2010年,美国联邦政府制定了第一个名为“云优先(Cloud First)”的云战略。这一政策是在云技术相对较初期的时候制定的,它为各美国联邦政府机构提供了广泛的采用基于云解决方案的权利。但是,由于没有执行计划或策略,各机构上云的速度很慢。虽然Cloud First成功地强调了IT现代化工作的重要性,但其缺点需要得到校正。这也是2018年10月新一届美国政府重新制定了云敏捷(Cloud Smart)战略的原因,“云敏捷”是一种新的战略,该战略让各机构采用可以简化转型并拥抱具有现代化能力的云解决方案。云敏捷专注于为联邦政府机构提供必要的工具,使其能够根据其使命需求做出信息技术决策,并利用私营部门的解决方案为美国人民提供最佳服务。
以下翻译自美国联邦政府首席信息官办公室的2018更新版“联邦政府云战略”:
云敏捷(Cloud Smart)包含IT现代化的几个关键组成部分,包括安全性、采购和人员。从历史上看,隔离了这些领域的策略,造成了对需求、任务和需求的混淆和误解。但是,它们之间存在深刻的联系,并且需要一个综合的、跨学科的方法,而不是采用一刀切方式对待IT现代化。云敏捷将这些学科结合在一起,形成一个紧密结合的战略,以交付节约、安全和更快的关键任务服务解决方案。
联邦政府各机构(以下简称:机构或行政机构)需要与同行分享变革经验,以便联邦政府能够利用集体获取的知识。评估、使用和共享知识的能力,是私营部门IT现代化成功的驱动力——美国联邦政府的方法应该没有什么不同。通过立即投资这些能力,各机构将确保以最佳、最明智的方式为使命服务,并管理纳税人的资金。
关键行动
美国联邦政府首席信息官理事会和首席财务官理事会将与行政管理和预算办公室、总务管理局、国土安全部和其他联邦机构合作制定推进到云敏捷的议程,并在接下来的18个月中制定行动计划,交付有针对性的政策更新。该计划将保持技术中立,并将酌情考虑基于外部供应商的解决方案、自有托管解决方案、机构之间内部共享服务、多云和混合解决方案。为了让这些行政机构在21世纪保持高效,这些云敏捷行动将需要随着时间的推移不断进行评估和改进,以跟上不断变化的市场和新兴技术。
I. 云概览
(重新)定义云计算
联邦政府内部的“云”一词,通常用于指外部供应商提供的任何技术解决方案。在实际工作中,“云计算”是指允许从共享资源池快速供应系统或服务的各种技术,包括从私营公司提供的托管电子邮件解决方案,到在联邦政府所有的数据中心服务器上运行的可扩展应用程序容器。云迁移策略不应被视为谁拥有计算资源、数据和设施的问题,而应该被视作是这个解决方案能否改进向公民提供的服务的问题。评估服务的特定功能(例如自动可伸缩性)在评估解决方案时非常有用,而不仅仅是考虑应用程序是否为“云”。
以前关于云技术话题的大部分指导,都在关注其潜在的好处而不是实现结果。例如,将应用程序从传统数据中心移动到虚拟化基础架构供应商,通常并不能实现自动应用程序可伸缩性以适应增长的用户需求。为了实现这一目标,通常需要重构应用程序以利用自动配置和自动扩展等新功能,这必须考虑到项目的分析和规划中。
传统的云部署模型反映了在系统层增加供应商主导权的进程,从供应商仅提供基础架构和硬件的基础架构即服务(IaaS)到由供应商提供托管和基础架构管理的平台即服务(PaaS),再到行政机构只需提供数据,而大多数其它能力和功能则由供应商提供的软件即服务(SaaS)来完成。云服务行业自那以后在不同的层次上转向了更加精细的能力划分。开源和专有产品的快速发展,使得在任何云服务层面,都能实现任何形式的供应商和政府主导权/所有权组合。现在,大多数主要供应商都会根据最终用户的需求提供各种可用的上云路径和服务。在技术创新方面处于领先地位的行业也证明,混合云和多云环境是有效且高效的。
私营企业现在提供如此广泛的可能解决方案,各行政机构必须具备适当的条件,根据它们的服务和使命需要评估所能作出的选择。各机构应考虑最终用户对成本和风险管理标准的影响,对计算能力和技术制定决策。
现代化与成熟度
云技术的采用,要求各行政机构优先考虑迁移规划、维护和组织成熟度,以实现这些服务的全部优势。失败的一种方式是,当组织购买解决方案时,没有正确识别需求和预期的结果。这可能导致项目无法启动,云服务在峰值需求时出现问题,或者仅仅是机构范围内的冗余采购。
