Cloud Computing Best Practices. Creating Effective Cloud Computing Contracts for the Federal Government: Best Practices for Acquiring IT as a Service

Cloud Computing Best Practices

Cloud Computing Best 

Practices

Creating Effective Cloud Computing Contracts for  the Federal Government: Best Practices for  Acquiring IT as a Service

Overview

ƒ Cloud Computing – What is it?

ƒ “Cloud First” Policy and Guidance

ƒ The Cloud Procurement White Paper 

ƒ Minimizing Litigation Risk and Cost

NIST Definition

“Cloud computing is a model for enabling convenient, on‐demand network access to a  shared pool of configurable computing resources (e.g., networks, servers, storage,  applications, and services) that can be rapidly provisioned and released with minimal  management effort or service provider interaction. This cloud model promotes availability  and is composed of five essential characteristics, three service models, and four  deployment models.” Source: NIST, Definition of Cloud Computing, Draft version 15, http://csrc.nist.gov/groups/SNS/cloud‐computing/index.html

Laymen's Definition

ƒCloud is essentially utility computing ƒAutomated services (no humans needed for change in services) ƒServices are consumed as used (“pay per drink”) ƒEnabled via the internet (accessible anywhere) ƒElasticity in amount of services consumed (rapid provisioning and de‐ provisioning) ƒTransition from capital expenses to operating expense

What is Cloud Computing?

Slide 3

Software ƒSaaS (software‐as‐a‐service) ƒApplications available as an on demand service ƒEnd‐user applications Platform ƒPaaS (platform‐as‐a‐service) ƒIT and developer tools for database and testing  environments to develop applications ƒDevelopment or deployment activities Infrastructure ƒIaaS (infrastructure‐as‐a‐service) ƒComputing, Storage and Hosting Services ƒNetwork administrators Source: http://info.apps.gov/node/17 ƒ Mainframes ƒ Servers ƒ Storage ƒ IT Facilities/Hosting Services ƒ Application Development  (Workflow and Automation) ƒ Security Services (Single Sign‐On,  Authentication) ƒ Database Management ƒ Directory Services ƒ Applications, Internet Services ƒ Social Media (Blogs, Wikis) ƒ Email, E‐Meetings ƒ Productivity Tools (Office)

What Services Are In The Cloud?

Common Examples

Source: http://info.apps.gov/node/17

What Types of Clouds Are There?

PRIVATE CLOUD

Operated solely for an  organization

COMMUNITY CLOUD

Shared by several  organizations – can be public  or private

PUBLIC CLOUD

Available to the general  public

HYBRID CLOUD

Composition of two or more clouds  (private, community, or public) Slide 5

Cloud: A Fundamental Shift in IT

Cloud: Cheaper, Better, Faster

Cheaper

Cheaper

Better

Better

Faster 

Faster 

Decrease time‐to‐ market to deploy or  implement IT solutions  via secure, easy to use  contract vehicles  available to federal &  state and local  government Decrease time‐to‐ market to deploy or  implement IT solutions  via secure, easy to use  contract vehicles  available to federal &  state and local  government Allows key resources to  focus on mission – critical activities and/or  use solutions and  services on‐demand or  as‐needed Allows key resources to  focus on mission – critical activities and/or  use solutions and  services on‐demand or  as‐needed Save money & help  lower the cost of  government operations  while driving innovation  by avoiding duplicative  infrastructure by using  “pay‐as‐you‐go” service  models Save money & help  lower the cost of  government operations  while driving innovation  by avoiding duplicative  infrastructure by using  “pay‐as‐you‐go” service  models A fundamental shift: Agencies get state of the art products and services when  they need them, at lower, commodity‐based prices. Government can redirect  scarce resources to mission‐critical efforts as opposed to managing IT.

Cloud = Future State of Government IT

Slide 7

“The Administration’s

Federal Cloud Computing 

Strategy

requires agencies to default to cloud‐based 

solutions whenever a secure, reliable and cost‐effective 

cloud option exists – however, the move to the cloud 

requires a dramatic shift in the way Federal agencies buy 

IT – from capital expenditures to operating expenditures. 

