赌场vip的要求·cloud.gov:美国政府机构的PaaS平台

更新时间2020-01-11 14:56:32  作者:未知

赌场vip的要求·cloud.gov:美国政府机构的PaaS平台

赌场vip的要求,e安全2月7日讯 cloud.gov是供美国政府机构使用的paas(平台即服务,是一种云计算服务,提供运算平台与解决方案堆栈即服务。在云计算的典型层级中,平台即服务层介于软件即服务与基础设施即服务之间。)平台。cloud.gov为美国联邦机构提供快速的方式托管和更新网站(和其它web应用,例如api)。借助该平台,美国联邦机构雇员和承包商可以跳过管理服务器基础设施,专注开发支持完成机构任务的服务。cloud.gov目前已经获得fedramp认证,这使得联邦机构可以快速将基于web的服务过渡到高效、易于使用的云托管服务。

美国fedramp(federal risk and authorization management program)认证是面向政府采购的云服务认证,目的是指导政府采购云计算服务。该认证由美国政府主导,标准研究所、总务署、国家安全局、联邦cio委员会等机构组成云计算管理办公室pmo主导认证工作。认证标准参考nist sp 800-53标准,内容包括信息安全、服务质量、市场因素等方面。

由于cloud.gov已经获得fedramp认证,政府机构通过较少的前期工作便能将cloud.gov投入使用,并反过来使用cloud.gov更快速地提供服务。

cloud.gov项目是由美国总务管理局的18f办公室负责运营,18f担负着引导美国政府数字化转型的繁重工作。

cloud.gov是一个基于pivotal cloud foundry政府创新平台,由 “政府开发人员开发,为政府开发人员所用” 。该平台正在帮助着众多联邦机构步入云开发的现代世界。cloud.gov为联邦机构提供快速便捷的方式托管并更新网站(和其它web应用,例如api),因此,联邦机构的雇员和承包商可以专注自己的任务,而不必为联邦系统公用基础设施和合规要求争论不休。cloud.gov的运作方式以及技术资料,可以参见cloud.gov官方网站。

许多美国机构都很有兴趣使用cloud.gov,从过去来看,每个机构在允许其团队使用cloud.gov之前,都会cloud.gov的安全与合规性进行深度审查。这一步骤至关重要,但却耗时耗力,因此使得联邦机构难以投资尝试云服务,虽然他们认为云服务将大有裨益

fedramp认证将此问题迎刃而解。 fedramp负责协调联合授权委员会(joint authorization board,jab,由国防部、国土安全部和总务管理局的首席信息官组成)。jab成员及其团队通过严苛的标准评估云服务。如果云服务满足要求,他们会支持临时操作授权(provisional authority to operate,p-ato)。其后,任何联邦机构便可以使用该p-ato(包含来自云服务的详细安全文档),而不必进行独立的研究。

cloud.gov已经收到中等影响级别的jab p-ato。(联邦系统分为低、中、高影响级别,因此这意味着联邦机构可以轻松使用cloud.gov托管低、中级别的系统,即大多数联邦系统)。当某机构接受此p-ato,该机构的团队可以将p-ato用于他们创建的系统。因为cloud.gov注重联邦机构的大量合规要求,在cloud.gov上创建的每个新系统都具有短程路径实现授权操作。换句话讲:团队可以更快速地开发并部署新的、经过升级的web应用,从而敏捷提供服务。

cloud.gov供联邦机构构建并提供网站(和其它基于web的应用),例如,机构的首页、开放数据api或内部信息管理工具。机构的开发团队在cloud.gov上创建应用,cloud.gov负责处理底层平台的安全、维护和合规要求。

这就意味着联邦机构团队可以专注自己的任务,而不必管理基础设施,这样一来,大大降低了技术工作量。正如上文所述,cloud.gov大大降低了取得操作授权所需的工作量和时间。而机构团队只需要证明应用程序的合规性。中级影响水平系统所需的320项安全控制中,cloud.gov处理了269项控制,41项控制为共同责任(cloud.gov提供部分要求,机构应用程序提供余下的要求)。机构团队只需全面实施余下15项控制,例如确保备份数据,并确保网站使用可靠的dns名称服务器。

考虑到安全在合规性中的地位,cloud.gov的运营团队18f在此采用了bosh干细胞全自动化,以提供os骨架,最少常用工具和配置文件,还有bosh代理,这就构成了默认安全配置。他们的uaa设置实际上授予了用户访问实施多因素和生物认证的上游saml提供商的权限。

cloud.gov的运营团队18f还为所有安全组件采用bosh发布,容许以迭代方法来发布和测试,然后将安全性完全统一地应用于所有服务器。入侵防御和检测,硬化脚本,漏洞扫描,ssh合规性检查,完整性检查,和记录分析组件都是一致内置在各个服务器中。同时,团队追踪问题直至来源干细胞或构建包,跨数成百上千的服务器重建,再测试和自动部署。有了恰当的自动化,安全性可以得到持续保证。事实上,cloud.gov能够在一天之内完成漏洞回应和生产修复部署。

cloud.gov还是供应商和承包商的组成部分(为联邦机构提供服务)。供应商和承包商可以向机构提出建议,将服务构建在cloud.gov上,从而减少技术与合规负担。

适应开源cloud foundry 项目2个月后,cloud.gov团队首次于2015年5月宣布建立该平台。从那时起,cloud.gov就有取得fedramp认证的想法。该平台于2016年3月开始准备fedramp进程,并于2016年5月建立了fedramp准备状态(ready status)。cloud.gov设定了在6个月内使用新fedramp加速过程(fedramp accelerated process)取得fedramp授权的宏伟目标。

fedramp评估过程十分彻底!在第三方评估机构veris的帮助下(审计工作)满足了所有要求,cloud.gov还进一步改进技术和操作情况。cloud.gov在此过程中增加了更多了监控和报警,开发并进行额外的团队训练,编写清单和自动化脚本使流程一致、可重复,将多团队政策和程序以书面形式正规化,等等。

2016年8月,cloud.gov正式与jab团队开始审查,并与审查开始后不到6个月的时间获得fedramp认证(2017年1月)。

昨日头条:

今日e安全微信公众号头条推送的其他文章有:

rsa 2017:美国dhs科学家展示ai网络安全技术

中学生黑客劫持超过15万台打印机 打印ascii图像

工控安全预警:霍尼韦尔xl web ii控制器曝出多个漏洞 以明文显示密码

e安全注:本文系e安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com