For contractors, offering federal cloud services is a risky business
By Jill R. Aitoro 06/21/2010
Theo: http://www.nextgov.com/nextgov/ng_20100621_6997.php
Bài được đưa lên Internet ngày: 21/06/2010
Lời người dịch: Tại Mỹ, các nhà cung cấp dịch vụ điện toán đám mây cho liêng bang phải rất thận trọng vì tình trạng thiếu chính sách, thiếu chuẩn và phải tính tới những rủi ro như mất dữ liệu hoặc dữ liệu không sẵn sàng khi cần... Còn ở Việt Nam, những chính sách về điện toán đám mây có gì chưa nhỉ? Giả sử dữ liệu của khách hàng bị mất thì ai có trách nhiệm giải quyết, bồi thường nhỉ? Nhà cung cấp? Công ty bảo hiểm hay … chính người sử dụng nhỉ?
Các công ty chào các dịch vụ đám mây cho các cơ quan chính phủ sẽ phải giải quyết các yêu cầu về sự duy trì, có lẽ làm khó cho các doanh nghiệp nhỏ bán các dịch vụ của họ, theo một báo cáo mới được một hãng luật đưa ra.
Các nhà thầu đối mặt với những rủi ro pháp lý khi hỗ trợ các cơ quan liên bang trong việc triển khai điện toán đám mây, thực tế việc mua sắm các dịch vụ điện toán mà chúng sẽ được lưu trữ và duy trì bởi các nhà cung cấp là bên thứ 3, theo sách trắng được hãng luật Reed Smith đưa ra.
“Bạn phải chấp nhận một số điều khoản và điều kiện của liên bang, và chúng là duy nhất và khác biệt với những gì trong các hợp đồng thương mại”, Lorraine Mullings Compos, một đối stacs với Reed Smith và đồng tác giả của sách trắng.
An ninh là một lĩnh vực trong đó những rủi ro là cao đối với các nhà thầu, vì các nhà cung cấp dịch vụ đám mây phải đáp ứng được những mong đợi bổ sung và đảm bảo những ứng dụng của họ tuân thủ với Lật về Quản lý An ninh Thông tin Liên (FISMA) bang năm 2002, mà nó đòi hỏi một quá trình chứng nhận và kiểm tra.
“Đám mây không phải là duy nhất, nhưng … các yêu cầu của FISMAlàm cho tệ hơn nhiều”, Gunnar Hellekson, chiến lược gia về công nghệ cho đội làm việc với khu vực nhà nước của Red Hat, nói. “Tôi có thể cung cấp một dịch vụ duy nhất, [nhưng]... tôi đã phải sản sinh ra 92 mẩu tài liệu khác nhau”.
Một sáng kiến của chính phủ được phát triển để giải quyết vấn đề an ninh là Chương trình Quản lý Xác thực và Rủi ro Liên bang (FedRAMP), mà nó đưa ra các dịch vụ xác thực các hệ thống trong đám mây đáp ứng được những chỉ dẫn của FISMA, bao gồm cả việc giám sát mạng liên tục. Chương trình này dựa trên các qui trình quản lý rủi ro được xác định bởi Viện Quốc gia Tiêu chuẩn và Công nghệ trong Xuất bản phẩm đặc biệt 800-37.
Companies offering cloud services to government agencies will have to address federal security and data retention requirements, possibly making it difficult for small businesses to sell their services, according to a new report released by a law firm.
Contractors face legal risks when assisting federal agencies in implementing cloud computing, the practice of purchasing computing services that are stored and maintained by third-party providers, according to a white paper released by the law firm Reed Smith.
"You have to accept certain federal terms and conditions, and they're unique and different from those in commercial contracts," said Lorraine Mullings Campos, a partner with Reed Smith and co-author of the white paper.
Security is one area in which the risks are higher for contractors, because cloud services providers must meet additional expectations and ensure their applications comply with the 2002 Federal Information Security Management Act, which requires a lengthy certification and accreditation process.
"The cloud isn't unique, but . . . the requirements of FISMA [make it] much worse," said Gunnar Hellekson, chief technology strategist for Red Hat's public sector team. "I can provide a single service, [but] . . . I'd have to produce 92 separate pieces of documentation."
A government initiative being developed to address the security issue is the Federal Risk and Authorization Management Program (FedRAMP), which offers services to certify information systems in the cloud meet FISMA guidelines, including continuous network monitoring. The program is based on risk management processes defined by the National Institute of Standards and Technology in Special Publication 800-37.
Hellekson cũng chỉ ra Giao thức Tự động Nội dung An ninh, mà các nhà cung cấp có thể sử dụng để thử nghiệm các mạng và công cụ máy tính về sự tuân thủ với Cấu hình Cơ bản Máy tính để bàn của Liên bang, mà nó đòi hỏi các cơ quan phải tiêu chuẩn hóa các hệ điều hành và các thiết lập trình duyệt để tránh các lỗ hổng.
