政府部门迁移到云端的好处和挑战

穆玛

在调研机构的调查中，美国一些州政府和地方政府的IT领导者表示，采用云计算可以帮助他们更轻松地进行协作和创新。但是，云计算的安全性和合规性成为IT领导者和决策者关注的重点，因为这些问题可能会阻碍云迁移的进程，并抵消政府部门采用云计算的优势。

美国的一些州政府和地方政府将云计算用于各种IT任务，并获得广泛的效率。道格拉斯奥马哈技术委员会是内布拉斯加州奥马哈市的集中式IT部门，其使用谷歌云平台来增强协作，并降低IT基础设施成本。加州技術部为其他州政府部门提供基于云计算的基础设施即服务。而一份美国政府技术的报告表明，堪萨斯州2018年将其牲畜品牌注册计划迁移到了云端，这使得该州能够简化并将以前通过邮件完成的流程转移到网上。

云计算的应用可能会将继续增长。调研机构Gartner公司预计美国的政府部门使用公共云服务将实现2位数增长，预计到2021年，所有组织的支出预计平均每年增长17.1%。企业的IT预算的20.4 %用于云计算，而地方政府为20.6 %。

Gartner公司的研究主管Neville Cannon在一篇博客文章中说：“政府部门成功采用云计算技术的关键是解决其独特的技术、组织、程序和监管问题。例如，州政府通常将云计算技术视为实现战略IT现代化的一个长期途径，而地方和区域政府则倾向于追求创新和成本节约的即时战术利益。”

政府部门应如何应对云安全

安全性是一个美国州政府和地方政府IT领导者需要时刻牢记的领域，其中包括云部署。2017年4月，安全厂商赛门铁克公司在州政府和地方政府的云安全白皮书中指出，“在云安全方面，政府部门长期以来专注于升级和修补一系列安全产品，以监督流程的各个部分，从而选择了未经计划或开发的专门构建的解决方案相互合作，这就形成了一个组装的、不完整的安全基础设施。”

赛门铁克公司认为，云安全的最佳方法是使用一个统一的、基于网络的平台，该平台具有灵活的安全架构，可以管理不断变化的云环境，从端点到数据传输管道再到云平台。

这份云安全白皮书指出，“政府部门可以使用这样一个统一跨云平台和本地安全基础架构的访问治理平台，信息安全和威胁防护，提供与政府部门在自己的物理网络中习惯相同的保护级别。”

白皮书建议，政府部门首先制定管理其人员和流程，并确保员工只能访问所需的数据。接下来，政府部门应该实施网络安全解决方案来补充端点安全。

白皮书指出：“政府部门有能力确定数据在云计算、移动、网络、端点和存储系统中的存储位置，对数据进行分类、监控数据的使用情况、保护数据不被泄露或被盗，并监控异常情况。”

此外，政府部门应投资预防数据丢失的工具，以帮助发现已批准和未批准的云计算应用程序中的数据丢失盲点。此外，赛门铁克公司还表示，“集成云计算访问安全代理可以扩大信息技术部门的覆盖范围，在用户和数据交互时保护他们。通过云计算应用程序和服务，直接实现对应用程序使用的可见性和控制。”

政府机构最重要的云安全和合规问题

尽管云计算为美国的州政府和地方政府带来了诸多好处，但云安全问题仍然存在。

根据来自Crowd Research Partners公司发布的2018年云安全报告，面临的最主要的云安全挑战是防止数据丢失和泄漏（67 %）、数据隐私威胁（61 %）和机密性泄露（53 %）。

该报告基于对LinkedIn公司40万名成员信息安全社区的网络安全专业人员进行的在线调查报告，该报告还显示，只有16 %的受访者认为传统安全工具足以管理云计算的安全性，比2017年下降了6个百分点。

调查还发现包括了云计算基础设施安全的可视性（43 %）、合规性（38 %）以及跨越云平台和内部环境的一致安全策略（35 %）等其他问题。

Stratical Solutions公司首席顾问Sebastian Taphanel表示，“恶意的网络行为和无意的非恶意错误难以预测或改变，因此政府部门必须将安全性和合规性视为持续的关键优先事项。”