随着技术的变化,机构信息技术战略也需要成熟。现代化是一项持续的承诺,不是每十年一次的单一干预措施。相反,现代化是一种不断变化的状态,也是每个机构日常技术业务的一部分。为此,需要反复改进政策、指导和要求,以适应不断变化的需求,引导成熟的工作实践并推动积极成果。
为了加速上云和用云,应该期望机构定期评估其在整个行政机构中的成熟度。安全、采购和人员是需要认真考虑和投资、以确保成功用云的三个关键领域。机构人员还应根据所选择的解决方案,评估公民对效率、可访问性和隐私的需求。
例如,为了利用云的分布式特性,将安全控制从网络边界移动到更接近数据本身的位置可以改善整体的安全状况。为了实现云基础架构的可扩展性、稳定性、安全性和快速上线的优势,机构人员需要利用现代敏捷开发技能。机构还需要采用多学科实践,推动更高级别的自动化和逻辑控制的使用。为了更好地最大化投资回报,机构人员应该能够比较各种可能的服务组合,并使用最佳的合同来采购它们。
各机构应审查其信息技术组合,以确定现有工具的现代化计划。鼓励他们执行并利用完整的系统和应用程序合理化,鼓励那些尚未开始此过程的人,立即开始。作为此项工作的一部分,机构应考虑是否可以利用虚拟化、容器化和其它现代实践,来提高行政机构拥有的数据中心和供应商服务的效率。根据联邦信息技术采购改革法案(FITARA),该流程应由机构层面的首席信息官(CIO)监督,以帮助确定整个机构改进的潜在机会。
II.安全
在向美国总统提交的《2017年联邦信息技术现代化报告》中,概述了联邦信息技术的未来,认为各政府机构将进一步采取一种基于风险的方法来确保其系统安全,这种方法将适当强调数据级保护,并充分利用现代虚拟化技术。这个重新聚焦的焦点,必须由机构领导、任务所有者、IT人员和治理机构推动。
联邦政府的网络安全政策和能力的演变对IT现代化至关重要。为了实施基于风险的上云方法,机构人员应该转向数据层的安全和保护,而不是网络和物理基础设施层,改进系统治理也是如此。此外,至关重要的是,机构必须全面可见其内部和云中数据,以便执行持续监视以检测恶意活动。随着机构人员开展现代化的工作,他们应首先将这些能力应用于高风险、高价值的资产,以便充分利用云提供的所有功能。
以下计划是当前安全战略的重要组成部分,必须随着技术格局的变化而发展。但是,通过此次更新,机构需要从安全整体性的角度,考虑预期的结果和能力,而不仅仅是计划。
可信互联网连接
2007年发布的M-08-05 实施可信互联网连接 (TIC),旨在标准化联邦机构使用的外部网络连接的安全性,同时减少外部网络连接的数量。可信互联网连接策略是在各机构的大部分系统维护都运行在机构自有和运营的网络中,以及网络受到物理限制时,所制定的策略。从那时起,随着私有云服务的普及、软件定义网络的出现和在移动端工作人员的增加,技术领域发生了巨大的变化。安全性的改进,现在由标准和安全连接驱动,而不是由有限的物理连接驱动。
在目前的情况下,要求所有机构的网络流量都通过有限数量的可信互联网连接,这种一刀切的策略已不再可行。这种设计选择,阻碍了行政机构获取新技术的能力,包括商业云解决方案,这些解决方案使用分布式网络模型并使用虚拟而非物理的数据控制。此外,传统的基础设施设计,降低了机构利用新技术的能力,例如创建不受传统防火墙约束的零信任网络。
由于这些限制因素,各个机构与美国国土安全部合作制定了针对具体机构的解决方案,以缓解相关工作效力下降问题。这项工作的结果,将以某种方式共享, 以强化受信任互联网连接的替代方式,包括更新可信网络连接参考体系架构,以证明某项目的目标可以不需要路由所有流量经过有限的物理访问点。在不需要通过可信网络连接路由流量的用例中,机构必须实施DHS指定的控制,以确保联邦机构的安全性具有合理的基准级别。鉴于联邦机构中存在的各种平台和部署,可信网络连接参考体系结构还将证明,不需通过受信网络路由流量就可以满足政府级入侵检测和预防工作要求的用例到底有何不同,例如EINSTEIN计划。
持续的数据保护和意识