Các chuẩn của liên bang thực sự có thể đi trước bằng việc tạo ra một không gian an toàn cho thị trường để phát triển, Hellekson nói.
“Trong đám mây, mọi thứ cũ sẽ mới lại một lần nữa”, ông nói. “Chúng tôi đã có những thảo luận tương tự về an ninh khi các cơ quan ban đầu đã xem xét các ứng dụng thuê ngoài làm”, mà đã được quản lý bởi các nhà cung cấp dịch vụ trên các máy chủ của họ. “Thiếu sự thúc đẩy của chính sách, sẽ có đủ các rủi ro trong triển khai đám mây mà mọi người có thể sẽ sợ phải tiến hành”.
Cản trở khác là những mong đợi của các cơ quan về tính sẵn sàng của dữ liệu, theo báo cáo này.
“Nếu dữ liệu bị mất hoặc không sẵn sàng, sẽ có rất ít sự trông cậy mà một khách hàng thương mại có thể tiến hành chống lại nhà cung cấp đám mây”, Stephanie Giese, một đồng tác giả của sách trắng có liên quan tới Reed Smith nói. “Nhưng đối với chính phủ, đặc biệt nếu là điều quan trọng tới an ninh quốc gia, thì phải có sự truy cập 24 giờ đối với các dữ liệu”.
Những mong đợi sẽ được viết một cách đặc thù trong các thỏa thuận mức dịch vụ ngặt nghèo hơn. “Sự hiểu biết đầy đủ những mong đợi giữa các bên là sống còn không chỉ vì những ảnh hưởng pháp lý đối với nhà thầu mà còn những ảnh hưởng tới bản thân các cơ quan về uy tín của riêng họ”, Steven Kousen, phó hủ tịch về kỹ thuật và các dịch vụ điện toán đám mây của Liêng bang tại Unisys, nói. “Tất cả những yêu cầu phải được xây dựng trong hợp đồng từ đầu, sao cho nhà thầu hoặc nhà cung cấp hoặc nhà tích hợp hệ thống có thể hiểu liệu họ có đủ tư cách để đáp ứng được không”.
Mặc dù các nhà thầu cho chính phủ là lớn, nhiều người trong số họ đã bắt đầu chào các dịch vụ đám mây, được trang bị tốt để đáp ứng các đòi hỏi của các khách hàng liên bang, thì sự tung ra website trực tuyến mặt tiền Apps.gov, nơi mà các cơ quan có thể mua các dịch vụ IT đám mây, và tuyên bố của các nhà thầu liên bang chào các dịch vụ có thể hướng nhiều tay chơi hơn cạnh tranh đối với những cơ hội của liên bang.
“Vì đây là cơ hội thị trường mới, bạn có nhiều tay chơi đã được sinh ra trong ý tưởng rằng họ có thể đáp ứng được mô hình kinh doanh này”, Kousen nói. “Nhưng họ không luôn luôn có được những điều cơ bản của thị trường. Họ cần sự trợ giúp, nếu không họ sẽ gặp rắc rối”.
Hellekson also pointed to the Security Content Automation Protocol, which vendors can use to test computer networks and tools for compliance with the Federal Desktop Core Configuration, which requires agencies to standardize operating systems and browser settings to prevent breaches.
These federal standards actually could advance by creating a safe space for the market to develop, Hellekson said.
"In cloud, everything old is new again," he added. "We had similar discussions about security when agencies first considered outsourcing applications," which were hosted by service providers on their computer servers. "In the absence of policy pushes, there is enough risk in cloud deployments that people might be afraid to do it."
Another obstacle is agencies' expectations of data availability, according to the report.
"If data is lost or not available, there's little recourse the commercial customer can take against the cloud provider," said Stephanie Giese, an associate at Reed Smith and co-author of the white paper. "But for government, particularly if it's important to national security, there must be 24-hour access to data."
Expectations typically will be written into stricter service-level agreements. "Full understanding of the expectations between parties is crucial not only because of legal implications for the contractor but also implications to the agency themselves in terms of their own reputations," said Steven Kousen, vice president of federal engineering and cloud computing services with Unisys. "All requirements have to be built in to the contract from the beginning, so the contractor or vendor or system integrator can understand whether they're even qualified to respond."
Although large government contractors, many of whom have started offering cloud services, are well-equipped to manage the demands of federal customers, the launch of the online storefront website Apps.gov, where agencies can purchase cloud-based IT services, and the announcement of federal contracts offering cloud services could drive more niche players to compete for federal opportunities.
"Because of this new marketplace opportunity, you have a lot of niche players that were born based on the idea that they can meet this business model," Kousen said. "But they don't always have the market background. They need help, or else they'll get into trouble."
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.