Taphanel指出，公共云根据安全的共享责任模式运行，其中云计算服务提供商实施云计算的安全性，而客户负责在云中运行业务的安全性。”这意味着政府部门必须保护他们的数据和交易安全。他说，通过应用程序编程接口和连接器，监控其云计算服务提供商的计算、存储、数据库和网络服务。

StateScoop指出，云计算服务提供商已进行了重要投资，以确保政府云保持安全，在某些情况下超过政府网络安全合规标准，其中包括IRS 1075、刑事司法信息服务和其他标准。

微软公司表示，其推出的Azure Government服务将受到某些政府法规和要求约束的数据，如美国联邦风险和授权管理计划，NIST 800.171，ITAR，IRS 1075，DoD L4，CJIS。

“为了提供最高级别的安全性和合规性，Azure Government使用物理隔离的数据中心和网络（仅限于美国）。”微软公司表示。

谷歌云平台符合众多法规，其中包括NIST 800-171，CJS，

FedRAMP。

FedRAMP法规评估美国联邦机构使用的云计划的安全性并授权。如果州政府或当地政府的云计算供应商已获得FedRAMP授权，则可以确保它符合严格的安全合规性规定。

云计算服务商必须经过严格的安全检查才能获得FedRAMP的授权。

微软公司指出，“Azure Government已经获得了FedRAMP临时运营授权和DoD临时授权。这些授权减少了基于Azure系统中客户责任安全控制的范围。从Azure Government继承安全控制，可以专注于特定于Azure内置的IaaS，PaaS，SaaS环境的控制实现。”

合规性有助于确保将数据放入云平台的政府部门符合的数据保护标准，尤其是居民个人可识别信息的标准。然而，微软公司负责州政府和地方政府业务的首席技术官Stuart McKee表示，合规性只是政府部门及其云计算服务合作伙伴必须克服的第一个障碍。云计算安全的合规性可以为网络安全提供更强大、更具弹性的方法，保护政府部门免受各种网络攻击。他指出，“不幸的是，对外披露的网络攻击事件只是冰山一角，实际发生的网络攻击远远超过报道的数量。”

为什么政府部门采用云计算

美國的一些政府部门正在转向云计算，以获得灵活性，降低成本，并能够更快地进行创新。微软公司Azure Government业务高级主管Karina Homme在博客中表示，“州政府部门通过采用云计算技术实现数字化转型，使其能够快速实现系统现代化，充分利用无限资源的同时，确保充分利用时间和预算。各级政府部门可以推动更强大的治理、合规和问责制，同时实现更好的公民服务。”

Homme表示，云计算可以让政府部门构建从简单的移动应用程序到互联网规模解决方案的所有内容，然后帮助他们启动新计划、提高效率、加快决策速度、改善公民服务并优化运营。

Homme补充说，政府部门采用云计算，通过采用由云计算服务提供商管理的弹性和按需付费服务，不仅削减了IT基础设施成本。同时，云计算的灵活性、可扩展性和整体可访问性还增强了员工的能力、提高了效率。

他们还求助于云计算服务商提高安全性、合规性和监管，以保护居民的关键数据和服务。Homme指出，云计算技术使机构能够为应用程序开发、IT管理和数据保护采用新的方法。

协作服务仍然是州首席信息官迁移到云端的最常见服务，紧随其后的是办公效率和存储。

然而，该调查补充说，与安全相关的服务也越来越受欢迎，现在更多的是考虑在云中迁移项目和项目组合管理解决方案。

2017年对政府部门的首席信息官的调查中，将云迁移工作的结果与最初预期的收益进行了比较。总体来说，报告的实际收益与最初的预期非常吻合。

例如，75 %的受访者表示，云计算降低了资产投资门槛，并提高了创新能力，相比之下，78 %的受访者希望实现这一目标。此外，38 %的受访者表示已经实现了成本节约，而预期为44 %。23 %的受访者认为合规性和报告有所改善，而预期为28 %。

调查表明，差异的一个重要领域是通过更灵活的利用率和按需付费来提高可扩展性。虽然在调查中，81 %的政府部门首席信息官预计这会带来好处，但只有65 %的政府部门首席信息官在报告中表示已经获得了这些好处。