Espaço para disponibilizar conhecimento, boas práticas, normas e orientações sobre temas relacionados a Governança Pública
Fórum IBGP

Catalisando a Adoção de Nuvem–Governo Americano

Conteúdo

  1. Aproveitando aceleradores de computação em nuvem
  2. Garantindo um ambiente seguro e confiável
  3. Simplificação dos processos de aquisição
  4. Estabelecendo padrões de computação em nuvem
  5. Reconhecendo as dimensões internacionais da computação em nuvem
  6. Estabelecendo uma sólida base de governança

 

O CIO do Governo Americano, Vivek Kundra, por meio do documento “Federal Cloud Computing Strategy, Vivek Kundra, 2011”, propõe que a adoção de aceleradores para facilitar a adoção de Serviços em Nuvem Computacional e mitigar riscos inerentes a esta complexa tarefa.

Os “aceleradores” sugeridos envolvem, principalmente, ações de trabalho em comunidade, compartilhamento de boas práticas e problemas identificados.

 

1. Aproveitando aceleradores de computação em nuvem

Aceleradores de computação em nuvem são recursos disponíveis para as agências agilizarem o processo de avaliação de candidatos a nuvem, aquisição de capacidade de nuvem e mitigação de risco.

 

Modelos e exemplos de casos de negócios de computação em nuvem

O Conselho Federal de CIOs do Governo Americano desenvolveu casos de negócios de computação em nuvem e continuará a construir essa biblioteca para apoiar as agências em suas decisões de computação em nuvem. As agências devem procurar casos de negócios de escopo ou propósito similar para acelerar o desenvolvimento de seus próprios casos de negócios de computação em nuvem (por exemplo, critérios de decisão para mover e-mails na nuvem, CRM na nuvem, armazenamento em nuvem).

 

Comunidade e recursos de computação em nuvem do governo

As agências devem participar de grupos de trabalho de computação em nuvem do governo no NIST e GSA em tópicos como padrões, arquitetura de referência, taxonomia, segurança, privacidade e casos de uso de negócios. As agências também podem aproveitar os portais, como o site de colaboração do NIST, que fornece acesso a informações úteis para os usuários da nuvem.

Apesar dos recursos discutidos acima, as agências podem enfrentar vários problemas que podem impedir sua capacidade de realizar plenamente os benefícios de uma abordagem de computação em nuvem. Como no caso de todo avanço tecnológico, esses desafios mudarão com o tempo, à medida que o mercado de computação em nuvem evoluir. No curto prazo, organizações do Governo Federal, incluindo OMB, NIST, GSA e DHS, desenvolveram e continuam a desenvolver orientações práticas sobre questões relacionadas a segurança, compras e padrões e estão estabelecendo a base de governança necessária para apoiar a entrega.

 

2. Garantindo um ambiente seguro e confiável

À medida que o governo federal se desloca para a nuvem, ele deve estar vigilante para garantir a segurança e o gerenciamento adequado das informações do governo para proteger a privacidade dos cidadãos e a segurança nacional.

A transição para o ambiente de computação em nuvem terceirizado é, em muitos aspectos, um exercício de gerenciamento de riscos. O gerenciamento de riscos envolve identificar e avaliar riscos e tomar as medidas para reduzi-los a um nível aceitável. Durante todo o ciclo de vida do sistema, os riscos identificados devem ser cuidadosamente balanceados com os controles de segurança e privacidade disponíveis e os benefícios esperados. Muitos controles podem ser ineficientes e ineficazes. As agências e organizações federais devem trabalhar para garantir um equilíbrio apropriado entre o número e a força dos controles e os riscos associados às soluções de computação em nuvem.

O governo federal criará um ambiente de segurança transparente entre provedores de nuvem e consumidores da nuvem. O ambiente nos levará a um nível em que a compreensão e a capacidade do governo federal de avaliar sua postura de segurança será superior ao que é oferecido nas agências hoje. O primeiro passo nesse processo foi o Programa Federal de Gerenciamento de Risco e Autorização (FedRAMP) de 2010. O FedRAMP definiu requisitos para controles de segurança de computação em nuvem, incluindo verificação de vulnerabilidades e monitoramento de incidentes, registros e relatórios. A implementação desses controles aumentará a confiança e incentivará a confiança no ambiente de computação em nuvem.

