作为第一家获得 FedRAMP 和 DoD 授权的云服务提供商,我直接参与其中,体验了将颠覆性技术引入联邦市场的喜悦,以及将高标准的云安全应用到联邦市场的挑战。
在 FedRAMP 的早期(最早可追溯到 2012 年),云服务提供商的安全团 瑞士电话 队对云能做什么和不能做什么有更多发言权,比负责云功能的云工程师更有发言权。我们曾经嘲笑我的安全主管的标准答案是“不”,甚至在听到工程师想要考虑实施的功能细节之前。API 在那个世界里是一个“四个字母”的词。在我任职期间,这种心态从未改变,这导致我们的竞争对手在市场上推出的功能方面存在许多空白。安全赢了,而云销售、租户和客户输了!我们成为了一家碰巧拥有云的安全公司。
如今,FedRAMP 认证提供商提供的云服务具有许多(且不断增加)云功能;但公司仍然遵守多项严格的安全控制措施。这些云服务“诞生”于 FedRAMP 市场之外;因此,创新引领,安全紧随其后,以确保创新,而不是扼杀创新。不应将这段话理解为我不赞成可靠的安全流程。我赞成。我是 FedRAMP、FedRAMP 使命和管理与预算办公室 (OMB) 与 FedRAMP 遵守相关的要求的支持者。
例如,看看当前 FedRAMP 认证的云服务提供商的服务:
请访问www.fedramp.gov,然后选择 FedRAMP 授权产品。
接下来,选择其中一个 CSP 认证的服务,然后点击“服务描述”。在 FedRAMP 授权下,对它们拥有的服务数量进行符号比较。以下是一些示例(请务必按下“服务描述”下的“+”按钮):
AWS GovCloud
微软 Azure 政府
Goggle – Google 服务
尽管我没有长期保留此列表,但我仍然知道云服务的数量已经超出了它们的第一个 FedRAMP 认证服务,这些服务可能只是普通的 IaaS。
这些附加服务是如何产生的?
努力的顺序是由云客户的需求驱动的;首先是创新,然后是安全性支持这些服务的纳入。
因为我从一开始就一直从事云服务和 FedRAMP/国防部市场,所以我想分享一些经验教训,如下:
让云服务的聪明、创新的思想领袖引领服务产品。
支持安全团队的使命,但要提醒他们,他们的存在不是为了阻碍或强加他们的意愿。相反,他们应该以合规的方式提供服务。
防止“安全之神情结”接管。
请注意文件共享巨头 Box 的首席安全官 Joel de la Garza 今年 3 月在接受 ZDNet 采访时所说的话。他被引述如下:
“我每天面临的最大挑战是如何在不彻底摧毁公司创新的情况下真正满足严格监管的行业的要求。”
ZDNet 采访
看来德拉加尔萨先生明白创新引领,而他的职责是确保创新安全地进入市场。他继续反思自己之前的职位,并表示:
“我来自‘不’帝国,”德拉加尔萨开玩笑说。“我以前工作时有权关闭一切。如果有必要,我可以关闭一家价值万亿美元的企业,因为它存在被损害的风险。这就是监管机构想要的,也是银行的运作方式。”
“我很高兴地说,市场已经接受了 FedRAMP 和国防部安全要求指南等高标准安全标准;在过去几年中,我亲眼目睹了 FedRAMP 项目管理办公室 (PMO) 因“阻止云服务提供商想要带来的创新”而承受的压力。FedRAMP 被指责(在我看来是错误的)难以合作、难度太大(本来就应该如此)并且认证过程耗时太长。然而,有证据表明,许多云服务提供商已经找到了符合 FedRAMP 要求的方法。”
我们如何获得如此多的 FedRAMP 认证提供商?
当然,包括 Matt Goodrich 在内的 FedRAMP 领导层一直在努力推动行业和机构创建有据可查的 FedRAMP 流程,这样 CSP 就不能再声称它是一个“黑箱”流程。
FedRAMP 理应获得更多资金来充实 FedRAMP 办公室,以满足对其服务的需求。
FedRAMP 项目管理办公室制定了创新计划,以协助 CSP 进入 FedRAMP 认证流程。以下列举一些:
https://www.fedramp.gov/tag/fedramp-ready/
https://www.fedramp.gov/fedramp-connect ... y-the-jab/
存在成熟的第三方评估组织 (3PAO) 生态系统,以指导 CSP 完成 FedRAMP 和 DoD 云安全流程。
随着自动化的出现,现在有越来越多的供应商可以与 CSP 合作,以自动化其 FedRAMP 合规性要求。这是一个新兴市场,但至少现在有几家公司拥有平台,可以帮助 CSP 避免被其安全团队“淹没”,同时改善 CSP 环境的安全状况(目标)。
John Keese 是 GovLoop 精选博主计划的成员,该计划精选了来自全国各地(和世界各
