近日,美国SAFECOM发布《采用公共安全云计算的注意事项》指南,以支持公共安全从业人员的云采用工作。该指南概述了实施基于云的解决方案的关键建议,例如认真规划以确保不间断的服务、技术性以及用户提供定制化的体验。指南还建议云服务必须符合安全性、验证以及弹性标准。
基于云的技术解决方案及其在公共安全组织中的应用必须满足独特的任务需求。公共安全的要求可能需要标准的 “一刀切 ”云解决方案之外的额外功能。为公共安全通信和数据共享实施基于云的解决方案需要认真规划,以确保不间断的服务、技术互操作性、用户定制体验,并符合安全、验证以及弹性要求。公共安全通信需求包括:
可操作性:公共安全必须在任何时候、任何情况下进行通信;组织不能承受任何停机时间;
互操作性:公共安全需要决策的即时性和灵活性,通常还需要与不同的合作伙伴进行按需协调;成功的合作伙伴关系的基础往往取决于将不同的系统连接起来,而这些系统都是经授权由不同的实体管理和运营的;
安全:公共安全日益被恶意网络行为者视为主要目标,他们试图破坏和中断通信与协调;人为错误、遗留设备以及互联系统的漏洞也可能影响整体组织安全;
恢复能力:如上所述,公共安全无法承受任何停机时间;因此,必须为更新维护一个独立的测试环境;他们无法承受软件错误或中断,包括在打补丁和更新期间。
基于云的解决方案可以减轻或加剧这些问题,具体取决于配置。为满足任务需求而实施的解决方案可在以下方面带来好处或改进:
更广泛的支持: 各组织可从众多云供应商中进行选择;
设计灵活:云服务提供托管服务,如文档存储、带复制的数据库存储和自动化应用界面;
可扩展的性能:云服务支持广泛的横向可扩展性;
可用性:云服务可为组织和移动管理底层基础设施的故障;
成本:云服务可以提高效率,同时允许组织将财务资源用于关键任务;
灾难恢复和业务连续性:拥有非本地云数据和基础设施的组织可以更好地处理本地办事处发生的不利事件(如自然灾害)并从中恢复;
网络安全:云服务通常会提供不同方面的安全选项,因此单个组织无需建立对它们的支持;但是,组织必须了解这些选项,并实施和配置适合它们的选项。
公共安全机构采用云技术的注意事项
为了获取云计算解决方案的潜在优势,公共安全机构可根据自身需求选择不同的云计算应用策略。然而,无论采用哪种模式、策略或供应商,我们都鼓励各组织探讨以下注意事项,以确保采用云技术是正确的解决方案。此外,建议各组织审查有关云安全的指南和资料,以避免基于云的实施可能带来的隐患。
考虑因素1:需求和范围
首先,确定需要满足的组织和运营需求,因为并非所有公共安全的独特需求都能通过基于云的解决方案轻松满足。此外,联邦、州、地方、部落和地区(FSLTT)法规可能会要求出于安全、冗余和业务连续性的目的在本地保留特定数据和基础设施。
需要考虑的示例问题包括:
采用云计算是否适合组织、系统和/或应用?
确认哪种云计算模式最符合组织需求(如:私有云与混合云模式);
现有网络和系统能否支持向云计算的迁移?
组织是否已经拥有或运营自己的服务器、硬件和数据中心?采用云技术会如何影响这些操作?
是否有合格的员工来实施、管理和支持云应用?
哪个云服务提供商(CSP)可以满足组织的需求?
如果迁移到云,企业必须在合同上满足哪些 FSLTT 要求?例如,是否有法律限制敏感数据的存储?
哪些合作伙伴和利益相关者应在云服务开始时和维护过程中参与决策?
一个组织采用云服务会如何影响其运作以及与辖区合作伙伴的互操作性?