Para fortalecer a segurança do ponto de vista operacional, o DHS priorizará uma lista das principais ameaças de segurança a cada 6 meses ou conforme necessário, e trabalhará com uma equipe de especialistas em segurança para garantir que controles e medidas de segurança apropriados sejam implementados para mitigar essas ameaças.

O NIST emitirá orientações técnicas de segurança, como aquelas voltadas para o monitoramento contínuo de soluções de computação em nuvem, consistentes com a estrutura de seis etapas do Risk Management (Publicação Especial 800-37, Revisão 1).

As agências que avaliam riscos no contexto da computação em nuvem devem considerar os possíveis benefícios de segurança e possíveis vulnerabilidades.

Potenciais benefícios de segurança do uso de serviços de computação em nuvem incluem:

  • a capacidade de concentrar recursos em áreas de grande preocupação, à medida que serviços de segurança mais gerais são assumidos pelo provedor de nuvem;
  • força potencial da plataforma resultante de maior uniformidade e homogeneidade, resultando em melhoria na garantia de informações, resposta de segurança, gerenciamento do sistema, confiabilidade e capacidade de manutenção;
  • melhor disponibilidade de recursos por meio de recursos de escalabilidade, redundância e recuperação de desastres; resiliência melhorada a demandas imprevistas de serviço;
  • aprimoramento de recursos de backup e recuperação, políticas, procedimentos e consistência;
  • capacidade de alavancar serviços em nuvem alternativos para melhorar a postura geral de segurança, incluindo a dos data centers tradicionais.

As agências também devem avaliar as vulnerabilidades potenciais adicionais associadas a vários modelos de serviço e implantação de computação em nuvem, como:

  • a complexidade inerente do sistema de um ambiente de computação em nuvem e a dependência da exatidão desses componentes e das interações entre eles;
  • a dependência do provedor de serviços para manter a separação lógica em um ambiente de múltiplos inquilinos (por exemplo, não exclusivo do modelo de computação em nuvem);
  • a necessidade de garantir que a organização retenha um nível apropriado de controle para obter consciência situacional, pesar alternativas, definir prioridades e efetuar mudanças na segurança e privacidade que sejam do interesse da organização.

As principais considerações de segurança incluem a necessidade de:

  • definir cuidadosamente os requisitos de segurança e privacidade durante o estágio inicial de planejamento no início do ciclo de vida de desenvolvimento de sistemas;
  • determinar até que ponto os contratos de serviços negociados são necessários para atender aos requisitos de segurança; e as alternativas de uso de contratos de serviços negociados ou modelos de implantação de computação em nuvem que ofereçam maior supervisão e controle sobre segurança e privacidade;
  • avaliar até que ponto o ambiente de computação do servidor e do cliente atende aos requisitos de segurança e privacidade da organização;
  • continuar a manter práticas de gerenciamento de segurança, controles e responsabilidade sobre a privacidade e a segurança de dados e aplicativos.

No curto e longo prazo, essas ações continuarão a melhorar nossa confiança no uso de serviços em nuvem, ajudando a mitigar os riscos de segurança.

 

3. Simplificação dos processos de aquisição

Atualmente, o governo frequentemente compra commodities de forma fragmentada e não agregada, operando mais como uma federação de pequenas empresas do que uma empresa de US $ 80 bilhões. Para melhorar a prontidão para a computação em nuvem, o Governo Federal facilitará uma abordagem de “aprovar uma vez e usar com frequência” para simplificar o processo de aprovação para provedores de serviços em nuvem. Por exemplo, um programa de risco e autorização para todo o governo para soluções de IaaS permitirá que as agências confiem nas autorizações existentes, para que apenas requisitos adicionais específicos da agência precisem ser autorizados separadamente. O prêmio do contrato de IaaS da GSA é um exemplo dessa abordagem de “aprovar uma vez e usar frequentemente”. Ele oferece 12 fornecedores de nuvem aprovados para fornecer às agências armazenamento em nuvem, máquinas virtuais e serviços de hospedagem na web. Abordagens como essa eliminarão custos desnecessários e atrasos na entrega associados à duplicação de esforços.

