美國(guó)信息技術(shù)與創(chuàng)新基金會(huì)報(bào)告:歐洲云安全制度應(yīng)關(guān)注技術(shù) |
來(lái)源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2023-04-12 瀏覽次數(shù): |
內(nèi)容摘要:本報(bào)告認(rèn)為歐盟部分國(guó)家濫用云網(wǎng)絡(luò)安全規(guī)則,推動(dòng)EUCS實(shí)施數(shù)字保護(hù)主義,試圖用本土企業(yè)取代美國(guó)領(lǐng)先的云計(jì)算公司。EUCS與FedRAMP不同,更加強(qiáng)調(diào)企業(yè)所有權(quán),采用封閉技術(shù)標(biāo)準(zhǔn),涵蓋私營(yíng)部門(mén)。這將破壞跨大西洋數(shù)字貿(mào)易。歐洲政策制定者應(yīng)效仿FedRAMP實(shí)施EUCS,專(zhuān)注于技術(shù)細(xì)節(jié),透明開(kāi)放制定標(biāo)準(zhǔn),避免限制性主權(quán)要求。對(duì)此,報(bào)告提出以下建議:歐盟成員國(guó)應(yīng)在EUCS提案中刪除主權(quán)條款;美國(guó)需加強(qiáng)與歐盟在TTC上的接觸;若限制未取消,美國(guó)應(yīng)評(píng)估網(wǎng)絡(luò)安全合作并考慮報(bào)復(fù)措施;雙方應(yīng)利用TTC改善網(wǎng)絡(luò)安全合作,確保標(biāo)準(zhǔn)兼容性;美國(guó)和歐盟應(yīng)關(guān)注電子證據(jù)/CLOUD法案協(xié)議,并努力實(shí)現(xiàn)網(wǎng)絡(luò)安全認(rèn)證和審計(jì)項(xiàng)目的相互承認(rèn)。
歐盟一些國(guó)家濫用云網(wǎng)絡(luò)安全規(guī)則,制定歐洲云服務(wù)網(wǎng)絡(luò)安全認(rèn)證計(jì)劃(European Cybersecurity Certification Scheme for Cloud Services,EUCS),企圖用本土企業(yè)取代美國(guó)領(lǐng)先的云計(jì)算公司。法國(guó)是其中的領(lǐng)導(dǎo)者。其他歐盟政策制定者對(duì)盲目追隨法國(guó)的網(wǎng)絡(luò)安全、貿(mào)易和經(jīng)濟(jì)保護(hù)主義做法有所顧慮。因此,歐洲政策制定者決定效仿美國(guó)的FedRAMP制定實(shí)施EUCS。
本簡(jiǎn)報(bào)詳細(xì)介紹了兩者的差異,解釋了FedRAMP是什么,最重要的是,與SecNumCloud相比不是什么,以及歐洲在EUCS提案中刪除限制性和誤導(dǎo)性的主權(quán)要求的重要性,并在最后為跨大西洋網(wǎng)絡(luò)安全議程提供了建設(shè)性的合作建議。
根據(jù)EUCS,云提供商將不再能夠?qū)⑷蛲{與國(guó)內(nèi)威脅比對(duì)映射,也無(wú)法將全球網(wǎng)絡(luò)的惡意活動(dòng)跡象追蹤到國(guó)內(nèi)網(wǎng)絡(luò)。
EUCS主權(quán)要求將使美國(guó)公司更難在網(wǎng)絡(luò)攻擊之前采取預(yù)防措施,以保護(hù)歐洲客戶和網(wǎng)絡(luò)安全機(jī)構(gòu)。該要求也將阻礙跨大西洋和全球網(wǎng)絡(luò)安全合作。如果歐洲制定主權(quán)要求,這種合作很難持續(xù)。因?yàn)槿绻麣W洲都不信任美國(guó)的云計(jì)算公司,如何取得第三國(guó)政府的信任呢?