迁移到基于云的环境会改变行政机构可能已经支持的网络可见性和数据保护形态。随着数据转换到各种网络并停留在各种位置,例如终端用户的设备、身份和凭证,访问管理(ICAM)和加密变得越来越重要。
联邦g政府的行政机构是代表公众的数据保管人。因此,每个机构应确定自己的云托管数据治理模型,与其身份和安全凭证管理系统保持一致。此外,在供应商已经部署了云解决方案的情况下,应建立服务级别协议(SLA),以便机构持续了解其数据的机密性、安全性和可用性。
此外,行政机构应该了解这些数据是否存在于第三方信息系统中,并提供访问日志数据的权限,如果发生网络事件或其它不利事件,第三方应及时通知机构。各机构应考虑与所有提供者(无论是联邦政府还是商业供应商),就访问和使用日志数据进行信息安全操作达成协议。
行政机构及其合作伙伴应定期进行对等信息共享,以打击恶意网络行为。网络安全需要公私合作,随着越来越多的联邦实体采用商业云解决方案,客户和供应商应该携手保护信息。此外,DHS的持续诊断和缓解(CDM)计划必须继续发展,以使各机构具备必要的监测工具和能力,以了解其在云中的网络风险。
联邦风险和授权管理计划
联邦风险和授权管理计划(FedRAMP)是一项政府范围的计划,它证明了对大型云服务供应商进行安全评估、授权和持续监控的标准化方法的价值。云服务供应商已经展示了通过标准化基准和通用标准以满足联邦安全要求的能力。随着供应商市场的不断增长,行政机构已经能够快速脱离旧的、不安全的遗留技术,转而适应面向任务的、安全且具有成本效益的云系统。
虽然通过联合授权委员会,FedRAMP项目管理办公室已经能够大幅缩短授权云服务供应商的时间,但是仍然有工作可以做,以加快授权新供应商的速度。此外,大量的机构特定的流程,使得机构的解决方案授权运营流程(ATO)变得复杂,即使是使用已授权的云服务时也是如此。事实上,尽管网络安全风险管理十分重要,但各机构都指出,主要的障碍在于现有的政策和工作方式,把ATO流程从风险承担转变为劳动密集型工作。加速共同ATO协议和整体流程改进的战略正在制定中,并将在未来的指南中加以解决。
在FedRAMP项目中利用网络安全专业知识,将让联邦政府在采用云系统时继续提高机构安全工作的效率和有效性,同时消除安全专业人员、供应商和机构领导层的负担。
III.采购
为了帮助美国邦政府迁移到云端,各个机构、跨机构工作组和行业合作伙伴为联邦信息技术和采购专业人员提供了大量建议。但是在最佳实践方面,仍缺乏整个政府机构范围内的指南或跨机构信息共享。这迫使机构搜索多个来源,以便对商业市场中销售的各种类型云服务、以及现有政府范围内的合同中所提供的不同产品,进行基本的了解,还要评估哪种最适合于给定的要求。
由于私营部门普遍使用云计算,机构经常通过合同购买服务,这些合同虽然不是专门为购买服务或功能而设计的,但涉及将机构信息放置到云中进行处理或存储。因此产生的潜在安全问题需要高度关注,以确保工作人员拥有必要的工具来降低安全风险和保护政府数据。
为了应对这些挑战,各机构需要采用各种方法,利用联邦政府在批量采购方面的优势,还要共享良好收购原则的知识。作为云敏捷多学科方法的一部分,还需要将安全考虑放在任何采购工作的最首要位置。
分类管理
由于没有任何美国政府范围内的指导或通用标准,而且各机构之间的协作有限,联邦政府内的上云计划也出现了延迟。这也导致了采购云服务的联邦机构,出现代价高昂的冗余和效率低下的问题。
联邦政府将采用类别管理来改善推动云敏捷战略的购买行为,增加在联邦市场中采用经过验证的云服务,并开发新服务以应对新兴需求。类别管理涉及一种结构化方法,其重点是定义行为类似的产品和服务。它使联邦政府能够更明智、更像一家企业一样进行统一采购,提高效率和效力,并改善与私营行业的关系。
服务水平协议
服务水平协议定义了期望从服务供应商获得的性能水平、对性能的衡量方式,以及将使用哪些强制机制来确保达到指定的级别。在政府采购方面,对这些水平协议的需求,要通过合同条款和质量保证条款来体现。在传统的技术环境中,这些协议是与供应商谈判的关键要素。“服务水平协议”这个术语本身已经因不同的情况被赋予了多重含义,并导致如何为机构实现更好结果方面的不确定性的增加。为了确保跨执行机构更聪明地购买和使用云,需要一种双管齐下的方法。