À medida que o número de provedores de nuvem do governo aumenta, o GSA fornecerá ferramentas de comparação para comparar de maneira transparente os provedores de nuvem lado a lado. Essas ferramentas permitirão que as agências selecionem com rapidez e eficiência a melhor oferta para suas necessidades exclusivas. Os exemplos incluem o Apps.gov, que fornece uma vitrine centralizada em que as agências podem navegar e comparar facilmente as ofertas de SaaS e IaaS da nuvem de proprietários de contratos anteriores do Multiple Award Schedule (MAS) 70. Ferramentas como essas reduzirão a carga das agências para conduzir seus próprios processos de RFP e concentrarão os investimentos nos provedores de nuvem de melhor desempenho.

Além disso, a GSA estabelecerá veículos contratuais para serviços de commodity em todo o governo (por exemplo, e-mail). Esses veículos contratados reduzirão o ônus das agências para os serviços de TI mais comuns. O GSA também criará grupos de trabalho para apoiar a migração de serviços de mercadorias. Esses grupos de trabalho desenvolverão requisitos técnicos para serviços compartilhados para reduzir a carga analítica em agências governamentais individuais. Por exemplo, o grupo de trabalho SaaS E-mail estabelecido em junho de 2010 está sintetizando requisitos para serviços de e-mail em todo o governo. Grupos de trabalho também criarão modelos de casos de negócios para agências que estão considerando a transição para tecnologias de nuvem.

Os contratos do governo federal também fornecerão passageiros para governos estaduais e locais. Esses pilotos permitirão que todos esses governos realizem as mesmas vantagens de aquisição do governo federal. Aumentar a participação em serviços em nuvem impulsionará ainda mais a inovação e a eficiência de custos, aumentando o tamanho do mercado e criando maiores eficiências de escala.

 

4. Estabelecendo padrões de computação em nuvem

Os padrões serão críticos para a adoção bem-sucedida e a entrega da computação em nuvem, tanto no setor público quanto de forma mais ampla. Os padrões estimulam a concorrência ao tornar os aplicativos portáveis ​​entre os provedores, permitindo que as agências federais transfiram serviços entre provedores para aproveitar as melhorias de eficiência de custo ou a funcionalidade inovadora de novos produtos. Os padrões também são essenciais para garantir que as nuvens tenham uma plataforma interoperável para que os serviços fornecidos por diferentes provedores possam trabalhar juntos, independentemente de serem fornecidos usando modelos de distribuição pública, privada, comunitária ou híbrida.

O NIST desempenhará um papel central na definição de padrões e colaborará com os CIOs da Agência, especialistas do setor privado e órgãos internacionais para identificar, priorizar e chegar a um consenso sobre prioridades de padronização. Em 2010, o NIST realizou workshops de engajamento para identificar e priorizar necessidades. A partir de agora, o NIST irá gerar, avaliar e revisar um roteiro de computação em nuvem periodicamente. Este roteiro irá definir iterativamente e acompanhar as prioridades de computação em nuvem acordadas, a fim de coordenar os esforços de nuvem entre as partes interessadas.

