美国防信息系统局(DISA)发布新版云计算安全要求指南,为商用云服务提供商和国防部任务合作伙伴实施云计算服务提供指导和政策规范。
美国DISA的风险管理执行官马克·奥恩多夫称,“安全要求指南(SRG)的设计是为了确保国防部充分获得商业云计算服务的经济优势和技术优势的同时,降低国防部数据和任务存在的风险。”
云计算SRG阐述了国防部安全目标,即在提供商用服务的同时把控国防部秘密(SECRET)任务。秘密级以上任务必须遵循现有的国防部相关政策规范,该SRG中并不涉及。
SRG的发布,将取代此前公布的云安全模型,适用于所有加密服务提供商(CSP),包括云计算环境的建设商和经营商。
云计算SRG主要包括以下内容:
-提供安全要求并指导非国防部的列入国防部的云服务目录的加密服务提供商;
-建立国防部评估非国防部CSP提供的服务的安全性的基础,以支持国防部临时授权非国防部CSP服务商完成国防部任务;
-规定政策、要求,并由国防部任务业主确定商用云服务实施架构;
-提供国防部的任务业主的评估和授权办公室(原认证认可)在计划和授权使用CSP方面的指导。 |
