Đối với các nhà thầu, việc chào các dịch vụ đám mây là một công việc rủi ro

Forcontractors, offering federal cloud services is a risky business

ByJill R. Aitoro 06/21/2010

Theo:http://www.nextgov.com/nextgov/ng_20100621_6997.php

Bàiđược đưa lên Internet ngày: 21/06/2010

Lờingười dịch: Tại Mỹ, các nhà cung cấp dịch vụ điệntoán đám mây cho liêng bang phải rất thận trọng vì tìnhtrạng thiếu chính sách, thiếu chuẩn và phải tính tớinhững rủi ro như mất dữ liệu hoặc dữ liệu không sẵnsàng khi cần... Còn ở Việt Nam, những chính sách vềđiện toán đám mây có gì chưa nhỉ? Giả sử dữ liệucủa khách hàng bị mất thì ai có trách nhiệm giảiquyết, bồi thường nhỉ? Nhà cung cấp? Công ty bảo hiểmhay … chính người sử dụng nhỉ?

Cáccông ty chào các dịch vụ đám mây cho các cơ quan chínhphủ sẽ phải giải quyết các yêu cầu về sự duy trì,có lẽ làm khó cho các doanh nghiệp nhỏ bán các dịch vụcủa họ, theo một báo cáo mới được một hãng luậtđưa ra.

Cácnhà thầu đối mặt với những rủi ro pháp lý khi hỗtrợ các cơ quan liên bang trong việc triển khai điện toánđám mây, thực tế việc mua sắm các dịch vụ điệntoán mà chúng sẽ được lưu trữ và duy trì bởi các nhàcung cấp là bên thứ 3, theo sách trắng được hãng luậtReed Smith đưa ra.

“Bạnphải chấp nhận một số điều khoản và điều kiệncủa liên bang, và chúng là duy nhất và khác biệt vớinhững gì trong các hợp đồng thương mại”, LorraineMullings Compos, một đối stacs với Reed Smith và đồng tácgiả của sách trắng.

Anninh là một lĩnh vực trong đó những rủi ro là cao đốivới các nhà thầu, vì các nhà cung cấp dịch vụ đámmây phải đáp ứng được những mong đợi bổ sung vàđảm bảo những ứng dụng của họ tuân thủ với Lậtvề Quản lý An ninh Thông tin Liên (FISMA) bang năm 2002, mànó đòi hỏi một quá trình chứng nhận và kiểm tra.

“Đámmây không phải là duy nhất, nhưng … các yêu cầu củaFISMAlàm cho tệ hơn nhiều”, Gunnar Hellekson, chiến lượcgia về công nghệ cho đội làm việc với khu vực nhànước của Red Hat, nói. “Tôi có thể cung cấp một dịchvụ duy nhất, [nhưng]... tôi đã phải sản sinh ra 92 mẩutài liệu khác nhau”.

Mộtsáng kiến của chính phủ được phát triển để giảiquyết vấn đề an ninh là Chương trình Quản lý Xác thựcvà Rủi ro Liên bang (FedRAMP), mà nó đưa ra các dịch vụxác thực các hệ thống trong đám mây đáp ứng đượcnhững chỉ dẫn của FISMA, bao gồm cả việc giám sátmạng liên tục. Chương trình này dựa trên các qui trìnhquản lý rủi ro được xác định bởi Viện Quốc giaTiêu chuẩn và Công nghệ trong Xuất bản phẩm đặc biệt800-37.

Companiesoffering cloud services to government agencies will have to addressfederal security and data retention requirements, possibly making itdifficult for small businesses to sell their services, according to anew report released by a law firm.

Contractorsface legal risks when assisting federal agencies in implementingcloudcomputing,the practice of purchasing computing services that are stored andmaintained by third-party providers, according to a whitepaper released by the law firm Reed Smith.

"Youhave to accept certain federal terms and conditions, and they'reunique and different f-rom those in commercial contracts," saidLorraine Mullings Campos, a partner with Reed Smith and co-author ofthe white paper.

Securityis one area in which the risks are higher for contractors, becausecloud services providers must meet additional expectations and ensuretheir applications comply with the 2002 FederalInformation Security Management Act,which requires a lengthy certification and accreditation process.

"Thecloud isn't unique, but . . . the requirements of FISMA [make it]much worse," said Gunnar Hellekson, chief technology strategistfor Red Hat's public sector team. "I can provide a singleservice, [but] . . . I'd have to produce 92 separate pieces ofdocumentation."

Agovernment initiative being developed to address the security issueis the Federal Risk and Authorization Management Program (FedRAMP),which offers services to certify information systems in the cloudmeet FISMA guidelines, including continuous network monitoring. Theprogram is based on risk management processes defined by the NationalInstitute of Standards and Technologyin Special Publication 800-37.

Helleksoncũng chỉ ra Giao thức Tự động Nội dung An ninh, mà cácnhà cung cấp có thể sử dụng để thử nghiệm các mạngvà công cụ máy tính về sự tuân thủ với Cấu hình Cơbản Máy tính để bàn của Liên bang, mà nó đòi hỏi cáccơ quan phải tiêu chuẩn hóa các hệ điều hành và cácthiết lập trình duyệt để tránh các lỗ hổng.

