详细内容或原文请订阅后点击阅览
云安全:联邦授权计划的使用不断增加,但需要充分应对挑战
GAO 的发现管理和预算办公室 (OMB) 制定了联邦风险和授权管理计划 (FedRAMP),以提供授权使用云服务的标准化方法。从2019年7月到2023年4月,24家首席财务官(CFO)法案机构的授权数量增加了约60%。这些授权涵盖的服务范围从基本的计算机基础设施到包括软件应用程序的更全面的服务模型。 OMB 要求各机构使用 FedRAMP。然而,九家机构报告称他们正在使用未经 FedRAMP 授权的云服务。 OMB 尚未实施 GAO 的建议,以充分监控各机构对该计划的遵守情况。选定的机构和云服务提供商 (CSP) 在寻求 FedRAMP 授权时提供了估计成本;有关实际成本的数据有限。估计的成本差异很大,从数万到数百万美元不等。这在一定程度上是由于机构和通信服务提供商使用不同的方法来确定成本。导致方法不同的一个因素是 OMB 没有提供有关跟踪和报告授权成本的指导。缺乏一致的成本数据也将妨碍 OMB 确定其降低 FedRAMP 成本的目标是否能够实现。选定的机构和 CSP 确定了他们在寻求 FedRAMP 授权时面临的六大主要挑战(见表)。机构和 CSP 面临的主要挑战云服务提供商 (CSP) 在执行联邦风险和授权管理计划 (FedRAMP) 授权时面临的挑战 描述 及时收到利益相关者的响应 机构和 CSP 报告称,他们在整个授权过程中无法及时收到利益相关者的响应。赞助未充分准备的 CSP 机构报告称,CSP 并未完全了解 FedRAMP 流程,并且缺乏完整的文档。缺乏足够的资源 各机构报告称,他们缺乏发起授权所需的资源(例如资金和人员配置)。满足 FedRAMP 技术和流程要求 CSP 报告称,他们必须更新基础设施才能满足联邦安全要求。寻找机构赞助商 CSP 报告说,寻找机构赞助商很困难。与第三方评估组织 (3PAO) 合作 CSP 报告称,他们在与负责对其云服务执行独立评估的组织(3PAO)合作时遇到了问题(例如,缺乏一致性)。资料来源:GAO 分析。 | GAO24106591认识到这些挑战后,OMB 和美国总务管理局 (GSA) 的 FedRAMP 项目管理办公室已经开始努力应对这些挑战。例如,OMB 于 2023 年 10 月发布了拟议的新 FedRAMP 指南以征求公众意见。GSA 还打算发布有关满足某些技术要求的指南等。
来源:美国政府问责局__信息安全信息美国政府问责署 (GAO) 的发现
美国管理和预算办公室 (OMB) 建立了联邦风险和授权管理计划 (FedRAMP),以提供授权使用云服务的标准化方法。从 2019 年 7 月到 2023 年 4 月,24 家《首席财务官 (CFO) 法案》机构将授权数量增加了约 60%。这些授权涵盖的服务范围从基本的计算机基础设施到包括软件应用程序在内的更全面的服务模式。OMB 要求各机构使用 FedRAMP。然而,有九家机构报告称,他们正在使用未经 FedRAMP 授权的云服务。OMB 尚未实施 GAO 的建议,以充分监控各机构对该计划的遵守情况。
选定的机构和云服务提供商 (CSP) 在寻求 FedRAMP 授权时提供了估计成本;实际成本数据有限。估计成本差异很大,从数万美元到数百万美元不等。这在一定程度上是由于各机构和 CSP 使用不同的方法来确定成本。造成不同方法的一个因素是 OMB 没有提供有关要跟踪和报告的授权成本的指导。缺乏一致的成本数据也会妨碍 OMB 确定其降低 FedRAMP 成本的目标是否会实现。
选定的机构和 CSP 确定了他们在寻求 FedRAMP 授权时面临的六个主要挑战(见表)。
机构和云服务提供商 (CSP) 在寻求联邦风险和授权管理计划 (FedRAMP) 授权时面临的主要挑战
挑战
挑战描述
描述及时收到利益相关者的回复