GAO发现国家电信和信息管理局(NTIA)负责管理联邦射频频谱的使用。现在已经超过三年了,其计划的现代化IT系统已经进行了现代化。 2024年12月,NTIA授予了两项总计1.1亿美元的合同,以支持现代化。根据这些合同计划的第一个任务订单预计将包括计划路线图和时间表。因此,NTIA将继续依靠现有的遗产IT系统来在不久的将来。在计划现代化时,NTIA实施了许多领先的网络安全实践,但部分实施或没有解决其他此类实践。例如,它采取了措施将风险分类和管理其传统频谱IT系统。此外,NTIA定义了其云服务提供商的关键要求。但是,它尚未完全制定风险管理策略,并且尚未完成整个组织的风险评估。此外,尽管它已经制定
Forrester 的安全和风险研究团队分析了美国前总统乔·拜登 2025 年行政命令 (EO) 14144 的主要亮点和影响,包括加强安全、提高软件和云服务提供商的问责制以及促进创新,包括使用新兴技术。
AWS achieves ISO/IEC 42001:2023 Artificial Intelligence Management System accredited certification
Amazon Web Services (AWS) 很高兴成为第一家宣布以下 AI 服务获得 ISO/IEC 42001 认证的主要云服务提供商:Amazon Bedrock、Amazon Q Business、Amazon Textract 和 Amazon Transcribe。ISO/IEC 42001 是一项国际管理系统标准,概述了组织促进负责任地开发和使用 AI 系统的要求和控制。
美国政府问责署的发现限制性软件许可做法包括限制、妨碍或阻止机构在云计算中使用软件的供应商流程。在六个选定机构中,五个的官员描述了他们因限制性软件许可做法而经历的多重影响。受影响的机构包括司法部 (DOJ)、交通部 (DOT) 和退伍军人事务部 (VA);美国国家航空航天局 (NASA);和社会保障局 (SSA)。剩下的机构——人事管理办公室 (OPM) 的官员报告说,它没有遇到任何限制性许可做法。下表总结了影响。五个选定机构经历的限制性许可做法的影响影响类型限制性做法描述受到影响的机构数量成本增加(4 个机构)供应商需要重新购买相同的许可证才能在云中使用。3 供应商收取额外费用以在其他云服务提
Misconfigurations and IAM weaknesses top cloud security concerns
根据云安全联盟的《2024 年云计算的主要威胁》报告,通常与云服务提供商 (CSP) 相关的传统云安全问题的重要性正在持续下降。配置错误、IAM 弱点和 API 风险仍然至关重要 这些发现延续了 2022 年报告中首次看到的轨迹,同时存在诸如配置错误、身份和访问管理 (IAM) 弱点、不安全的应用程序编程接口 (API) 等威胁的持续性,以及……更多 → 文章“配置错误和 IAM 弱点是首要的云安全问题”首先出现在 Help Net Security 上。
GAO 的发现管理和预算办公室 (OMB) 制定了联邦风险和授权管理计划 (FedRAMP),以提供授权使用云服务的标准化方法。从2019年7月到2023年4月,24家首席财务官(CFO)法案机构的授权数量增加了约60%。这些授权涵盖的服务范围从基本的计算机基础设施到包括软件应用程序的更全面的服务模型。 OMB 要求各机构使用 FedRAMP。然而,九家机构报告称他们正在使用未经 FedRAMP 授权的云服务。 OMB 尚未实施 GAO 的建议,以充分监控各机构对该计划的遵守情况。选定的机构和云服务提供商 (CSP) 在寻求 FedRAMP 授权时提供了估计成本;有关实际成本的数据有限。估计的
Cloud Computing: DOD Needs to Improve Tracking of Data User Fees
GAO FoundData 用户费用(入口和出口)与用户如何在云环境中传输和访问数据有关。数据入口是将数据传输到云端,数据出口是将数据从云端传输。虽然数据输入通常对用户免费,但云服务提供商通常会对从存储中传输数据收取数据输出费用(见图)。图:数据传入和传出云国防部 (DOD) 已开始考虑数据传输采购和实施云服务时的出口费用。该部门最近与商业提供商的合同谈判导致了数据费用的折扣,包括数据出口费用。当迁移到新提供商的成本如此之高以至于用户留在现有提供商时,云计算中可能会发生供应商锁定。然而,国防部官员表示,出口费用并不是供应商锁定的主要原因。这些官员补充说,其他因素可能会导致供应商锁定,包括政府工
GAO 发现的内容 来自所有三个选定的国防部 (DOD) 部门和六个选定投资中的两个的官员描述了影响其云计算工作的限制性软件许可做法。选定组件和投资的官员表示,限制性做法通常会影响(1)云计算成本,(2)云服务提供商的选择,以及(3)其他相关影响。该表提供了每种影响类型的示例。 选定的国防部 (DOD) 组件和投资报告的限制性软件许可做法示例 影响类型 影响描述 云计算成本 基础设施成本增加,因为供应商需要额外付费才能使用其软件与第三方云服务提供商。由于供应商将常用软件与其他软件捆绑在一起,只能以捆绑价格提供,因此许可成本增加。云提供商的选择 供应商将其使用限制为仅选定的商业云服务提供商。供应
Joint Warfighting Cloud Capability (JWCC) Contract Awarded
2022 年 12 月 7 日,联合作战云能力 (JWCC) 合同授予四家云服务提供商 (CSP):Amazon Web Services Inc.、Google Support Services LLC、Microsoft Corporation 和 Oracle。JWCC 是一种多供应商、企业范围的采购工具,将为国防部提供直接获取商业云服务的手段。
Combating SaaS Data Breach With SaaS Security Protocols
SaaS 安全数据泄露 敏感数据保护的责任是企业和云服务提供商的共同责任。当然,服务提供商必须确保其客户的数据保持安全。如果他们不负责任,那么客户应该在其他地方找到它。但大多数服务提供商 […]使用 SaaS 安全协议打击 SaaS 数据泄露的文章首先出现在 CloudCodes 博客上。
POODLE (Padding Oracle on Downgraded Legacy Encryption): A Step towards Better Cloud Security
云加密是云服务提供商提供的一项服务,可加密将存储在云上的所有数据。加密过程采用转换数据的算法。云加密几乎与内部加密相同,后者将数据转换为密文,然后再次解密 […]POODLE(降级传统加密的填充 Oracle):迈向更好的云安全性的一步首先出现在 ITCloud Demand 上。