With this shift comes a learning curve as the government 

analyzes how to best procure this new service‐based 

model.

. . .”

‐Steven VanRoekel U.S. Chief Information Officer, OMB February 24, 2012

Administration’s Drive to the Cloud

Federal Cloud  Computing  Strategy February 8, 2011

Federal Timeline for Cloud

“Cloud First” 25 Point Plan to  Reform Federal IT December 9, 2010 FedRAMP Policy  Memo December 8, 2011 Creating  Effective Cloud  Computing  Contracts February 24, 2012 Slide 9

“Cloud First”

Policy

ƒPoint 3 of the White House’s 25 Point Plan to Reform Federal IT ƒRequires agencies to evaluate safe, secure cloud options before  making any new investments. ƒThis means agencies should evaluate their technology sourcing  plans to include cloud solutions as part of the budget process.

Three Cloud Projects by June 9, 2012

ƒ“Cloud First” mandates agencies move three projects to the cloud  ƒAt least 1 project had to move to the cloud by December 9, 2011; ƒ2 additional must move by June 9, 2012.

Cloud: 25 Point Plan to Reform IT

Overview

ƒ Details benefits of cloud to 

Federal government

ƒ Provides decision 

framework for moving to 

the cloud

ƒ Case examples to illustrate 

framework

ƒ Promotes vision for 

catalyzing cloud adoption 

across Federal government

Cloud Computing Strategy

Slide 11

Overview

ƒ Mandatory for Federal agencies via  OMB Policy Memo ƒ Creates government‐wide security  process for cloud computing solutions  ƒ Provides assessments, provisional  authorizations, and continuous  monitoring of cloud services ƒ Transparent processes for Federal  agencies and cloud service providers ƒ Establishes a Federal government  standard baseline for securing cloud  environments

Federal Risk and 

Authorization 

Management 

Program

Cloud Security:

FedRAMP

Overview

ƒ Top 10 areas Federal 

agencies need to address 

when procuring cloud

ƒ Gives description of issues 

along with ways to address 

issues within contracts

ƒ Provides tactical guidance 

through a questionnaire 

checklist

Cloud Procurement White Paper

Slide 13

“Today, the CIO Council, CAO Council, and Federal Cloud 

Compliance Committee released:

Creating Effective Cloud 

Computing Contracts for the Federal Government:

Best 

Practices for Acquiring IT as a Service. 

This guide enables Federal agencies to make smarter, 

more informed cloud purchasing decisions by utilizing 

lessons learned and best practices of early adopters –

moving us to a more efficient and more effective 

government.”

Steven VanRoekel U.S. Chief Information Officer, OMB February 24, 2012

Partnership of IT, Acquisition, Legal

Development of White Paper

Two‐Tier Approach to Creating Guidance.

Existing Cloud Contracts

Existing Cloud Contracts

ƒ Develop lessons learned from early  adopters ƒ Informal data call through OMB to  collect ~15 existing Federal cloud  contracts ƒ Review of contracts to see variance  of contract terms, establish  baseline and identify themes ƒ Interview project managers and  contracting officers of each  contract: ƒ What worked ƒ What doesn’t work ƒ How various issues were  addressed ƒ Develop lessons learned from early  adopters ƒ Informal data call through OMB to  collect ~15 existing Federal cloud  contracts ƒ Review of contracts to see variance  of contract terms, establish  baseline and identify themes ƒ Interview project managers and  contracting officers of each  contract: ƒ What worked ƒ What doesn’t work ƒ How various issues were  addressed

FC3 Guidance

FC3 Guidance

ƒ Guidance Developed by Federal  Cloud Compliance Committee (FC3) ƒ Informal  interagency group  comprised of Federal Attorneys,  procurements officials, and cloud SMEs. ƒ Mission: create tactical guidance to  proactively assist agencies when  contracting cloud ƒ Created four working groups: ƒ Security ƒ Privacy ƒ E‐Discovery  ƒ Records Management/FOIA ƒ Guidance Developed by Federal  Cloud Compliance Committee (FC3) ƒ Informal  interagency group  comprised of Federal Attorneys,  procurements officials, and cloud SMEs. ƒ Mission: create tactical guidance to  proactively assist agencies when  contracting cloud ƒ Created four working groups: ƒ Security ƒ Privacy ƒ E‐Discovery  ƒ Records Management/FOIA Slide 15

