2月7日訊 cloud.gov是供美國(guó)政府機(jī)構(gòu)使用的PaaS(平臺(tái)即服務(wù)，是一種云計(jì)算服務(wù)，提供運(yùn)算平臺(tái)與解決方案堆棧即服務(wù)。在云計(jì)算的典型層級(jí)中，平臺(tái)即服務(wù)層介于軟件即服務(wù)與基礎(chǔ)設(shè)施即服務(wù)之間。)平臺(tái)。cloud.gov為美國(guó)聯(lián)邦機(jī)構(gòu)提供快速的方式托管和更新網(wǎng)站(和其它web應(yīng)用，例如API)。借助該平臺(tái)，美國(guó)聯(lián)邦機(jī)構(gòu)雇員和承包商可以跳過(guò)管理服務(wù)器基礎(chǔ)設(shè)施，專注開發(fā)支持完成機(jī)構(gòu)任務(wù)的服務(wù)。cloud.gov目前已經(jīng)獲得FedRAMP認(rèn)證，這使得聯(lián)邦機(jī)構(gòu)可以快速將基于Web的服務(wù)過(guò)渡到高效、易于使用的云托管服務(wù)。

美國(guó)FedRAMP(Federal Risk and Authorization Management Program)認(rèn)證是面向政府采購(gòu)的云服務(wù)認(rèn)證，目的是指導(dǎo)政府采購(gòu)云計(jì)算服務(wù)。該認(rèn)證由美國(guó)政府主導(dǎo)，標(biāo)準(zhǔn)研究所、總務(wù)署、國(guó)家安全局、聯(lián)邦CIO委員會(huì)等機(jī)構(gòu)組成云計(jì)算管理辦公室PMO主導(dǎo)認(rèn)證工作。認(rèn)證標(biāo)準(zhǔn)參考NIST SP 800-53標(biāo)準(zhǔn)，內(nèi)容包括信息安全、服務(wù)質(zhì)量、市場(chǎng)因素等方面。

由于cloud.gov已經(jīng)獲得FedRAMP認(rèn)證，政府機(jī)構(gòu)通過(guò)較少的前期工作便能將cloud.gov投入使用，并反過(guò)來(lái)使用cloud.gov更快速地提供服務(wù)。

cloud.gov簡(jiǎn)介cloud.gov項(xiàng)目是由美國(guó)總務(wù)管理局的18F辦公室負(fù)責(zé)運(yùn)營(yíng)，18F擔(dān)負(fù)著引導(dǎo)美國(guó)政府?dāng)?shù)字化轉(zhuǎn)型的繁重工作。

cloud.gov是一個(gè)基于Pivotal Cloud Foundry政府創(chuàng)新平臺(tái)，由 “政府開發(fā)人員開發(fā)，為政府開發(fā)人員所用” 。該平臺(tái)正在幫助著眾多聯(lián)邦機(jī)構(gòu)步入云開發(fā)的現(xiàn)代世界。cloud.gov為聯(lián)邦機(jī)構(gòu)提供快速便捷的方式托管并更新網(wǎng)站(和其它Web應(yīng)用，例如API)，因此，聯(lián)邦機(jī)構(gòu)的雇員和承包商可以專注自己的任務(wù)，而不必為聯(lián)邦系統(tǒng)公用基礎(chǔ)設(shè)施和合規(guī)要求爭(zhēng)論不休。cloud.gov的運(yùn)作方式以及技術(shù)資料，可以參見(jiàn)cloud.gov官方網(wǎng)站。

FedRAMP如何幫助聯(lián)邦機(jī)構(gòu)使用cloud.gov?許多美國(guó)機(jī)構(gòu)都很有興趣使用cloud.gov，從過(guò)去來(lái)看，每個(gè)機(jī)構(gòu)在允許其團(tuán)隊(duì)使用cloud.gov之前，都會(huì)cloud.gov的安全與合規(guī)性進(jìn)行深度審查。這一步驟至關(guān)重要，但卻耗時(shí)耗力，因此使得聯(lián)邦機(jī)構(gòu)難以投資嘗試云服務(wù)，雖然他們認(rèn)為云服務(wù)將大有裨益

FedRAMP認(rèn)證將此問(wèn)題迎刃而解。 FedRAMP負(fù)責(zé)協(xié)調(diào)聯(lián)合授權(quán)委員會(huì)(Joint Authorization Board，JAB，由國(guó)防部、國(guó)土安全部和總務(wù)管理局的首席信息官組成)。JAB成員及其團(tuán)隊(duì)通過(guò)嚴(yán)苛的標(biāo)準(zhǔn)評(píng)估云服務(wù)。如果云服務(wù)滿足要求，他們會(huì)支持臨時(shí)操作授權(quán)(Provisional Authority to Operate，P-ATO)。其后，任何聯(lián)邦機(jī)構(gòu)便可以使用該P(yáng)-ATO(包含來(lái)自云服務(wù)的詳細(xì)安全文檔)，而不必進(jìn)行獨(dú)立的研究。

cloud.gov已經(jīng)收到中等影響級(jí)別的JAB P-ATO。(聯(lián)邦系統(tǒng)分為低、中、高影響級(jí)別，因此這意味著聯(lián)邦機(jī)構(gòu)可以輕松使用cloud.gov托管低、中級(jí)別的系統(tǒng)，即大多數(shù)聯(lián)邦系統(tǒng))。當(dāng)某機(jī)構(gòu)接受此P-ATO，該機(jī)構(gòu)的團(tuán)隊(duì)可以將P-ATO用于他們創(chuàng)建的系統(tǒng)。因?yàn)閏loud.gov注重聯(lián)邦機(jī)構(gòu)的大量合規(guī)要求，在cloud.gov上創(chuàng)建的每個(gè)新系統(tǒng)都具有短程路徑實(shí)現(xiàn)授權(quán)操作。換句話講：團(tuán)隊(duì)可以更快速地開發(fā)并部署新的、經(jīng)過(guò)升級(jí)的Web應(yīng)用，從而敏捷提供服務(wù)。