FedRAMP為美國(guó)聯(lián)邦政府機(jī)構(gòu)使用的云服務(wù)提供了安全評(píng)估、授權(quán)和持續(xù)監(jiān)控的標(biāo)準(zhǔn)化方法。ITIF在報(bào)告《改革FedRAMP:改進(jìn)聯(lián)邦采購(gòu)和云服務(wù)風(fēng)險(xiǎn)管理指南》中指出獲得FedRAMP認(rèn)證的時(shí)間和成本需要改善。但總的來(lái)說(shuō),F(xiàn)edRAMP提供了一個(gè)通用的、高水平的云網(wǎng)絡(luò)安全保護(hù)平臺(tái)。
FedRAMP根據(jù)低、中、高三個(gè)風(fēng)險(xiǎn)級(jí)別指定控制。
NIST設(shè)定了每個(gè)級(jí)別的技術(shù)要求。風(fēng)險(xiǎn)影響等級(jí)越高,需要的基準(zhǔn)控制就越多:低影響系統(tǒng)需要123個(gè)控制,中等影響系統(tǒng)需要325個(gè)控制,高影響系統(tǒng)需要421個(gè)控制。
低風(fēng)險(xiǎn)包括用于公共使用的數(shù)據(jù),任何數(shù)據(jù)損失都不會(huì)影響機(jī)構(gòu)的任務(wù)、安全、財(cái)務(wù)或聲譽(yù)。中等風(fēng)險(xiǎn)包括公眾無(wú)法獲得的數(shù)據(jù),這樣的泄露可能會(huì)對(duì)機(jī)構(gòu)的運(yùn)營(yíng)產(chǎn)生嚴(yán)重影響。大多數(shù)美國(guó)聯(lián)邦政府機(jī)構(gòu)都是在這個(gè)中等影響級(jí)別上運(yùn)行,使用的是“受控的、非機(jī)密的信息”。高風(fēng)險(xiǎn)包括敏感的(但非機(jī)密的)聯(lián)邦信息,如執(zhí)法部門(mén)、緊急服務(wù)和醫(yī)療保健數(shù)據(jù),對(duì)包含這些數(shù)據(jù)的政府系統(tǒng)的破壞將具有高度破壞性。
FedRAMP使用專(zhuān)門(mén)第三方評(píng)估機(jī)構(gòu)(PAOs)來(lái)評(píng)估CSO。PAOs包括專(zhuān)業(yè)的IT合規(guī)、審計(jì)和咨詢公司。PAOs本身必須滿足FedRAMP特定的要求和國(guó)際最佳實(shí)踐標(biāo)準(zhǔn),例如ISO/IEC 17020標(biāo)準(zhǔn)對(duì)執(zhí)行合格評(píng)定的機(jī)構(gòu)的要求。PAOs評(píng)估CSO維護(hù)清晰系統(tǒng)邊界的能力,描述系統(tǒng)內(nèi)部和系統(tǒng)間動(dòng)態(tài)的能力,用戶和敏感元數(shù)據(jù)流,與用于傳輸聯(lián)邦敏感數(shù)據(jù)互連相關(guān)的風(fēng)險(xiǎn),以及與使用未經(jīng)FedRAMP授權(quán)的外部系統(tǒng)和服務(wù)相關(guān)的風(fēng)險(xiǎn)等問(wèn)題。
以下部分詳細(xì)介紹了美國(guó)FEDRAMP計(jì)劃與法國(guó)SecNumCloud和EUCS提案的根本不同之處。
來(lái)自任何國(guó)家的云公司都可以申請(qǐng)F(tuán)edRAMP認(rèn)證,沒(méi)有國(guó)籍或所有權(quán)限制。截至2022年11月,在285家FedRAMP授權(quán)的服務(wù)產(chǎn)品和78家正在審查的服務(wù)產(chǎn)品中,至少20家公司的總部在國(guó)外,或者是外國(guó)公司(如西門(mén)子技術(shù)公司)的美國(guó)子公司。
FedRAMP關(guān)注公司使用先進(jìn)網(wǎng)絡(luò)安全實(shí)踐,而非公司的所有權(quán)或控制權(quán)。在歐洲FedRAMP最好的仿效規(guī)定是德國(guó)C5標(biāo)準(zhǔn),該標(biāo)準(zhǔn)為純粹的技術(shù)網(wǎng)絡(luò)安全認(rèn)證制度。與此不同,許多SecNumCloud要求涉及法律、組織結(jié)構(gòu)、投資和所有權(quán)——與基于技術(shù)的云服務(wù)認(rèn)證或改善網(wǎng)絡(luò)安全無(wú)關(guān)。