除一般考虑因素外,运营和存储成本也是向云迁移的主要因素。由于物理服务器和数据中心不在企业内部,由CSP管理,因此企业可以将资源转用于其他任务,或从运营成本的降低中获益。云计算的实施可以最大限度地减少对物理空间、资本支出或运营费用的需求。此外,CSP还可以提供不同级别的支持,以减轻组织对人员配备的担忧。
有关成本优化和人员配置的示例问题包括但不限于:
成本效益比的具体数字;
目前的预算是否允许进行初步研究和信息收集?
一旦采用,组织将如何维持和维护服务?
组织应如何记录和评估云采购或购置的支出?
CSP 是否需要年度或其他定期培训和认证,以保持足够的熟练程度?
组织中是否有职位可以委托或外包给 CSP?工作人员是否需要接受管理新组合的培训,或者是否需要修改职位说明?是否需要增聘员工?
如果在短期内开始采用云技术不可行,企业应如何与其领导层合作,以确定未来采用云技术的必要性并分配资源?
考虑因素2:要求
在达成采用云服务的共识后,企业应在招标书(RFP)和服务水平协议(SLA)中研究并记录需求。必须清楚、全面地描述组织需求,以确保采用过程取得成功。此外,组织应咨询其法律、IT和财务团队,以确保合同协议明确且符合法律要求。例如,企业通常会考虑多云解决方案。不过,这种解决方案需要采用不同的网络安全方法来优化环境,同时管理与各CSP 的态势感知。
企业需要考虑的其他问题包括但不限于:
技术、安全与定价要求;建议的 CSP 具体资格标准;
云服务涉及的安全风险、企业的应对方式以及CSP的应对方式;
CSP 将承担的具体责任、组织将负责云的具体方面;
云解决方案如何满足公共安全特定的安全标准?
组织如何保持对其数据的控制权?不同云数据所有权模式(例如,云迁移前创建的数据与云中生成的数据)之间的区别;
有哪些要求可确保企业在使用云服务时保持其数据的监管链?组织必须满足哪些云数据证据要求?
哪些司法管辖区或地方要求可能会影响数据所有权、保留、存储和隐私?
组织与CSP 的责任;
是否需要在所有连接到云的设备上安装设备管理工具?
云服务将如何改进安全访问?
CSP 将如何支持审计服务?
考虑因素3:征求关键信息的调查问卷
组织可考虑制定一份调查问卷,以便更好地与潜在提供商接触,了解CSP 是否能满足组织的特定要求。
示例要求可包括但不限于:
公司概况,包括与公共安全有关的推荐信和证词
o公司有哪些保险政策?是否符合任务要求?
o保险政策对客户有何影响?是否有其他公共安全客户可以作为推荐人?
说明 CSP 满足要求的能力;
o如何根据任务需求定制标准化产品?标准服务水平协议(SLA)涵盖哪些内容?
o是否有责任矩阵来概述组织和CSP 的指挥链和所需任务?
o何时以及如何向组织提供更新和改进?
公司的客户保留率和平均客户关系长度;
与其他专注于公共安全的 CSP 的不同之处;
更适合组织需求的替代解决方案;
基于所述范围和要求的定价模型和估算。
结论
由于云计算能够快速扩展以满足计算能力的波动,关键任务系统可以避免在高需求时期出现停机和技术困难。公共安全组织可以充分利用云计算带来的诸多好处。正如本文件所强调的,有几个关键的考虑领域可用于确定云计算解决方案或架构是否合适,以及如何与CSP合作管理和维护服务。虽然并非所有建议的考虑因素都适用于个别情况,但它们能激发思考,并启动与领导者和决策者的对话。对于各种规模和背景的组织而言,向云技术的过渡可能会令人望而生畏。公共安全组织可通过查看本文档中的注意事项并参考其他相关指南,确定是否适合采用基于云的解决方案,以及采用何种云途径可适合其结构并满足关键任务需求。
https://www.cisa.gov/news-events/news/safecom-releases-new-resource-cloud-adoption
声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
