推动美国联邦政府加速安全上云，这份关键文件发布

前情回顾·美国国家网络防御动态

安全内参7月29日消息，美国白宫管理和预算办公室（OMB）上周五发布了《联邦风险和授权管理计划（FedRAMP）现代化》备忘录（M-24-15），以应对云市场变化和各机构对多样化任务交付的需求，推动联邦政府加速安全采用云服务。

该备忘录旨在通过提高几大战略目标的关注度，从而改革云安全授权计划。例如，备忘录规定FedRAMP需实现“严格审查”功能，并要求云服务提供商（CSPs）快速缓解任何安全架构中的弱点，以保护联邦机构免受最“突出的威胁”。2023年秋天，管理与预算办公室开始听取针对该备忘录草案的公共意见。

备忘录特别强调，应建立自动化流程，用于输入、使用并重用安全评估和审查，以减少参与者的负担，并加快云解决方案的实施进度。

在接受FedScoop采访时，美国联邦政府副首席信息官Drew Myklegard和总务管理局云战略执行主任Eric Mill一致认为，通过该备忘录，两家机构可以集中精力确保各机构成功实现FedRAMP现代化。

Mill表示：“拥有一个明确的操作框架非常有益。”备忘录中的工作展示了“我们如何以更大的信心、更高的可信度……和更强的执行能力来落实FedRAMP现代化。我认为，这对备忘录的执行，以及美国政府和拜登当局落实FedRAMP主要任务来说，不啻于一个福音。”

在备忘录发布后，各机构将有180天的时间发布或更新符合备忘录要求的机构范围政策。该政策必须促进使用符合该计划的安全和其他基于风险的性能要求的云计算产品和服务，这些要求由美国管理与预算办公室、总务管理局和网络安全和基础设施安全局确定。

此外，为了保证程序授权的充分性，机构政策“不得假定特定路径或FedRAMP授权的赞助者是不可接受的”。

除了各机构之外，总务管理局需在180天内更新该计划的“持续监控流程和相关文档”，以体现备忘录的原则；一年内制定出FedRAMP组织计划，以鼓励各机构转向非政府特定的云基础设施；18个月内通过机器可读和自动化手段实现授权和持续监控；24个月内确保治理、风险和合规性以及系统清单工具能够使用开放安全控制评估语言（OSCAL）“摄取和生成”工件。

指南还指出，总务管理局“将探索在各种FedRAMP流程中使用适用的新兴技术”。

FedRAMP需在2025和2026财年第二季度向管理与预算办公室提交年度计划，并由总务管理局管理员批准。年度计划必须详细说明项目活动，例如人员配置计划和实施指南要求的预算信息。

联邦首席信息官Clare Martorana在给FedScoop的声明中表示：“FedRAMP现代化是政府范围内数字化转型和IT现代化的催化剂。增强的计划将加速安全云的采用，使我们的技术投资与任务需求对齐，并释放资源用于创新，以更快、更高效地向公众提供数字服务。”

在之前的采访中，Myklegard表示，该备忘录将反映已在计划内生效的实践和改进，例如技术咨询小组。备忘录草案中已经概述过这些实施要求。按照Myklegard的说法，公众对这些要求的反馈“非常好”。

部分反馈要求实现自动化，例如采用OSCAL语言“用于数字授权和在云服务提供商与机构之间交换授权，从而提高处理速度”。OSCAL是由社区参与建立和管理、美国国家标准技术研究院推动的数据模型。

Mill承认，对该计划来说，自动化并不是新要求。各方多年来已经做了很多相关工作，出台了“各种备忘录”。《FedRAMP授权法案》也提出了应如何解决这一问题。

Mill说道：“要实现这一目标，需要多个参与者在一段时间内进行大量工作，并且专注于政府内部的技术领导能力。这就是我们正在实现的事情。”