Cloud Computing and the Federal Government: 

Effectively Acquiring IT as a Service

Goals of White Paper

ƒ Merge the “Cloud First” mandate and the visionary “Cloud Computing  Strategy” ƒ The next step in government’s move to cloud with specific guidance in  effectively buying cloud services  ƒ Provide guidance to agencies in developing requirements for a cloud  computing contract. ƒ Highlight top ten areas for Federal agencies to address in cloud contracts ƒ Help shape the way that cloud computing services are purchased and  consumed ƒ Establish common practices for the Federal government to take  advantage of its position as the largest purchaser of IT

1)

Selecting a Cloud Service

2)

CSP and End‐User Agreements

3)

Service Level Agreements (SLAs)

4)

CSP, Agency, and Integrator Roles and 

Responsibilities

5)

Standards

6)

Security

7)

Privacy

8)

E‐Discovery

9)

Freedom of Information Act (FOIA)

10)

E‐Records

Top 10 Focus Areas

Slide 17

Selecting a Cloud, End User Agreements

ONE

Selecting a Cloud Service

ONE

Selecting a Cloud Service

ƒ Agencies must choose the  appropriate cloud to meet  their needs ƒ Determine the appropriate  service model to meet user  needs ƒ Determine the appropriate  deployment model that  meets data protection  needs ƒ Agencies must choose the  appropriate cloud to meet  their needs ƒ Determine the appropriate  service model to meet user  needs ƒ Determine the appropriate  deployment model that  meets data protection  needs

TWO

CSP & End‐User 

Agreements

TWO

CSP & End‐User 

Agreements

ƒ Terms of Service Agreements  (TOS) need to be negotiated ƒ TOS must be compliant with  Federal laws and statutes ƒ Need to ensure NDA  enforceability ƒ End User Agreements need  to be integrated fully into  cloud contracts ƒ Terms of Service Agreements  (TOS) need to be negotiated ƒ TOS must be compliant with  Federal laws and statutes ƒ Need to ensure NDA  enforceability ƒ End User Agreements need  to be integrated fully into  cloud contracts

SLAs

and CSP, Agency, Integrator

Rs

&

Rs

THREE

Service Level Agreements

THREE

Service Level Agreements

ƒ SLAs should clearly define  CSP performance standards ƒ Need clear terms and  definitions ƒ Need to determine how CSP  performance will be  measured ƒ Needs to establish  enforcement mechanisms  for SLA compliance ƒ SLAs should clearly define  CSP performance standards ƒ Need clear terms and  definitions ƒ Need to determine how CSP  performance will be  measured ƒ Needs to establish  enforcement mechanisms  for SLA compliance

FOUR

CSP, Agency, & Integrator 

Roles and Responsibilities

FOUR

CSP, Agency, & Integrator 

Roles and Responsibilities

ƒ Establishes a contract with  (at least) three parties ƒ Determine integrator role  with CSP ƒ Need to clearly define the  roles and responsibilities of  all actors to ensure  effectiveness of the cloud  contract ƒ Establishes a contract with  (at least) three parties ƒ Determine integrator role  with CSP ƒ Need to clearly define the  roles and responsibilities of  all actors to ensure  effectiveness of the cloud  contract Slide 19

Standards and Security

FIVE

Standards

FIVE

Standards

ƒ Agencies should ensure CSPs align with government  standards ƒ Map services to NIST  Reference Architecture ƒ Ensure government  participation in standards  creation ƒ Compliance with Internet  Protocol version 6 ƒ Agencies should ensure CSPs align with government  standards ƒ Map services to NIST  Reference Architecture ƒ Ensure government  participation in standards  creation ƒ Compliance with Internet  Protocol version 6