O NIST manterá um papel de liderança na priorização, desenvolvimento, evolução e refinamento de padrões ao longo do tempo, à medida que os requisitos coletivos para os padrões evoluírem em resposta à inovação operacional e à evolução da tecnologia. O NIST já ajudou a estabelecer definições amplamente adotadas para os quatro modelos de implementação de nuvem comumente reconhecidos (por exemplo, privado, público, híbrido e comunitário) e três modelos de serviço (ou seja, Infraestrutura como Serviço, Plataforma como Serviço e Software como Service). No entanto, essas definições precisam ser expandidas para definir de forma mais abrangente uma arquitetura de referência e taxonomia para fornecer um quadro comum de referência para a comunicação. O NIST está atualmente trabalhando com a indústria e outras partes interessadas na computação em nuvem para definir uma arquitetura de referência neutra que não esteja vinculada a um conjunto específico de soluções ou produtos de fornecedores ou restrita de maneira a inibir a inovação. Como os provedores de nuvem criam novas soluções, essa arquitetura de referência servirá de base para uma comparação de “maçãs com maçãs” dos serviços de computação em nuvem. Isso ajudará as agências a entender como vários serviços se encaixam. Da mesma forma, o NIST precisará expandir essas definições à medida que novos modelos de implantação surgirem.

O NIST trabalhará com as agências para definir um conjunto de casos de uso de negócios “alvo” que representam os maiores desafios por riscos, preocupações ou restrições. O NIST ajudará a identificar prioridades conduzidas operacionalmente para padrões e orientação de computação em nuvem, trabalhando com agências federais e outras partes interessadas para definir um conjunto de cenários orientados por missões para implementação e operações de computação em nuvem. Estes serão usados ​​para focar e ajudar a traduzir os requisitos da missão em requisitos técnicos de portabilidade, interoperabilidade, confiabilidade, manutenibilidade e segurança. Por exemplo, um caso de uso de negócios pode refletir a migração do software do aplicativo de patente para a nuvem IaaS. Uma vez identificado, o NIST trabalhará com as agências e a indústria para modelar, usando uma arquitetura de referência neutra de fornecedor e taxonomia como um quadro de referência, várias opções para enfrentar esses desafios. Em última análise, esta pesquisa resultará na definição de novos padrões, orientação e requisitos tecnológicos.

O NIST continuará a executar o projeto Tático de Aceleração de Padrões para Incentivar a Adoção de Computação em Nuvem (SAJACC), que desempenha um papel importante na validação das principais especificações de nuvem e no compartilhamento de informações para aumentar a confiança na tecnologia de computação em nuvem antes que os padrões formalizados estejam disponíveis. Até hoje, o SAJACC definiu 24 casos de uso técnico genéricos que podem ser usados ​​para validar os principais requisitos de interoperabilidade, segurança e portabilidade. Um exemplo é a capacidade de mover dados para dentro e para fora do ambiente de um provedor de nuvem e verificar se os dados são excluídos adequadamente quando removidos usando interfaces comumente disponíveis definidas pelo setor. O SAJACC apoiará a indústria a avançar com a padronização em paralelo com os processos das organizações de padrões formais baseadas em consenso.

 

5. Reconhecendo as dimensões internacionais da computação em nuvem

O crescimento de qualquer nova tecnologia apresenta duas dinâmicas fundamentais: (1) o poder de transformar e (2) a necessidade de examinar os paradigmas existentes nesse mesmo campo.

A computação em nuvem trouxe à tona várias questões de política internacional que precisam ser abordadas na próxima década, à medida que a computação em nuvem amadurece. Questões a considerar incluem:

  • Soberania de dados, dados em movimento e acesso a dados: como os países atingem o equilíbrio adequado entre privacidade, segurança e propriedade intelectual dos dados nacionais?
  • Existem necessidades de estruturas legais, regulatórias ou de governança da computação em nuvem internacional?
  • Códigos de conduta de computação em nuvem para governos nacionais, indústrias e organizações não-governamentais;
  • Interoperabilidade e portabilidade de dados em ambientes domésticos e internacionais;
  • Garantir a harmonização global dos padrões de computação em nuvem.

 

6. Estabelecendo uma sólida base de governança

Essa estratégia é o primeiro passo no processo de migração para tecnologias de nuvem, tanto no setor público quanto no privado. O Governo Federal desempenhará um papel vital em todo este processo para identificar e resolver problemas de nuvem de importância nacional. À medida que as questões são cada vez mais resolvidas, o Governo Federal voltará a focar suas prioridades em questões mais prementes.