Cácchuẩn của liên bang thực sự có thể đi trước bằngviệc tạo ra một không gian an toàn cho thị trường đểphát triển, Hellekson nói.

“Trongđám mây, mọi thứ cũ sẽ mới lại một lần nữa”,ông nói. “Chúng tôi đã có những thảoluận tương tự về an ninh khi các cơ quan ban đầu đãxem xét các ứng dụng thuê ngoài làm”, mà đã đượcquản lý bởi các nhà cung cấp dịch vụ trên các máy chủcủa họ. “Thiếu sự thúc đẩy của chính sách, sẽ cóđủ các rủi ro trong triển khai đám mây mà mọi ngườicó thể sẽ sợ phải tiến hành”.

Cảntrở khác là những mong đợi của các cơ quan về tínhsẵn sàng của dữ liệu, theo báo cáo này.

“Nếudữ liệu bị mất hoặc không sẵn sàng, sẽ có rất ítsự trông cậy mà một khách hàng thương mại có thểtiến hành chống lại nhà cung cấp đám mây”, StephanieGiese, một đồng tác giả của sách trắng có liên quantới Reed Smith nói. “Nhưng đối với chính phủ, đặcbiệt nếu là điều quan trọng tới an ninh quốc gia, thìphải có sự truy cập 24 giờ đối với các dữ liệu”.

Nhữngmong đợi sẽ được viết một cách đặc thù trong cácthỏa thuận mức dịch vụ ngặt nghèo hơn. “Sự hiểubiết đầy đủ những mong đợi giữa các bên là sốngcòn không chỉ vì những ảnh hưởng pháp lý đối vớinhà thầu mà còn những ảnh hưởng tới bản thân các cơquan về uy tín của riêng họ”, Steven Kousen, phó hủ tịchvề kỹ thuật và các dịch vụ điện toán đám mây củaLiêng bang tại Unisys, nói. “Tất cả những yêu cầu phảiđược xây dựng trong hợp đồng từ đầu, sao cho nhàthầu hoặc nhà cung cấp hoặc nhà tích hợp hệ thống cóthể hiểu liệu họ có đủ tư cách để đáp ứng đượckhông”.

Mặcdù các nhà thầu cho chính phủ là lớn, nhiều ngườitrong số họ đã bắt đầu chào các dịch vụ đám mây,được trang bị tốt để đáp ứng các đòi hỏi củacác khách hàng liên bang, thì sự tung ra website trực tuyếnmặt tiền Apps.gov, nơi mà các cơ quan có thể mua các dịchvụ IT đám mây, và tuyên bố của các nhà thầu liên bangchào các dịch vụ có thể hướng nhiều tay chơi hơn cạnhtranh đối với những cơ hội của liên bang.

“Vìđây là cơ hội thị trường mới, bạn có nhiều tay chơiđã được sinh ra trong ý tưởng rằng họ có thể đápứng được mô hình kinh doanh này”, Kousen nói. “Nhưnghọ không luôn luôn có được những điều cơ bản củathị trường. Họ cần sự trợ giúp, nếu không họ sẽgặp rắc rối”.

Helleksonalso pointed to the Security Content Automation Protocol, whichvendors can use to test computer networks and tools for compliancewith the Federal Desktop Core Configuration, which requires agenciesto standardize operating systems and browser settings to preventbreaches.

Thesefederalstandards actually could advance by creating a safe space for themarket to develop, Hellekson said.

"Incloud, everything old is new again," he added. "We hadsimilar discussions about security when agencies first consideredoutsourcing applications," which were hosted by serviceproviders on their computer servers. "In the absence of policypushes, there is enough risk in cloud deployments that people mightbe afraid to do it."

Anotherobstacle is agencies' expectations of data availability, according tothe report.

"Ifdata is lost or not available, there's little recourse the commercialcustomer can take against the cloud provider," said StephanieGiese, an associate at Reed Smith and co-author of the white paper."But for government, particularly if it's important to nationalsecurity, there must be 24-hour access to data."

Expectationstypically will be written into stricter service-level agreements."Full understanding of the expectations between parties iscrucial not only because of legal implications for the contractor butalso implications to the agency themselves in terms of their ownreputations," said Steven Kousen, vice president of federalengineering and cloud computing services with Unisys. "Allrequirements have to be built in to the contract f-rom the beginning,so the contractor or vendor or system integrator can understandwhether they're even qualified to respond."

Althoughlarge government contractors, many of whom have started offeringcloud services, are well-equipped to manage the demands of federalcustomers, the launch of the online storefront website Apps.gov,whe-re agencies can purchase cloud-based IT services, and theannouncement of federal contracts offering cloud services coulddrive more niche players to compete for federal opportunities.

"Becauseof this new marketplace opportunity, you have a lot of niche playersthat were born based on the idea that they can meet this businessmodel," Kousen said. "But they don't always have the marketbackground. They need help, or else they'll get into trouble."

Dịchtài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com