2020年对于美国国防部远程办公的发展意义重大,对于需要访问机密信息的人亦是如此。仅美国陆军就部署了数千台新设备,使其领导人在家中即可访问秘密级信息。

但是事实证明,这些工具集和技术在远程办公以外的领域也颇为实用。该部门正在利用多年来在支持远程用户方面的经验,使其更简单、更快速、更低成本地在自己的基地部署秘密级别的网络。

通常来说,安装连接到美国国防部秘密互联网协议路由器网络(SIPRNet)所需的基础设施并不是一件容易的事。传统上,美国国防部大楼中的SIPR连接需要一个保护性分布式系统(PDS),用专门的管道、防篡改技术和其他安全措施,确保机密网络布线的物理安全。

但就在疫情刚刚开始的时候,位于美国陆军网络司令部新总部-乔治亚州戈登堡的陆军第七信号司令部的官员,已经开始另辟蹊径。他们并不想为每个新教室和建筑安装PDS系统,而是打算尝试使用普通的非机密电缆来传输数据,通过加密连接将用户连接到SIPRNet的虚拟桌面上。

早在COVID-19爆发之际,这一概念背后的软硬件包就已经在静候美国国家安全局(NSA)的批准了,美国陆军网络企业技术司令部(Army Network Enterprise Technology Command)指挥官玛丽亚-巴雷特(Maria Barrett)少将表示。

"但我们想到:"嘿,我们能不能在这个软硬件包中增加无线功能,以便使其具有远程能力?’既然如此,我们对这个包进行了修改,随后NSA批准了它。至此,我们在夏天为针对机密用户提供了一个完整的桌面环境",她在美国陆海空三军通信与电子协会(AFCEA)北弗吉尼亚州分会举办的活动中说:"不单单是为了SIPR用户,它还为我们这些真正需要一个完整桌面体验的远程工作者,提供了一个可行的选择。"

巴雷特说,虚拟桌面方案有可能会替代并整合美国陆军迄今为止一直在试点和使用的20多种远程机密工作能力。其理想目标是:将大部分基础设施运行在已被批准用于国防部机密工作负载的商业云环境中。

"我认为我们现在已经看到了收益,包括成本和灵活性方面的收益,或许我们应该在解决方案以及传输问题上采取更企业化的方法,"她说。

"与其让军队自己构建、托管并使用这种能力,不如考虑将其托管在满足美国国防部影响等级6(impact level 6)要求的商业云中,这样我们就可以在必要的时候快速扩容,在其他时候按需缩减。为应对COVID,第七信号司令部的工程师对初始运行能力做了修改并加快了交付速度,我对他们所做的工作感到非常自豪。但从产生修改软硬件包的想法,到把第一个客户端交付到我们的试点用户手中,着实耗费了大约4个月的时间。我们期望能够进一步加快提供额外能力的速度,以应对各种突发事件。"

美国陆军正在考虑推广戈登堡的这种构想,在其他基地扩展SIPRNet连接。

其中一个基地在肯塔基州的诺克斯堡。去年年初,美国陆军决定重新组建第五军(V Corps),并将其总部人员安置在一个主要只支持非机密网络的设施中,因此陆军网络企业技术司令部(NETCOM)需要即刻肩负起支持数百个新SIPRNet用户的重担。

"假设大楼一侧的某个组织对SIPR有需求,那我们如何能够在不打破墙壁并放入PDS的前提下满足这个需求呢?"巴雷特说道,"这就是我们现在可以提供的解决方案:虚拟桌面——只要把它接入你的NIPRNet网络连接,我们就能搞定一切。这本来需要耗费数月时间、签订合同并且上门安装,但现在我们直接就可以让它运转起来。"

同时,美国陆军也在为其在非机密网络上的远程工作制定长期解决方案。去年,美国国防部的绝大多数部门都朝着这个方向努力,当时国防部实施了一个名为"商业虚拟远程"(Commercial Virtual Remote)、基于Microsoft Teams的临时工具集,以应对新冠病毒大流行。

在接下来的一年里,美国陆军开始将用户从"商业虚拟远程"(CVR)过渡到Office 365环境,该环境将以"联邦"模式与国防部其他部门的Office部署(其中大部分将来自国防部新的国防企业级Office解决方案合同)实现互通。

"为了使陆军能够实现顺利迁移,我们所做的重大工作之一就是过渡到国防部托管的全局目录服务,"巴雷特说:"权威目录服务将使我们能够在Office 365内部拥有这种跨租户的互操作性和安全性。我们准备在2月中下旬开始进行测试迁移,然后计划每周迁移2.5万名用户。"

原文链接:https://federalnewsnetwork.com/army/2021/01/covid-helped-teach-army-how-to-build-classified-networks-both-on-and-off-bases/

声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。