E安全2月7日讯 cloud.gov是供美国政府机构使用的PaaS(平台即服务，是一种云计算服务，提供运算平台与解决方案堆栈即服务。在云计算的典型层级中，平台即服务层介于软件即服务与基础设施即服务之间。)平台。cloud.gov为美国联邦机构提供快速的方式托管和更新网站（和其它web应用，例如API）。借助该平台，美国联邦机构雇员和承包商可以跳过管理服务器基础设施，专注开发支持完成机构任务的服务。cloud.gov目前已经获得FedRAMP认证，这使得联邦机构可以快速将基于Web的服务过渡到高效、易于使用的云托管服务。

美国FedRAMP（Federal Risk and Authorization Management Program）认证是面向政府采购的云服务认证，目的是指导政府采购云计算服务。该认证由美国政府主导，标准研究所、总务署、国家安全局、联邦CIO委员会等机构组成云计算管理办公室PMO主导认证工作。认证标准参考NIST SP 800-53标准，内容包括信息安全、服务质量、市场因素等方面。

由于cloud.gov已经获得FedRAMP认证，政府机构通过较少的前期工作便能将cloud.gov投入使用，并反过来使用cloud.gov更快速地提供服务。

cloud.gov简介

cloud.gov项目是由美国总务管理局的18F办公室负责运营，18F担负着引导美国政府数字化转型的繁重工作。

cloud.gov是一个基于Pivotal Cloud Foundry政府创新平台，由 “政府开发人员开发，为政府开发人员所用” 。该平台正在帮助着众多联邦机构步入云开发的现代世界。cloud.gov为联邦机构提供快速便捷的方式托管并更新网站（和其它Web应用，例如API），因此，联邦机构的雇员和承包商可以专注自己的任务，而不必为联邦系统公用基础设施和合规要求争论不休。cloud.gov的运作方式以及技术资料，可以参见cloud.gov官方网站。

FedRAMP如何帮助联邦机构使用cloud.gov？

许多美国机构都很有兴趣使用cloud.gov，从过去来看，每个机构在允许其团队使用cloud.gov之前，都会cloud.gov的安全与合规性进行深度审查。这一步骤至关重要，但却耗时耗力，因此使得联邦机构难以投资尝试云服务，虽然他们认为云服务将大有裨益

FedRAMP认证将此问题迎刃而解。 FedRAMP负责协调联合授权委员会（Joint Authorization Board，JAB，由国防部、国土安全部和总务管理局的首席信息官组成）。JAB成员及其团队通过严苛的标准评估云服务。如果云服务满足要求，他们会支持临时操作授权（Provisional Authority to Operate，P-ATO）。其后，任何联邦机构便可以使用该P-ATO（包含来自云服务的详细安全文档），而不必进行独立的研究。

cloud.gov已经收到中等影响级别的JAB P-ATO。（联邦系统分为低、中、高影响级别，因此这意味着联邦机构可以轻松使用cloud.gov托管低、中级别的系统，即大多数联邦系统）。当某机构接受此P-ATO，该机构的团队可以将P-ATO用于他们创建的系统。因为cloud.gov注重联邦机构的大量合规要求，在cloud.gov上创建的每个新系统都具有短程路径实现授权操作。换句话讲：团队可以更快速地开发并部署新的、经过升级的Web应用，从而敏捷提供服务。

cloud.gov如何帮助联邦机构完成任务？

cloud.gov供联邦机构构建并提供网站（和其它基于Web的应用），例如，机构的首页、开放数据API或内部信息管理工具。机构的开发团队在cloud.gov上创建应用，cloud.gov负责处理底层平台的安全、维护和合规要求。

这就意味着联邦机构团队可以专注自己的任务，而不必管理基础设施，这样一来，大大降低了技术工作量。正如上文所述，cloud.gov大大降低了取得操作授权所需的工作量和时间。而机构团队只需要证明应用程序的合规性。中级影响水平系统所需的320项安全控制中，cloud.gov处理了269项控制，41项控制为共同责任（cloud.gov提供部分要求，机构应用程序提供余下的要求）。机构团队只需全面实施余下15项控制，例如确保备份数据，并确保网站使用可靠的DNS名称服务器。

考虑到安全在合规性中的地位，cloud.gov的运营团队18F在此采用了BOSH干细胞全自动化，以提供OS骨架，最少常用工具和配置文件，还有BOSH代理，这就构成了默认安全配置。他们的UAA设置实际上授予了用户访问实施多因素和生物认证的上游SAML提供商的权限。

cloud.gov的运营团队18F还为所有安全组件采用BOSH发布，容许以迭代方法来发布和测试，然后将安全性完全统一地应用于所有服务器。入侵防御和检测，硬化脚本，漏洞扫描，SSH合规性检查，完整性检查，和记录分析组件都是一致内置在各个服务器中。同时，团队追踪问题直至来源干细胞或构建包，跨数成百上千的服务器重建，再测试和自动部署。有了恰当的自动化，安全性可以得到持续保证。事实上，cloud.gov能够在一天之内完成漏洞回应和生产修复部署。

cloud.gov还是供应商和承包商的组成部分（为联邦机构提供服务）。供应商和承包商可以向机构提出建议，将服务构建在cloud.gov上，从而减少技术与合规负担。

Cloud.gov自建立以来取得的进展

适应开源Cloud Foundry 项目2个月后，cloud.gov团队首次于2015年5月宣布建立该平台。从那时起，cloud.gov就有取得FedRAMP认证的想法。该平台于2016年3月开始准备FedRAMP进程，并于2016年5月建立了FedRAMP准备状态（Ready status）。Cloud.gov设定了在6个月内使用新FedRAMP加速过程（FedRAMP Accelerated Process）取得FedRAMP授权的宏伟目标。

FedRAMP评估过程十分彻底！在第三方评估机构Veris的帮助下（审计工作）满足了所有要求，cloud.gov还进一步改进技术和操作情况。cloud.gov在此过程中增加了更多了监控和报警，开发并进行额外的团队训练，编写清单和自动化脚本使流程一致、可重复，将多团队政策和程序以书面形式正规化，等等。

2016年8月，cloud.gov正式与JAB团队开始审查，并与审查开始后不到6个月的时间获得FedRAMP认证（2017年1月）。

昨日头条：

《网络活动适用国际法塔林手册2.0》目录中文完整版