SIX

Security

SIX

Security

ƒ FedRAMP Compliance ƒ Clearly defined requirements ƒ Continuous monitoring  activities ƒ Incident response to attacks  and vulnerabilities ƒ Key escrow/encryption ƒ Forensic capabilities ƒ Multi‐factor authentication  with HSPD‐12 ƒ Audit capabilities ƒ FedRAMP Compliance ƒ Clearly defined requirements ƒ Continuous monitoring  activities ƒ Incident response to attacks  and vulnerabilities ƒ Key escrow/encryption ƒ Forensic capabilities ƒ Multi‐factor authentication  with HSPD‐12 ƒ Audit capabilities

Privacy and E‐Discovery

SEVEN

Privacy

SEVEN

Privacy

ƒ Ensure compliance with the  Privacy Act of 1974 and PII  requirements ƒ Privacy Impact Assessments ƒ Adequate privacy training ƒ Clearly defined data location  requirements ƒ How to respond to a breach  where privacy data was  compromised ƒ Ensure compliance with the  Privacy Act of 1974 and PII  requirements ƒ Privacy Impact Assessments ƒ Adequate privacy training ƒ Clearly defined data location  requirements ƒ How to respond to a breach  where privacy data was  compromised

EIGHT

E‐Discovery

EIGHT

E‐Discovery

ƒ Provide information  management in the cloud ƒ Ability to locate relevant  documents ƒ Ability to preserve data in a  cloud environment ƒ Moving documents through  the e‐discovery process ƒ Cost avoidance by inclusion of  tools with CSP solution ƒ Provide information  management in the cloud ƒ Ability to locate relevant  documents ƒ Ability to preserve data in a  cloud environment ƒ Moving documents through  the e‐discovery process ƒ Cost avoidance by inclusion of  tools with CSP solution Slide 21

FOIA and Federal Recordkeeping

NINE

FOIA Access

NINE

FOIA Access

ƒ Ability to conduct a  reasonable search to meet  Freedom of Information Act  (FOIA) obligations ƒ Ensure the processing of  information is pursuant to  FOIA requirements ƒ Allow for the tracking and  reporting of information  pursuant to FOIA ƒ Ability to conduct a  reasonable search to meet  Freedom of Information Act  (FOIA) obligations ƒ Ensure the processing of  information is pursuant to  FOIA requirements ƒ Allow for the tracking and  reporting of information  pursuant to FOIA

TEN

Federal Recordkeeping

TEN

Federal Recordkeeping

ƒ Agencies should have  proactive records planning  before using a cloud service ƒ Ensure the ability to have  timely and actual destruction  of records in accordance with  mandated records schedules ƒ How to deal with permanent  records ƒ Process for transitioning to a  new CSP ƒ Agencies should have  proactive records planning  before using a cloud service ƒ Ensure the ability to have  timely and actual destruction  of records in accordance with  mandated records schedules ƒ How to deal with permanent  records ƒ Process for transitioning to a  new CSP

Overview

ƒ Translates the paper to 

tactical questions to 

ask when reviewing or 

creating a cloud 

contract

ƒ Maps to the ten areas 

of focus within the 

paper

ƒ Tactical approach for 

Agencies to use

Appendix A: Questionnaire

Slide 23

All necessary stakeholders should be included 

when creating cloud computing contracts. 

ƒ OCIO ƒ OGC ƒ Privacy ƒ Records ƒ E‐Discovery ƒ FOIA ƒ Acquisition staff

This will enable Federal agencies to more 

effectively procure and manage IT as a service

White Paper: Key Takeaway

ƒ CIO Council

ƒ www.cio.gov

ƒ Federal Cloud Computing Initiative

ƒ www.info.apps.gov

ƒ FedRAMP

ƒ www.FedRAMP.gov

ƒ NIST

ƒ http://www.nist.gov/itl/cloud

ƒ NARA

ƒ http://www.archives.gov/records‐mgmt/bulletins/2010/2010‐05.html 

Cloud Resources

Slide 25

Cloud Computing Best Practices

Questions?

Matt Goodrich

Federal Cloud Computing Initiative, GSA [email protected]

Allison Stanton

Director, E‐Discovery, DOJ‐ Civil Division [email protected]