政府部门迁移到云端的好处和挑战

在调研机构的调查中，美国一些州政府和地方政府的IT领导者表示，采用云计算可以帮助他们更轻松地进行协作和创新。但是，云计算的安全性和合规性问题需要成为IT领导者和决策者关注的重点，因为这些问题可能会阻碍云迁移的进程，并抵消政府部门采用云计算的优势。

美国的一些州政府和地方政府将云计算用于各种IT任务，并获得广泛的效率。道格拉斯奥马哈技术委员会是内布拉斯加州奥马哈市的集中式IT部门，其使用谷歌云平台来增强协作，并降低IT基础设施成本。加州技术部为其他州政府部门提供基于云计算的基础设施即服务。而一份美国政府技术的报告表明，堪萨斯州去年将其牲畜品牌注册计划迁移到了云端，这使得该州能够简化并将以前通过邮件完成的流程转移到网上。

云计算的应用可能会将继续增长。调研机构Gartner公司预计美国的政府部门使用公共云服务将实现两位数增长，预计到2021年，支出预计平均每年增长17.1%。在所有组织中，企业将20.4%的IT预算用于云计算，而地方政府为20.6%。

Gartner公司的研究主管Neville Cannon在一篇博客文章中说：“政府部门成功采用云计算技术的关键是解决其独特的技术、组织、程序和监管问题。例如，州政府通常将云计算技术视为实现战略IT现代化的一个长期途径，而地方和区域政府则倾向于追求创新和成本节约的即时战术利益。”

政府部门应如何应对云安全

安全性是一个美国州政府和地方政府IT领导者需要时刻牢记的领域，其中包括云部署。2017年4月，安全厂商赛门铁克公司在州政府和地方政府的云安全白皮书中指出，“在云安全方面，政府部门长期以来专注于升级和修补一系列安全产品，以监督流程的各个部分，从而选择了未经计划或开发的专门构建的解决方案相互合作，这就形成了一个修补的、不完整的安全基础设施。”

赛门铁克公司认为，云安全的最佳方法是使用一个统一的、基于网络的平台，该平台具有灵活的安全架构，可以管理不断变化的云环境，从端点到数据传输管道再到云平台。

这份云安全白皮书指出，“政府部门可以使用这样一个平台统一跨云平台和本地安全基础架构的访问治理，信息安全和威胁防护，提供与政府部门在自己的物理网络中习惯相同的保护级别。”

白皮书建议，政府部门首先制定管理其人员和流程的政策，并确保员工只能访问所需的数据。接下来，政府部门应该实施网络安全解决方案来补充端点安全。

白皮书指出：“政府部门有能力确定数据在云计算、移动、网络、端点和存储系统中的存储位置，对数据进行分类，监控数据的使用情况，保护数据不被泄露或被盗，并监控异常情况。”

此外，政府部门应投资于预防数据丢失的工具，以帮助发现已批准和未批准的云计算应用程序中的数据丢失盲点。此外，赛门铁克公司还表示，“集成云计算访问安全代理可以扩大信息技术部门的覆盖范围，在用户和数据交互时保护他们。通过云计算应用程序和服务，直接提供对应用程序使用的可见性和控制。”

政府机构最重要的云安全和合规问题

尽管云计算为美国的州政府和地方政府带来了诸多好处，但云安全问题仍然存在。

根据来自Crowd Research Partners公司发布的2018年云安全报告，面临的最主要的云安全挑战是防止数据丢失和泄漏(67%)、数据隐私威胁(61%)和机密性泄露(53%)。

该报告基于对位于LinkedIn公司的40万名成员信息安全社区的网络安全专业人员进行的在线调查报告，该报告还显示，只有16%的受访者认为传统安全工具足以管理云计算的安全性，比2017年下降了6个百分点。

调查发现还有其他问题，其中包括云计算基础设施安全的可视性(43%)、合规性(38%)和跨越云平台和内部环境的一致安全策略(35%)。

Stratical Solutions公司首席顾问Sebastian Taphanel表示，“恶意的网络行为和无意的非恶意错误难以预测或改变，因此政府部门必须将安全性和合规性视为持续的关键优先事项。”

Taphanel指出，公共云根据安全的共享责任模式运行，其中云计算服务提供商(CSP)实施云计算的安全性，而客户负责在云中运行业务的安全性。”这意味着政府部门必须保护他们的数据和交易安全。他说，通过应用程序编程接口和连接器，，监控其云计算服务提供商(CSP)的计算、存储、数据库和网络服务。

StateScoop指出，云计算服务提供商(CSP)已经进行了重要投资，以确保政府云保持安全，在某些情况下超过政府网络安全合规标准，其中包括IRS 1075，刑事司法信息服务和其他标准。

微软公司表示，其推出的Azure Government服务将受到某些政府法规和要求约束的数据，如美国联邦风险和授权管理计划(FedRAMP)、NIST 800.171(DIB)、ITAR、IRS 1075、DoD L4和CJIS。

“为了提供最高级别的安全性和合规性，Azure Government使用物理隔离的数据中心和网络(仅限于美国)。”微软公司表示。

谷歌云平台还符合众多法规，其中包括NIST 800-171、CJS、FedRAMP。

FedRAMP法规评估美国联邦机构使用的云计划的安全性并授权。如果州政府或当地政府的云计算供应商已获得FedRAMP授权，则可以确保它符合严格的安全合规性规定。

FedRAMP治理结构的概述。云计算服务商必须经过严格的安全检查才能获得FedRAMP的授权。

微软公司指出，“Azure Government已经获得了FedRAMP临时运营授权(P-ATO)和DoD临时授权(PA)。这些授权减少了基于Azure的系统中客户责任安全控制的范围。从Azure Government继承安全控制实现，使可以专注于特定于Azure内置的IaaS、PaaS或SaaS环境的控制实现。”

合规性有助于确保将数据放入云平台的政府部门符合适当的数据保护标准，尤其是居民个人可识别信息的标准。然而，微软公司负责州政府和地方政府业务的首席技术官Stuart McKee表示，合规性只是政府部门及其云计算服务合作伙伴必须克服的第一个障碍。

McKee表示，云计算安全的合规性可以为网络安全提供更强大、更具弹性的方法，保护政府部门免受各种网络攻击。他指出，“不幸的是，对外披露的网络攻击事件只是冰山一角，实际发生的网络攻击数量远远超过报道的数量。”

为什么政府部门采用云计算

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!