准备好迎接美国公共云安全的半国有化吧。网络安全与基础设施安全局(CISA)的安全云业务应用技术参考体系结构(SCuBA TRA)为民用机构提供了一套广泛的云安全需求,这些机构迄今为止一直不在FedRAMP计划的范围内。这些拟议的变化——预计将在公众评论期之后——将在云供应商的产品中产生连锁反应,并提高所有围绕云安全的关键行业的监管机构的期望。具体地说:

  • SCuBA TRA将为所有人提升云安全。云安全仍然是早期采用者所关注的问题,而走向多云的趋势可能会加剧这个问题。SCuBA将推动云提供商为民用机构提供一套通用的产品——许多私营部门的企业用户将希望在云服务中嵌入同样的可见性。如果在一个行业中预期和完成了,那么在其他行业中就更容易执行/包括这一点。
  • 这是CISA在联邦机构中发挥影响力的机会。许多政府机构都从事网络安全工作。对许多大企业来说,他们的主要联邦网络对话者是信息共享与分析中心(ISACs),该中心成立于CISA之前,主要与国土安全部(DHS)的其他实体独立运行。然而,CISA在领导应对威胁方面日益引人注目的角色——例如2020年的太阳风妥协——已使其成为国土安全部实际上的日常网络领导者。SCuBA将锁定CISA在公共和私营部门的角色。
  • 在地缘政治冲突中,它将推动国家安全议程进入私营部门。俄乌战争促使云服务提供商与美国军方和安全机构展开了更紧密的合作。中钢协将在将这一议程引入私营部门方面发挥重要作用。SCuBA将间接但以物质的方式推动这一动态,因为私营部门实体将寻求效仿联邦民用机构的许多要求。
  • 它是在云中实现应用云安全的一种整体方法。CISA正在主动确保云中的应用程序(公共的、私有的或混合的)在所有级别和技术领域都是安全的:身份、远程访问、遥测和许多其他领域。不仅是SaaS应用,还包括移植到IaaS的定制开发应用(AWS、Azure、GCP等)。我们都熟悉公共云安全在技术堆栈的不同层之间的不平衡握手。通过应用程序层,该活动将获得更大的标准化、简化性、可感知性和强度。
  • 它是迭代的。这是一件好事。许多人认为这是一个非常积极和受欢迎的信号,表明云安全得益于我们在其他产品中看到的相同的迭代开发。图2 - 1在SCuBA TRA中最终认识到并接受了云安全不是“涅槃状态”而是一种进化的事实。

  • 这是FedRAMP标准的一次更新,因为该标准显示出了过时的迹象。Forrester预计,这个新兴的CISA标准/过程将在FedRAMP显示出过时迹象的领域,如第三方监控、数据保护和身份识别,成为FedRAMP的重要增强。
  • 它甚至会影响SaaS供应商和内部云应用程序。FedRAMP对云安全、威胁缓解和配置管理产生了巨大的积极影响。甚至不需要获得fedramp认证的公司都用它来加强他们的云安全。如果过去是未来的预示,那么CISA的SCuBA TRA将会追随并超过FedRAMP,成为任何组织都可以使用的最具影响力的云安全蓝图之一。

让我们联系

有问题吗?这太棒了。让我们联系并继续对话!请通过电子邮件请求咨询或指导会议inquiry@forrester.com.关注我们的博客和研究Forrester.com