“Inside the Reporter’s Notebook” คือการส่งข่าวสารและข้อมูลที่คุณอาจพลาดหรือเล็ดลอดผ่านช่องโหว่ในการประชุม การพิจารณาคดี และอื่นๆ ทุกๆ 2 สัปดาห์นี่ไม่ใช่คอลัมน์หรือบทวิจารณ์ แต่เป็นข่าวเกร็ดเล็กเกร็ดน้อย ข่าวที่มีแหล่งที่มาอย่างหนักแน่น และรายการที่น่าสนใจอื่นๆ ที่เกิดขึ้นหรือกำลังเกิดขึ้นในชุมชนไอทีและการซื้อกิจการของรัฐบาลกลางและเช่นเคย ฉันขอแนะนำให้คุณส่งแนวคิด ข้อเสนอแนะ และแน่นอน ข่าวสารถึงฉันที่jpmiller
รัฐบาลกำลังต่อสู้กับกลไกในการพิจารณาว่าห่วงโซ่อุปทานซอฟต์แวร์
ของตนมีความปลอดภัยหรือไม่ ดาวน์โหลด ebook เล่มใหม่ของเราเพื่อรับภาพรวมจากผู้นำที่ CISA, IT Industry Council และ DoD’s National Counterintelligence and Security Center ถึงความพยายามในปัจจุบันDoD ใช้เส้นทางของตัวเองด้วยการรักษาความปลอดภัยบนคลาวด์?งฝ่ายป้องกัน CIO Teri Takaiเลิกคิ้วในการประชุมการรวมระบบคลาวด์และมือถือล่าสุดซึ่งสนับสนุนโดย National Institute of Standards and Technology
Takai กล่าวว่า DoD กำลังพัฒนามาตรฐานความปลอดภัยบนคลาวด์ของตนเอง
“การย้ายไปสู่ระบบคลาวด์เชิงพาณิชย์เป็นสิ่งที่ท้าทาย แต่ละคนมีรสชาติที่แตกต่างกันเล็กน้อยเกี่ยวกับวิธีการรักษาความปลอดภัย วิธีจัดการ และจากนั้นคำถามก็กลายเป็นว่าพวกเขาจะให้เรา DoD ได้เห็นการทำงานภายในของระบบคลาวด์ของพวกเขามากน้อยเพียงใด และเราต้องเข้าไปไกลแค่ไหน ทำให้เราผ่านมาตรฐานความปลอดภัยได้หรือไม่” Takai กล่าวเมื่อวันที่ 26 มีนาคม “เรากำลังมองหาการใช้แบบจำลองความปลอดภัยบนคลาวด์ของ DoD ซึ่งจะช่วยเราได้อย่างมีประสิทธิภาพ ด้วยความช่วยเหลือจากงานที่ Federal Risk Authorization and Management Program (FedRAMP) กำลังทำอยู่ ผู้ให้บริการคลาวด์เชิงพาณิชย์มีมาตรฐานบางประการ และข้อกำหนดบางประการเพื่อให้สามารถใช้งาน DoD ได้”
ผู้เชี่ยวชาญในอุตสาหกรรมรายหนึ่งกล่าวว่าการที่ทาไกกล่าวถึงมาตรฐาน
ไซเบอร์บนคลาวด์ของ DoD นั้นไม่ใช่เรื่องใหญ่ เนื่องจากเพนตากอนให้ความสำคัญกับระบบความปลอดภัยระดับสูงเพียงอย่างเดียว
แต่เมื่อเร็ว ๆ นี้ GSA กล่าวว่ากำลังเริ่มทำงานกับมาตรฐาน FedRAMP สำหรับระบบความปลอดภัยสูงระดับ 3 ของ NIST ดังนั้นหาก DoD กำลังทำงานกับชุดควบคุมความปลอดภัยแยกต่างหากสำหรับระบบที่มีมูลค่าสูง ดูเหมือนว่าจะสวนทางกับสิ่งที่ FedRAMP เป็นอยู่ เลขที่?
