办事。第九,要改变联邦采购和IT文化,使其愈加复古云计较的使用,就需要各机构罢职白宫的指令为采购官员和顾问东谈主员提供讲明和培训,使他们愈加隆重云计较的运作形式和要求。奏效转型的两个标准是资金水蔼然比拟使用情况。最初,当代化要求好意思国住手为留传系统提供资金,并过渡到更多依赖云办事和基础设施的使用上。其次,应比拟政府云的使用率与私营部门大型企业的云使用率。政府机构逾期于公司的部分原因是对留传系统的依赖,淌若政府在传统IT上的支拨减少,而在云计较上的支拨加多,以致运行变得更像二十一生纪的私营企业,就如故取得了高出。
临了,作家再次强调了加速经受云技能对当代化的攻击性。国会开采了技能顾问基金,以加速批准用于当代化的资金,还不错通过制定全面的云计谋来搞定其有限的应用范围;年度拨款经由、金额和时间的不笃定性也加多了云挪动或其他当代化使命的难度,即使有鼓胀的资金,还会受到面前联邦IT采购授权和司法的阻隔。拥抱云计较需要转变机构文化、经由和技巧组合。雷同值得珍摄的是,面前对东谈主工智能的专注也必须商量到这项技能将需要更多的云资源,冉冉或零碎的经受将使各机构更难控制过去的技能。临了,作家建议创建一个由OMB指令的联邦云顾问小组认真监督这些使命,淌若政府机构加速向云技能的振荡,办事、安全和本钱齐将得到改善。
詹姆斯·安德鲁·刘易斯(James Andrew Lewis):计谋与海外商议中心高档副总裁和计谋技能样式主任,专注于商议网罗安全与科技、国防与安全、经济、地缘政事以及海外安全。
原文引诱:
https://www.csis.org/analysis/accelerating-federal-cloud-adoption-modernization-and-security绫 丝袜