美国防部应采用云解决方案来代替联合区域安全堆栈

美国云服务提供商Zscaler公司高管帕特里克·佩里撰文称，美国防部设计的联合区域安全堆栈（JRSS）已经无法满足指数级别增长的数据处理需求。为了管理不断增长的带宽需求和大数据流，未来的安全模式必须要将重点从网络安全转到数据安全。为确保未来战术优势，国防部需要简化解决方案以提高效率，可以考虑取消安全设备堆栈，并改用云解决方案，从而既可以提升用户体验，又可以保证安全性。文章全文翻译如下，供读者参考。

多年来，国防部始终致力于平衡整个网络的安全性和操作性，同时保证安全性和操作性处于最佳技术状态。国防部设计了联合区域安全堆栈（JRSS）系列，其中的互联网访问点（IAP）和云访问点（CAP）技术，作为推动下一步发展的步骤，将最大程度地实现这种平衡。

然而，联合区域安全堆栈要求关注以网络为中心的安全性，而不是以数据为中心的安全性。其挑战在于，受物联网技术、人工智能、移动用户等因素影响，国防部正在创建和管理指数级别甚至指数级别以上的数据，集中式安全堆栈无法扩展到可以满足这些新兴技术的要求。

持续处理指数级别增长的数据的需求超出了联合区域安全堆栈硬件、流程和采集的能力所及，隔离流量的区域方法已不再有效。

除了数据要在服务之间“从东向西”流动之外，所有流量都需要首先通过联合区域安全堆栈进行处理，然后经过互联网访问点或云访问点，最终到达目的地。考虑到成本高的线路和流量最大化所需工作，那些潜在的可节省的财务成本将会损失掉，用户体验不好，并且安全性无法保证。

国防部可以从TIC现代化中学到什么

国防部的“联合区域安全堆栈/互联网访问点/云访问点”计划所面临的挑战与民用机构“可信互联网连接（TIC）”计划所面临的问题类似。随着越来越多的移动用户和代理商将数据和应用程序迁移到云中，要求通过TIC发送所有流量的需求导致用户体验变差，可靠性变差，IT成本增加。很多机构通过部署“影子IT”解决方案来完成其任务。

作为回应，管理和预算办公室（OMB）在新TIC 3.0策略和更新的用例中建立了一种更加灵活的方法帮助机构通过TIC安全地传输联邦流量。

同样，随着联邦风险与授权管理计划（FRAMP）批准越来越多的基于云的解决方案，国防部机构也面临着同样的问题，即通过联合区域安全堆栈/互联网访问点/云访问点传输越来越多的流量。

展望未来，国防机构如何才能使其传统方法适应混合云的现状，同时改善性能、可靠性、延迟和成本？

下一代的联合区域安全堆栈/互联网访问点/云访问点：将重点转移到数据安全

现在是时候建立一个安全且负责任的架构了。该架构将改变当前的多供应商设备服务链模式，而采用更敏捷和安全的方法。从整体来看联合区域安全堆栈/互联网访问点/云访问点架构，用户必须首先通过位于区域JRSS的线路传输流量，以确保服务和基础间的中间层边界。然后，与互联网和云绑定的流量会通过另一个线路传输到另一个安全堆栈（互联网访问点/云访问点）。

这种方法效率低下、多余且过于复杂。国防部需要简化解决方案以提高效率，鼓励必要创新，确保未来战术优势。

为了管理不断增长的带宽需求和大量数据流，未来的安全模式必须要把重点从网络安全转到数据安全。用户与数据越来越不会位于同一位置。代理机构不需要通过区域对齐的安全堆栈来限制连接，无论位置如何，都需要保证数据安全。

理想情况下，创新的安全模式将重新设计“纵深防御”范式，让网络设备和安全设备逐渐退回后台。然后，代理机构可以采用集中执行的策略平面，保证任何时间、任何位置、任何设备的数据安全。

军事部门应该能够安全地利用创新方式来收集、存储和处理数据。现在是时候改变范式并取消安全设备堆栈了，这样的安全设备堆栈会降低运营能力。

国防部团队需要创新和迁移到“云安全即服务平台”的能力。第一步是将所需的安全性与所依附的硬件和软件分离。其次，代理机构必须将内联安全装置移到目的地。最后，代理机构可以通过将所有必要的安全要求重建为通用的x86架构来进行创新。这也创建了一种通用的管理和日志记录方法，帮助故障排除服务和监视更有效。

展望未来：为创新提供机会

我们必须解决根本问题。在国防信息系统局（DISA）的指导下，国防部与其管理由多家厂商提供的多个安全设备构建的解决方案，不如考虑采用云解决方案，以降低复杂性。云解决方案是一种分布式架构，可以在优化的同时为任何地方的任何人保持标准的安全状态用户体验。

不过，与任何其他云采用策略一样，领导者必须了解“移动并转换（lift and shift）”与真正的“云原生”方法之间的区别。“移动并转换”的方法是把数据从一个数据中心转移到另一个数据中心。需要注意的是，应警惕将设备迁移到云并作为服务出售的解决方案。取而代之的是，机构需要一种创新的解决方案：诞生于云中并通过一种“即服务（as-a-service）”模式分发的解决方案。这是唯一可以面向未来的选择，它将使各机构始终领先于运营需求，始终处于技术产品前沿。

真正的基于云的体系结构将提供统一的日志分析流程，通过升级来满足不断增长的需求，保持广泛的不间断访问，削减维护硬件、软件、固件的不必要负担。同时，通过“即服务”平台降低成本。

最后，尽管云原生“即服务”模式将有助于确保与国防部网络的外部连接的安全，但国防机构应考虑一个为零信任架构设计的平台，为云中或实际场所（on-premise）的个人应用程序提供安全。零信任安全模式要求每个试图访问资源的人或设备都严格执行身份验证并遵守策略。只有得到授权的用户才会被授予访问权限。所有这些都是为了缩小攻击面，通过移除需求保证基于网络设备的安全。

该策略将为指挥官提供更好的可见性、访问控制和安全性，为国防部遍布全球的作战部队提供支持。信息地形将成为一种环境，为指挥官们提供情境化、可操作的情报，驱动未来的任务成功。

本文作者：帕特里克·佩里，Zscaler公司联邦国防部/信息通信（DOD/IC）新兴技术总监。

声明：本文来自奇安网情局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。