解读FedRAMP授权下的云服务模型:IaaS、PaaS与SaaS的核心差异

本文深入解析了在FedRAMP(联邦风险与授权管理计划)框架下,基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)三种关键云服务模型的定义、区别及其对企业和政府机构在安全合规与服务选择上的影响。

FedRAMP IaaS vs PaaS vs SaaS – 有何区别?

如果您曾浏览过FedRAMP市场,希望使用获得政府认证的服务,无论是作为您自身服务的一部分还是代表某个机构,您很可能见过各种“-aaS”的称号。

“aaS”代表“即服务”,它是现代互联网服务运作方式的一部分。这些不同类型的服务是什么?它们又如何与FedRAMP互动?其中的区别可能至关重要。

目录

  • Are IaaS, PaaS, and SaaS Part of FedRAMP?
  • What Are IaaS, PaaS, and SaaS?
  • How the -aaS Categories Affect Businesses Seeking FedRAMP Authorization
  • How Categorization Affects Agency Service Selection
  • Agency Considerations for SaaS
  • Agency Considerations for PaaS
  • Agency Considerations for IaaS
  • Is the FedRAMP Process Different for IaaS, PaaS, or SaaS?

IaaS、PaaS和SaaS属于FedRAMP的一部分吗?

首先,让我们澄清一个常见问题。IaaS、PaaS和SaaS这些称号在FedRAMP内部吗?它们是整个风险与授权管理计划的一部分吗?

答案是否定的。尽管它们在FedRAMP环境中具有意义和潜在的影响,但这些称号并非由美国总务管理局(GSA)或联邦政府创建或颁发。

相反,它们是数字服务的类别。市面上有许多面向消费者、企业,当然也包括政府的“-aaS”服务。某项具体服务是否获得FedRAMP授权,是一个独立的判定。

什么是IaaS、PaaS和SaaS?

那么这些服务类别具体是什么呢?

  • IaaS 代表基础设施即服务。这些是在线服务提供商,提供可作为服务租用的底层基础设施。它们非常普遍,主要例子包括亚马逊网络服务(AWS)、微软Azure和谷歌云平台。公司和政府机构可以使用这些基础设施即服务,而无需建立自己的数据中心或内部部署网络,并在此基础设施上构建自己的定制应用程序和代码。
  • PaaS 代表平台即服务。虽然基础设施和平台在主题上有很大交叉,但平台即服务构建得更为完善。它们不仅仅是一个硬件环境;还包括供客户使用的软件或开发环境的元素。像亚马逊这样的公司在他们的IaaS系统上提供PaaS,例如亚马逊Elastic Beanstalk或亚马逊Lambda,或谷歌App Engine,以及像Heroku这样的第三方PaaS,都是例子。
  • SaaS 代表软件即服务。这些是基于云的应用程序,向客户提供特定功能。与使用基础设施来构建环境或使用平台来开发应用程序不同,SaaS已经提供了现成的应用程序。这样的例子不胜枚举,从Dropbox到Office 365,再到Google Workspace和HubSpot。

还有许多其他“即服务”类别,尽管其中很多实际上只是SaaS的子类别。例如:

  • 容器即服务
  • 硬件即服务
  • 知识即服务
  • 监控即服务
  • 安全即服务 ……等等。但现实是,大多数人并不使用这些过于细分的分类。

“-aaS”类别如何影响寻求FedRAMP授权的企业

如果您是一家企业,正在寻求FedRAMP授权以便与政府机构合作提供服务,那么服务分类可能会在几个方面影响您的运营。

首先,您需要考虑自己的运营使用了哪些依赖项。如果您正在构建一个对政府有用的任务型应用程序,并且您使用平台即服务来托管和运行它,这可能会成为一个责任问题,或者至少是您需要考虑的一个因素。

一个常见的问题是,如果您构建一个基于本身已获得FedRAMP授权的IaaS或PaaS的应用程序,该授权是否会“顺延”到您身上?例如,如果您使用亚马逊网络服务(AWS)的政府验证产品,这是否自动意味着您是安全的?

答案当然是否定的。除了您使用的基础设施之外,可能有许多适用于您的安全控制措施。事实上,使用基于云的平台甚至可能比作为政府可以安装在自家系统上的内部部署应用程序暴露更多的风险。FedRAMP甚至为此问题设置了专门的FAQ页面。然而,FedRAMP确实考虑到了这种分离,因此相关的安全控制会有所继承。

接下来,您需要考虑机构眼中对服务类型的限制。主要有两个维度需要考虑。

第一个是功能性。作为服务提供的软件可以执行政府所需的任务,无需太多额外配置即可直接使用。当其经过验证和授权后,可以信任其符合FedRAMP规则的安全性。另一方面,基础设施即服务要求政府根据其需求开发自己的应用程序(或在硬件上安装第三方应用程序)。这提供的即时功能性较少,但对整个环境的控制力更强。

相反的维度是所有权。这三个类别大致可以视为供应商所有权的层级。对于IaaS,供应商拥有的非常少;他们提供硬件和基础级软件(如固件或操作系统),而在其上构建的一切的所有权由机构负责。对于SaaS,供应商拥有得多得多,因此承担更高的安全保障责任。