首先,应对合同条款和条件进行审查和确认。根据联邦采购条例(FAR),采购商业物品的合同,必须只包括为执行适用于所采购商业物品的法律规定,或确定与惯例商业做法相一致的合同条款。因此,联邦政府需要确保对商业惯例的任何补充,都集中在避免商业法规与联邦法律之间不一致的目标上。这必须在不给私营行业造成过度负担的情况下完成,也不能因为商业惯例的改变而产生实际风险。
其次,总统“关于加强联邦网络和关键基础设施网络安全的行政命令”强调,执行部门和机构的负责人有责任管理其业务的风险,而且这种责任不能通过服务水平协议外包。许多建议指出了澄清角色和职责、建立明确的绩效指标以及实施非合规补救计划的潜在好处。获取云服务的一个重要元素是明确云供应商能够执行什么服务以及在什么级别上执行什么服务。这种治理、架构和操作清晰度,将有助于机构确保有效、高效和安全地执行服务。
这种双管齐下的方法将降低政府的成本和私营行业的负担,缩短采购周期,降低政府和合规商业供应商的管理成本。这种方法将提高政府对云的标准化使用,并降低孤岛式执行机构的相关风险。
合同的安全要求
各机构有责任在制定云采购和部署决策时考虑安全问题。为了开始这种方式上的转变,联邦首席信息官办公室将发布以前的高价值资产(HVA)备忘录的更新,该备忘录建立在之前的计划之上。具体而言,机构需要确保高价值资产的合同(包含在云中管理和运营的资产),包括确保对资产安全的可见性的要求。此外, 机构应包括要求开发人员、制造商和供应商使用系统安全和隐私工程概念的要求。这将在安全和隐私设计原则、安全编码技术和可信计算方法方面,推动有针对性的集成功能。
IV.人员
联邦信息技术人员负责执行机构任务,向公众提供服务,以及保护美国国家的关键系统和信息。与机构不能将风险外包的方式相同,他们也不能将关键决策外包给供应商。相反,机构应该为自己的员工注入关键技能,以推动云敏捷战略的发展。改善联邦政府的技术基础设施,以提高机构向纳税人提供服务的质量、安全性和影响,而这需要联邦工作人员的成熟度。
随着机构采用并迁移到云平台,必须要检查这些迁移对联邦工作人员的影响,并确定潜在的技能差距。各机构必须预测,需要哪些新技能和计划方法,来解决差距和技能的演变。例如,迁移到云技术可能会减少对IT硬件管理的需求,但在使用代码即基础设施(Infrastructure as Code)时,可能会增加对编程技能的要求。机构可能还需要为其采购人员配备额外的技能和知识,以跟上不断扩大的采购技术选项清单。机构的云战略和政策通常应包括员工队伍发展和规划部分, 其中包括以下主题和活动。
确定当前和未来工作角色的技能差距
为了成功过渡到云平台,机构需要确保他们的员工知识足以了解规划迁移时的所有注意事项,并在部署后支持云环境。机构首席信息官和首席人力资本官(CHCO)应合作开展符合任何法律法规的技能差距分析。技能差距分析至少应包括对机构当前IT员工态势的检查,可映射到未来技能和职位要求的预测中。在适当情况下,强烈鼓励各机构利用私营行业预测,来帮助预测未来的人员技能和职位要求,尤其是信息技术角色的需求。与许多新的技术举措一样, 各机构应期望有一个激进的时期, 对工作人员进行使用云技术的培训, 并计划在这一迅速发展的领域进行持续培训和实验, 因为在这一领域, 技能可能不到一年就会过时。
2015年的《联邦网络安全人员评估法案》要求联邦机构通过新的编码框架,实施《国家网络安全教育计划(NICE)网络安全人员框架》,并识别出执行信息技术、网络安全或其它网络安全相关功能的所有联邦民事职位。虽然所有机构都必须参与这一过程,以帮助联邦政府标准化评估网络安全工作人员差距,但这项工作并不完全包括所有信息技术职位或技能组合。因此,鼓励各机构进行单独的业务范围的IT技能差距分析,以确保包括所有当前和未来的信息技术相关技能和职位。
再培训并保留现有的联邦雇员
当前员工可能缺乏促进云迁移或迁移后维护环境所需的技能或知识。对于机构而言,进行技能差距分析,以确定技术和非技术技能以及职位差距就很重要。一旦该机构发现了这些差距,领导层就需要确定哪些技能和职位差距,对于支持该机构的使命最为重要和/或至关重要。