cloud.gov如何幫助聯(lián)邦機(jī)構(gòu)完成任務(wù)?cloud.gov供聯(lián)邦機(jī)構(gòu)構(gòu)建并提供網(wǎng)站(和其它基于Web的應(yīng)用)，例如，機(jī)構(gòu)的首頁(yè)、開放數(shù)據(jù)API或內(nèi)部信息管理工具。機(jī)構(gòu)的開發(fā)團(tuán)隊(duì)在cloud.gov上創(chuàng)建應(yīng)用，cloud.gov負(fù)責(zé)處理底層平臺(tái)的安全、維護(hù)和合規(guī)要求。

這就意味著聯(lián)邦機(jī)構(gòu)團(tuán)隊(duì)可以專注自己的任務(wù)，而不必管理基礎(chǔ)設(shè)施，這樣一來(lái)，大大降低了技術(shù)工作量。正如上文所述，cloud.gov大大降低了取得操作授權(quán)所需的工作量和時(shí)間。而機(jī)構(gòu)團(tuán)隊(duì)只需要證明應(yīng)用程序的合規(guī)性。中級(jí)影響水平系統(tǒng)所需的320項(xiàng)安全控制中，cloud.gov處理了269項(xiàng)控制，41項(xiàng)控制為共同責(zé)任(cloud.gov提供部分要求，機(jī)構(gòu)應(yīng)用程序提供余下的要求)。機(jī)構(gòu)團(tuán)隊(duì)只需全面實(shí)施余下15項(xiàng)控制，例如確保備份數(shù)據(jù)，并確保網(wǎng)站使用可靠的DNS名稱服務(wù)器。

考慮到安全在合規(guī)性中的地位，cloud.gov的運(yùn)營(yíng)團(tuán)隊(duì)18F在此采用了BOSH干細(xì)胞全自動(dòng)化，以提供OS骨架，最少常用工具和配置文件，還有BOSH代理，這就構(gòu)成了默認(rèn)安全配置。他們的UAA設(shè)置實(shí)際上授予了用戶訪問(wèn)實(shí)施多因素和生物認(rèn)證的上游SAML提供商的權(quán)限。

cloud.gov的運(yùn)營(yíng)團(tuán)隊(duì)18F還為所有安全組件采用BOSH發(fā)布，容許以迭代方法來(lái)發(fā)布和測(cè)試，然后將安全性完全統(tǒng)一地應(yīng)用于所有服務(wù)器。入侵防御和檢測(cè)，硬化腳本，漏洞掃描，SSH合規(guī)性檢查，完整性檢查，和記錄分析組件都是一致內(nèi)置在各個(gè)服務(wù)器中。同時(shí)，團(tuán)隊(duì)追蹤問(wèn)題直至來(lái)源干細(xì)胞或構(gòu)建包，跨數(shù)成百上千的服務(wù)器重建，再測(cè)試和自動(dòng)部署。有了恰當(dāng)?shù)淖詣?dòng)化，安全性可以得到持續(xù)保證。事實(shí)上，cloud.gov能夠在一天之內(nèi)完成漏洞回應(yīng)和生產(chǎn)修復(fù)部署。

cloud.gov還是供應(yīng)商和承包商的組成部分(為聯(lián)邦機(jī)構(gòu)提供服務(wù))。供應(yīng)商和承包商可以向機(jī)構(gòu)提出建議，將服務(wù)構(gòu)建在cloud.gov上，從而減少技術(shù)與合規(guī)負(fù)擔(dān)。

Cloud.gov自建立以來(lái)取得的進(jìn)展適應(yīng)開源Cloud Foundry 項(xiàng)目2個(gè)月后，cloud.gov團(tuán)隊(duì)首次于2015年5月宣布建立該平臺(tái)。從那時(shí)起，cloud.gov就有取得FedRAMP認(rèn)證的想法。該平臺(tái)于2016年3月開始準(zhǔn)備FedRAMP進(jìn)程，并于2016年5月建立了FedRAMP準(zhǔn)備狀態(tài)(Ready status)。Cloud.gov設(shè)定了在6個(gè)月內(nèi)使用新FedRAMP加速過(guò)程(FedRAMP Accelerated Process)取得FedRAMP授權(quán)的宏偉目標(biāo)。

FedRAMP評(píng)估過(guò)程十分徹底!在第三方評(píng)估機(jī)構(gòu)Veris的幫助下(審計(jì)工作)滿足了所有要求，cloud.gov還進(jìn)一步改進(jìn)技術(shù)和操作情況。cloud.gov在此過(guò)程中增加了更多了監(jiān)控和報(bào)警，開發(fā)并進(jìn)行額外的團(tuán)隊(duì)訓(xùn)練，編寫清單和自動(dòng)化腳本使流程一致、可重復(fù)，將多團(tuán)隊(duì)政策和程序以書面形式正規(guī)化，等等。

2016年8月，cloud.gov正式與JAB團(tuán)隊(duì)開始審查，并與審查開始后不到6個(gè)月的時(shí)間獲得FedRAMP認(rèn)證(2017年1月)。