แหล่งข่าวจากรัฐบาลกล่าวว่า DoD และรัฐบาลทั้งหมด กำลังพยายามหาวิธีรวมความสามารถด้านความปลอดภัยของรัฐบาลที่มีอยู่ เช่น การตรวจสอบอย่างต่อเนื่อง Einstein และการเชื่อมต่ออินเทอร์เน็ตที่เชื่อถือได้ เข้ากับโครงสร้างพื้นฐานคลาวด์สาธารณะ ส่วนตัว และไฮบริดTakai ไม่ได้ชี้แจงว่าความพยายามทางไซเบอร์บนคลาวด์ของ DoD นั้นเสริมกับความพยายามของ FedRAMP หรือเกี่ยวข้องโดยตรง เธอเป็นผู้สนับสนุนรายใหญ่ของ FedRAMP มาโดยตลอด ซึ่งเป็นเหตุผลว่าทำไมความคิดเห็นของเธอจึงสร้างความกังวลใจ
ไม่ต้องสงสัยเลยว่าความปลอดภัยเป็นสิ่งที่ DoD กังวลมากที่สุดเมื่อใช้คลาวด์สาธารณะหรือแม้แต่ไฮบริดคลาวด์ แต่จุดรวมของ FedRAMP คือการใช้ประโยชน์จากมาตรฐานทั่วไปที่ตกลงร่วมกันเพื่อลดเวลาและต้นทุน
“การย้ายไปสู่ระบบคลาวด์และความปรารถนาของเราที่จะย้ายไปยังระบบคลาวด์นั้นมีพื้นฐานมาจากความปลอดภัยพอๆ กับประสิทธิภาพ การประหยัดเงิน หรือการนำเสนอต่อลูกค้าในระดับหนึ่ง” เธอกล่าว “เรามีความเสี่ยงอย่างมากหากเรายังคงมีข้อมูลที่ละเอียดอ่อนบนอุปกรณ์ นั่นไม่ใช่แค่จากมุมมองของมือถือเท่านั้น นั่นคือจากมุมมองของอุปกรณ์ทั้งหมดที่เราใช้ เรากำลังพิจารณาอย่างจริงจังว่าเราจะย้ายไปยังไคลเอนต์แบบบางในพื้นที่ที่เหมาะสมได้อย่างไร จากจุดยืนของเรา ยิ่งข้อมูลในอุปกรณ์ที่อาจถูกบุกรุกและสูญหายน้อยลงเท่าใด เราก็ยิ่งดีขึ้นจากมุมมองด้านความปลอดภัย”
สิ่งที่ชัดเจนเกี่ยวกับความพยายามทางไซเบอร์ของ DoD คือการย้ายเพื่อรวมมาตรฐาน NIST เข้ากับเอกสาร 8500 เป็นเรื่องใหญ่สำหรับชุมชนไอทีของรัฐบาลกลาง นี่คือการอัปเดตครั้งแรกของเอกสาร 8500 ตั้งแต่ปี 2550 DoD เผยแพร่มาตรฐานไซเบอร์ฉบับแก้ไขเมื่อวันที่ 14 มีนาคม
“เรากำลังยึดมาตรฐานของเราตามกรอบของ NIST ในบางกรณีจะมีเกณฑ์เพิ่มเติมที่เราจะวางไว้” Takai กล่าว “แต่เราจะไม่ทำให้บริษัทต่าง ๆ ตกอยู่ในสถานการณ์ที่ต้องทำอะไรที่แตกต่างเพื่อ DoD มากกว่าที่พวกเขาทำเพื่อคนอื่น ๆ ในรัฐบาลกลางซึ่งกำลังดำเนินการและปฏิบัติตามมาตรฐาน NIST”
นี่คือการเปลี่ยนแปลงครั้งสำคัญที่เกิดขึ้นมาหลายปี กระทรวงกลาโหมกล่าวในเดือนกรกฎาคมว่าเป็นเรื่องธรรมดา มากกว่ามาตรฐานความปลอดภัย
Credit สล็อตเครดิตฟรี