为了立即解决最关键的差距,该机构需要为现有员工制定并实施再培训策略。机构重新制定战略应侧重于培训和职业发展机会,使现有员工能够获得急需的技能和认证。
再培训计划还应包括高级行政服务类的员工,以便为他们提供云计算的基本知识。此外, 对于采购专业人员来说, 云计算服务的采购仍然是相对较新的领域。因此,首席采购官、合同官和项目经理等采购专业人员,需要利用当前的采购资源和指导。这些资源应包括联邦采购政策办公室提供的资源和培训机会,例如通过联邦采购协会和TechFAR HUB 提供的培训机会。
此外, 根据对专业IT采购角色的指导, 各机构可能会受益于审核其当前的IT采购员工队伍和计划需求,以确定开发新的专业团队或扩大现有IT采购团队,是否会降低云迁移风险并改善总体结果。一个可能的培训发展模式,是管理和预算办公室的数字信息技术采购专业人员(DITAP)计划。
最后,各机构应与其首席人力资本官和首席学习官协商,以确定培训和重新部署选项的最佳方法,如认证计划、创造绩效晋升工作机会或轮岗计划。
招聘和雇佣以解决技能差距
美国劳工统计局报告称,云计算是技术占用增长的一个主要因素,预计从2016年到2026年将增长13%。除了为了解决最关键的技能和职位差距而再培训现有员工的机构外,应考虑招聘和雇佣策略。主要战略包括利用行业招聘最佳实践,扩大薪酬的灵活性,以及迅速消除阻碍招聘员工的官僚障碍。各机构必须建立一条管道,不断向联邦政府输送网络和安全人才。
拥有云计算技能的技术专业人员市场,竞争十分激烈。在可能的情况下,各机构应利用私营部门使用的技术,吸引和雇用联邦政府的最佳候选人。各机构应与其首席人力资本官协调,执行积极的征聘战略,例如:参加行业会议和招聘会;举办全国性的招聘活动,以加强认知和推广;开发“最需要”的人才广告,以展示关键需求;确保在像USAJOBS这样地方所发布的职位,能够恰当地反映所需的技能;通过社交媒体平台吸引候选人;分析和分享当前的员工经验;在适当情况下利用择优晋升招聘程序,留住、晋升或重新部署现任联邦雇员;以及展示多元化和包容性举措。
美国政府在努力为联邦员工团队招募现有人才的同时,还应该建立一个人才管道,扩大合格申请人的范围。通过劳动力理事会和首席信息官理事会(CIOC)的举措,除了利用已有的伙伴关系外,美国政府还将继续与社区学院、学徒计划和四年制机构建立伙伴关系。机构过渡战略应扩大包括对再培训和提高技能解决方案的考量。
员工沟通、参与和过渡策略
在迁移到云之前,机构应执行沟通计划,以帮助员工了解实施云敏捷战略所需要的改变。例如,迁移到云环境中,可能需要淘汰已使用多年的老旧系统。员工可能会感到不情愿,特别是如果要重新定义职位,以及学习在云环境中操作新系统。机构可以通过清楚地说明一旦上云完成,当前的员工将如何适应,从而减轻员工的担忧。将技术路线图社交化, 包括将全部或部分迁移到云的系统, 并提供包括再培训机会的变更管理流程大纲,是极其必要的。与员工进行沟通和互动,是成功采用新的云解决方案的关键。联邦各机构应该乐于利用参与云迁移活动的供应商,为当前员工提供或支持培训。
消除官僚主义障碍,迅速招聘人才
对具有云计算技能的技术专业人员的需求处于历史最高水平。这意味着吸引、招募和留住合适的人才,将采用可执行的人力资本战略并简化招聘流程。拥有积极的招聘时间表和有竞争力报价的机构,将利用薪酬和招聘激励措施来吸引人才。机构领导层必须确定并迅速解决阻碍机构快速聘用人才的官僚障碍。
根据《美国法典》(United States Code)第5章,联邦政府各机构拥有广泛的权力,负责聘用顶尖的IT和网络安全人才,并为具备优越资质或解决关键技能差距的候选人提供薪酬灵活性和激励措施。强烈鼓励各机构利用现有的招聘机构、招聘和助学贷款还款激励机制,聘用具有高度受欢迎的云计算技能的专业人士。
联邦机构有责任,确保其当前和未来的员工已经准备好,支持联邦云环境。联邦机构云战略应能使领导人发展信息技术和网络安全工作人员, 并使其具备实现云迁移目标所需的技能, 以及支持改善关键公民服务的最新技术。(云科技时代)