無(wú)論是在法國(guó)還是美國(guó),數(shù)據(jù)本地化都是一種被誤導(dǎo)的政策,即使是為政府?dāng)?shù)據(jù)服務(wù)。本地化并不能改善數(shù)據(jù)隱私或安全性。例如,對(duì)美國(guó)管理和預(yù)算辦公室的黑客攻擊針對(duì)的是美國(guó)政府機(jī)構(gòu)內(nèi)部的數(shù)據(jù)服務(wù)。數(shù)據(jù)本地化在FedRAMP中作為與特定美國(guó)聯(lián)邦政府機(jī)構(gòu)合同的一部分的使用,意味著它的應(yīng)用范圍非常狹窄。其不會(huì)影響更廣泛的美國(guó)商業(yè)云服務(wù)市場(chǎng)。
美國(guó)有限地使用本地化,就像加拿大的公共云市場(chǎng)一樣,也對(duì)外國(guó)公司和產(chǎn)品開(kāi)放,并允許數(shù)據(jù)流向海外。美國(guó)和加拿大對(duì)敏感政府?dāng)?shù)據(jù)和服務(wù)本地化的限制應(yīng)用遠(yuǎn)勝于法國(guó)和其他歐洲國(guó)家所主張的廣泛而模糊的國(guó)家安全問(wèn)題。
FedRAMP是一個(gè)云網(wǎng)絡(luò)安全框架,美國(guó)政府對(duì)云服務(wù)的采購(gòu)市場(chǎng)相對(duì)于其他經(jīng)濟(jì)部門(mén)來(lái)說(shuō)規(guī)模較小。相比之下,SecNumCloud和EUCS主權(quán)要求可以有效地阻止外國(guó)云計(jì)算公司向政府機(jī)構(gòu)提供服務(wù),或在廣泛的商業(yè)經(jīng)濟(jì)領(lǐng)域進(jìn)行競(jìng)爭(zhēng)。
EUCS可能會(huì)對(duì)歐盟的數(shù)字經(jīng)濟(jì)產(chǎn)生廣泛影響。即使其只適用于敏感和高風(fēng)險(xiǎn)影響領(lǐng)域,因?yàn)轭A(yù)計(jì)所有提供商都將努力獲得這一認(rèn)證。這樣一來(lái),獲得高風(fēng)險(xiǎn)影響認(rèn)證將成為強(qiáng)制性的,EUCS的廣泛應(yīng)用也將在許多行業(yè)成為強(qiáng)制性的。此外,EUCS主權(quán)要求可能與一些現(xiàn)有規(guī)則相沖突。
NIST網(wǎng)絡(luò)安全標(biāo)準(zhǔn)以公開(kāi)、透明、技術(shù)為核心,吸引全球安全與云專(zhuān)家參與。如ITIF報(bào)告所述,NIST以開(kāi)放流程選取后量子加密標(biāo)準(zhǔn)并更新FedRAMP核心標(biāo)準(zhǔn)。而ENISA在制定EUCS標(biāo)準(zhǔn)時(shí),面臨透明度不足及利益相關(guān)者參與度低的批評(píng)。盡管有多個(gè)組織應(yīng)提供建議,實(shí)際上外部利益相關(guān)者征求意見(jiàn)程度有限。ENISA試圖繞過(guò)歐盟委員會(huì)高層的政治考量和對(duì)技術(shù)標(biāo)準(zhǔn)進(jìn)行公開(kāi)透明辯論,將主權(quán)要求與技術(shù)標(biāo)準(zhǔn)區(qū)分,導(dǎo)致實(shí)際操作中存在問(wèn)題。
原文標(biāo)題|Europe’s Cloud Security Regime Should Focus on Technology, Not Nationality
原文地址|https://itif.org/publications/2023/03/27/europes-cloud-security-regime-should-focus-on-technology-not-nationality/
|
上一篇:網(wǎng)信辦《生成式人工智能服務(wù)管理辦法》公開(kāi)征求意見(jiàn) 下一篇:聚焦日志審計(jì)優(yōu)化,南京河西集團(tuán)攜手聚銘網(wǎng)絡(luò)完成信息系統(tǒng)防護(hù)優(yōu)化升級(jí) |