Para gerir eficazmente estas questões de governação a longo prazo, o Governo Federal precisa de estabelecer uma base de governação estável que supere indivíduos individuais ou administrações. Na melhor medida possível, os indivíduos ou comitês devem ter papéis explicitamente definidos, responsabilidades não sobrepostas e uma hierarquia clara de tomada de decisão. Essas medidas capacitarão o governo para ações, minimizarão a burocracia desnecessária e garantirão a responsabilidade pelos resultados.

Os seguintes órgãos terão, portanto, esses papéis e responsabilidades:

  • O Instituto Nacional de Padrões e Tecnologia (NIST) liderará e colaborará com CIOs de agências federais, estaduais e municipais, especialistas do setor privado e organismos internacionais para identificar e priorizar padrões e diretrizes de computação em nuvem.
  • A Administração de Serviços Gerais (General Service Administration – GSA) desenvolverá veículos de aquisição em todo o governo e desenvolverá soluções de aplicativos em todo o governo e em nuvem, quando necessário.
  • Departamento de Segurança Interna (DHS) irá monitorar problemas de segurança operacional relacionados à nuvem
  • As agências serão responsáveis ​​por avaliar suas estratégias de fornecimento para considerar totalmente as soluções de computação em nuvem
  • O Conselho Federal de CIOs orientará a adoção da nuvem por todo o governo, identificará tecnologias de nuvem de última geração e compartilhará práticas recomendadas e exemplos de análises e modelos reutilizáveis.
  • O Escritório de Gerenciamento e Orçamento (OMB) coordenará as atividades entre os órgãos de governança, definirá as prioridades gerais relacionadas à nuvem e fornecerá orientação às agências.

 

Conclui o CIO do Governo Americano, processadores mais baratos, redes mais rápidas e a ascensão de dispositivos móveis estão impulsionando a inovação mais rápido do que nunca. A computação em nuvem é uma manifestação e um facilitador essencial dessa transformação. Assim como a Internet levou à criação de novos modelos de negócios incomensuráveis ​​há 20 anos, a computação em nuvem interromperá e remodelará setores inteiros de formas imprevistas. Parafraseando Sir Arthur Eddington – o físico que confirmou a Teoria da Relatividade Geral de Einstein – a computação em nuvem não será apenas mais inovadora do que imaginamos; será mais inovador do que podemos imaginar.

A IDC previu que, até o presente ano, o universo digital seria 10 vezes o tamanho que era em 2006 – ou seja, nove vezes mais conteúdo digital seria criado em cinco anos do que toda a história anterior. Essa explosão de dados, combinada com a mobilização de acesso digital, prevê grandes melhorias na inteligência on-the-go. Exemplos de mudanças transformadoras existem em todas as agências do governo e é responsabilidade dos que estão no governo estar na vanguarda de trazer esses serviços inovadores para o povo americano. É muito fácil visualizar novos serviços, como alertas personalizados de surto de gripe para gestantes e alertas de trânsito em tempo real realizados pelos governos federal e local.

A computação em nuvem permitirá uma mudança fundamental na forma como servimos ao povo americano. Os cidadãos capacitados para ver o uso de eletricidade de suas casas em tempo real poderão fazer escolhas de consumo mais inteligentes. Cidadãos capazes de acessar seus registros de saúde eletronicamente poderão facilmente compartilhá-los com médicos e provedores, e assim melhorar seus cuidados de saúde. Cidadãos capazes de criar e compartilhar painéis de desempenho poderão esclarecer o desempenho do governo com a mesma facilidade com que criam e compartilham vídeos do YouTube hoje.

Nossa responsabilidade no governo é alcançar os benefícios significativos de custo, agilidade e inovação da computação em nuvem o mais rápido possível. A estratégia e as ações descritas neste documento são os meios para começarmos imediatamente. Dado que cada agência tem necessidades de missão únicas, requisitos de segurança e cenário de TI, solicitamos que cada agência pense na estratégia anexada como uma próxima etapa.

Cada agência avaliará sua estratégia de fornecimento de tecnologia para que as opções de computação em nuvem sejam totalmente consideradas, de acordo com a política do Cloud First.