除此之外,您的运营类型将决定您需要实施的安全控制类型。SaaS通常在这里门槛最高,因为它们拥有最多的组件所有权,并对保护政府数据负有最大的责任。

不过值得指出的是,尽管这三个类别描述了广泛的在线服务产品,但它们之间并没有严格的界限。存在一个完整的范围,从“租用服务器场的访问账户,别无其他”到“订阅直接在政府数据上执行操作的任务服务”,中间包含一切。可以在所有权和功能性之间找到平衡点,以满足各种可能的需求组合。

分类如何影响机构的服务选择

从机构的角度来看,选择使用何种类型的服务意义重大。

机构需要找到功能性和所有权之间的适当平衡点,就像公司需要找到这种平衡点来提供产品一样。

机构通常希望使用云服务,正是因为它们不想开发自己的版本。政府使用云生产力应用程序是因为没有必要开发自己的。他们使用数据中心作为基础设施,因为自建和维护成本高昂。这种模式不断重复。

与此同时,机构需要确保他们使用的任何服务的安全性。虽然FedRAMP的目的是在机构最初相对较少的参与下确保这种安全性,但它们仍然会将其考虑在内。保护一个庞大复杂的SaaS产品可能比一个通常较简单的PaaS选项困难得多,因此机构可能不愿意赞助该SaaS产品走过漫长的授权之路。

机构有需要完成的任务,他们会选择允许他们以最小风险和微妙平衡的责任与功能性来完成这些任务的选项。简而言之,如果它不比启动自己的解决方案更高效,那么与使用它(无论“它”是什么)的风险相比,它提供的益处就不够多。

机构对SaaS的考量

软件即服务非常抽象。应用程序存在于浏览器窗口中,除了机构员工直接访问的内容外,其他一切均由SaaS提供商负责。使用SaaS涉及放弃大量控制权和责任,但这并非坏事;这种控制权和责任非常耗费人力且负担沉重。这就是为什么机构经常在FedRAMP市场上选择SaaS应用程序。

以电子邮件为例。为了保持数据的极度安全,政府希望完全控制电子邮件服务器。对于机密和其他分类信息,情况就是如此。但是,对于受控非密信息(CUI)和非机密通信,较低层级、安全性较差的电子邮件提供商是可以接受的。当可以使用面向政府的Gmail Workspace产品或等效的微软Exchange产品时,没有理由启动内部部署的电子邮件交换服务器。

SaaS有一个巨大的好处,那就是一旦可用,它就可以立即使用。一旦FedRAMP授权发布,该应用程序就可以供政府使用。通常,SaaS应用程序甚至具有数据导入和迁移工具,以帮助从任何先前存在的解决方案过渡。

主要的缺点在于,SaaS要达到FedRAMP授权的门槛很高。由于它们负责一切,因此它们必须在范围界定、实施安全控制和建立持续监控方面做得非常好。责任越大,它们需要做的准备工作就越多。

机构对PaaS的考量

平台即服务这一中间地带为机构提供了更动手的体验。一个很好的例子是网站托管,这是典型的PaaS产品。开发网站的安全性仍然是机构的责任,但他们可以信任网站托管服务本身是安全的。

对于像应用程序开发这样的PaaS环境来说,情况则更为棘手。可能没有可行的SaaS应用程序能够满足政府的需求,或者可能存在限制,使得无法开发出可行的应用程序。使用PaaS来开发仅供内部使用的应用程序,将是避免内部构建环境的最佳选择。

对机构而言,使用PaaS的主要好处是成本节约。底层基础设施和平台通常是管理应用程序最大的持续成本之一,因此将这些成本和责任转移给PaaS提供商对政府来说要便宜得多。

当需要开发一个应用程序,但没有现成的第三方选项可用或有意愿追求FedRAMP授权时,机构使用经过验证的PaaS选项来自行开发是次优选择。

机构对IaaS的考量

IaaS是能够作为服务租用的最接近“裸金属”的形式。机构可以直接购买对数据中心、计算、存储、网络、数据库和其他基础级云服务的访问权限,并在其上构建所需的内容。

从某种意义上说,这相当于为政府办公室租赁建筑物与新建设施的数字化类比。租赁现有建筑物更便宜,发生在围墙内的一切由机构负责,而建筑所有者只关心必要的设施和结构维修。

使用IaaS的最大模式是“提升和转移”模型,即将机构内部完成的工作整体“提升”,转移到IaaS上,并在那里基本保持不变地使用。这可以实现更便宜的运营和更少的物理硬件维护,但除此之外提供的益处相对较少。

当机构需要几乎完全定制的东西,并且没有现成的PaaS或SaaS选项能够胜任时,IaaS最能发挥其作用。与内部基础设施相比,IaaS仍然可以节省成本。

FedRAMP流程对IaaS、PaaS或SaaS是否不同?

如果您是一个云服务提供商(CSP),并且认为自己是这些类别之一,那么FedRAMP流程对您来说是否与不同类别的CSP有实质性的不同?

幸运的是,答案是否定的。FedRAMP并不关心您属于哪类服务,只关心您有一个明确的(安全)影响级别,并为该级别实施了相关安全控制并达到适当标准。

当然会有差异,但这些差异与任何服务提供商之间的差异相同。范围界定、控制措施的选择和证据跟踪都是相同的过程。

无论您属于哪类服务,我们都能提供帮助。Ignyte Assurance Platform非常适合分析和汇总有关您安全需求的数据,跟踪您的任务和POA&Ms等等。作为FedRAMP认可的3PAO(第三方评估机构),我们非常乐意为您分析您的需求以及我们如何帮助您实现目标。您只需安排一次通话,了解我们的平台能为您做些什么。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次