网路资讯／FedRAMP打造云端统一标准

作／麦克

我们很少会看到负责新专案与新计划的IT团队会说：「让我们先看看联邦政府是怎么做的。」只要一想到美国退伍军人事务部(Veterans Affairs Department)庞大的理赔积压待办事项，以及状况不佳的全美犯罪背景即时查核系统(The National Instant Criminal background Check System)，却只能电子化处理6%的请求时，就会让美国政府的IT系统，给人留下缓慢、老旧且过于复杂的既定印象。

但多亏有前联邦资讯长Vivek Kundra授权执行的「云端优先(Cloud First)」与「开放资料(Open Data)」共享计划，如今只要一谈到云端运算与资料安全，美国政府立即摇身变成创新者。

上述云端作业的效益并不仅止于政府当局而已，企业当然也能充份加以利用，其中尤以安全问题为然。在《InformationWeek》「2013年美国云端运算大调查」所受访的450位企业商业技术专家中，有50位以上企业员工表示有处理安全疑虑的实际需求。

同时另一方面，受访者预测其公司只会采用少数，甚至完全不采用任何IT云端服务的比例下滑至31%，比起2012年的调查结果下降了7个百分点，且只有18%的受访者，以其采用云端服务的1/4到1/2而持中间立场，即使受访的资讯长也将其视为云端普及的「甜蜜点」。

不过安全成为最大忧虑所在，特别是云端技术的安全漏洞，以及专属资料或顾客资料的潜在外泄风险。至于相对少得多的忧虑，则包括效能、厂商变动或厂商锁定(Vendor Lock-in)等（见右图）。

FedRAMP横跨公私云

「联邦政府风险与授权管理计划」(Federal Risk and Authorization Management Program, FedRAMP)提供了一个检视美国联邦政府云端环境安全性的验证架构。想要参与该标准，云端服务供应商必须雇用政府认证且中立的稽核人员，来进行供应商是否遵循该标准架构的验证作业。一旦通过认证，联邦政府当局不必透过安全审查流程，便可采用该供应商的服务。

FedRAMP标准是由美国联邦总务署(General Services Administration, GSA)、联同国防部(Department of Defense, DoD)、行政管理与预算局(Office of Management and Budget, OMB)，以及联邦资讯长联席会(Federal CIO Council)及其他机构共同推动。严谨的治理架构对于整个政府的IT采购而言非常必要，同时也是当前企业寻求政府，来做为云端运算之有力参考模型的理由之一。

FedRAMP之所以会以信任验证做为焦点的最大原因，即在于可以引起政府之外的极大回响，只要在5年内，FedRAMP授权之控管，不论是在公私领域中，都将成为惯例通则而非例外。

FedRAMP最完美之处在于，其着眼于使用案例，而非只是供应商而已。例如，如果某专案涉及高价值资料，那么不论审查做得再好，将不会采用任何云端服务供应商。

再将场景转换到私人机构，该做法可以降低IT负荷。企业大可不必进行一连串一次性的决策，反而可聚焦在更重要的问题上：资料与流程的移向云端。

通过FedRAMP的校召

想通过FedRAMP的稽核并不容易。在撰写本文之际，只有2家云端服务供应商Autonomic Resource与CGI Federal通过该稽核程序，整个程序要花8个月以上时间，这比起当前犹如IT安全保障上之联邦黄金标准的FISMA评估程序，还要让人更感到精疲力竭。

当前对于FedRAMP的需求变得更加激烈，甚至有将近80家主流供应商，想要加入该计划，据传Amazon.com、Google及微软都想参一脚。

「变动真的很大，」美国国家标准与技术局(National Institute of Standards and Technology, NIST) FISMA执行负责人Ron Ross表示。光安全控制项便从600个激增至850个，其中包括全新隐私权注重要求与底层基础架构。这些控制项大致包括进阶持续威胁(Advanced Persistent Threat, APT)、内部威胁、存取控制、事件回应、营运不中断(BC) 与灾难复原(DR)等处理事项。

FedRAMP法条规定，3年之内，稽核厂商的自有管理模式必须被汇整并通过稽核人员的认证程序。这些稽核人员与许多私人公司所雇用的人一样，可以笃定的是，他们会想要通用于公私领域评估作业的同一标准。