美军云计算安全措施及商业云推进现状

为加速美军数字化转型的发展进程，国防部于7月6日正式取消了处 于长期停滞状态的企业通用云项目——联合企业防御基础设施（JEDI），并公布了其替代方案——联合战士云能力（JWCC）。新项目基于 JEDI 的建设 内容， 强化安全目标、细化安全措施， 实现从应用层到数据层的安全能力，以满足符合国防部安全要求的操作环境，进一步增强网络防御。自此，美军通用云环境以多态云取代了单一云的建设思路，为美军全球战略提供安全云服务开启了新征程。

商业云的出现正在改变美国防部开发、交付、部署并最终应用的程序、系统和服务的方式。但由于云计算环境的开放性和共享性，其面临着数据 丢失泄露、服务窃取等安全问题。因此，美军强调建设弹性、安全的云环境，将安全重点从边界防御转向保护数据和服务，并持续发布、更新云安 全战略及指南，以项目建设推动云安全发展，旨在推动云计算在国防部的安全应用。

一、美军云安全措施

2014 年以来，美军陆续发布云计算安全战略规划、指南文件，统一制定军事云计算系统的顶层安全设计， 指导规范了国防部使用云计算服务的安全管理，为云服务提供商建设云计算系统、提供安全服务制定统一标准，以期进一步增强网络防御。

（一） 制定信息影响等级，推动云计算分级应用

美国防部基于机密性、完整性及可用性的安全目标，以信息影响等级策略实现商业云的分级应用。根据云环境中存储和处理的信息敏感度或机密级别，国防部将云安全 6 层模型合并简化为4 级信息影响等级（见下表 1）。

表 1.国防部云计算安全信息影响等级

根据信息影响程度， 国防部将军事信息系统分为低、中、高三个级别。低级别信息系统（信息影响等级 2  级）允许军事信息资源放入公共云中，允许公开使用；中级别信息系统 (信息影响等级 4 、5 级)  通过虚拟云环境安全连接至网络，以通用访问卡（CAC）或其他方式提供对敏感信息的受限利用；高级别信息系统 (信息影响等级 6  级) 主要针对国家安全系统，必须采用军事云或实施云隔离。

（二） 严格安全需求标准，规范云计算顶层设计

《国防部云计算安全要求指南》为商业云服务商取得国防部云安全认证提供了可衡量的需求指标，包括安全控制政策需求、法律法规需求、持续评估需求、公钥基础设施（PKI）安全需求、政策指导和业务限制需求、物理设施和人员需求、数据泄露、数据恢复和销毁、存储载体和硬件的重用和处置安全、系统安全架构需求、商业云静态数据加密需求、数据备份等十九项安全要求。

通过安全需求标准， 统一规范国防部使用和实施商业云服务的顶层安全设计，使各军事机构在采购云服务时有据可依，避免低效和无序设计。同时作为一种标准化的合同语言，有效集成标准化的需求和实践，为美军业务部门项目管理人员评估和授权责任人在计划和授权云服务使用方面提 供参照， 提高采购效率。

（三） 划分安全职责分工，督促云计算安全管理

《国防部未来云战略》将美军云安全和合同采购模式由国防信息系统 局（DISA）统一负责转变至分散式管理模式，各机构可以通过一定的云安全认证流程自行采购云服务， 而 DISA 负责确保和监督各机构在应用商业云服务时的安全标准。同时在使用过程中，因职责主体具有多样性，美军根据云计算模式将云服务提供商及用户的安全进行细化（如下图 1）。

图 1.不同模式下云计算安全职责分工

在基础设施即服务（IaaS）环境下， 云服务商安全职责较小，只需维护基础设施、硬件和资源抽象控制层的安全， 美军云用户负责虚拟化计算资源层、软件平台层、应用软件层安全；在软件即服务环境（ SaaS）下，云服务商安全职责较大，其需维护从云环境底层到上层所有层次的安全， 而美军云用户只需负责应用软件层安全。

（四） 落实安全风险评估，实现云计算授权控制

云计算安全评估是对云服务商安全能力的综合评定。美军通过引入第三方评估、设立云安全评估管理机构、明确评估职责等措施，验证云产品的安全合规性和网络防御能力，为所有云服务提供商获得相关授权，同时审查承包商和第三方所开展的测试是否符合绩效和安全监视要求。

云安全风险评估通过“一次授权、多次使用”的模式加速军队采购，减少安全评估和流程监控报告所需的成本、时间和人员，同时也增强了军队和云服务提供商之间的透明度，提高了安全授权过程的可信赖性、可靠性和一致性。

二、美军云安全项目情况

自 2012 年国防部颁布《国防部计算云战略》 以来，美军便积极利用 IT技术创新，与私营企业、盟友伙伴建立紧密合作关系， 以期建立高效安全 的信息和 IT 服务交付平台。后续， 美军针对性提出构建可扩展和安全的云 环境、采用具有动态弹性的商业云架构、创建标准的云网络架构等措施， 进一步完善国防部采办商业云服务， 建立企业云环境， 确保全球战略优势。

（一） 构建致力于边界安全的云计算安全架构

为提高国防信息系统网络（DISN）和商业云服务间的防御能力，提供  敏感程度更高的数据保护，美军于2017年底创建了云计算安全架构（ SCCA）， 针对来自云服务环境（CSP）任务应用程序和多用户环境内 DISN 基础设施  和任务程序的恶意攻击。SCCA 提供了一套企业级云安全和管理服务， 为商  业云环境中托管 2 、4 、5 、6 信息影响等级的数据， 提供了边界和应用程序级别的安全标准方法。

图 2.云计算安全架构示意图

SCCA 产品组件包括：

·云访问点（ CAP）：包括内部云访问点（ ICAP）和边界云访问点（BCAP），可提供云访问、DISN 边界保护等防御能力。

·虚拟数据中心安全堆栈（VDSS）：保障国防部应用程序和数据安全，提供虚拟网络飞地安全，支持安全事件数据共享。

·虚拟数据中心管理服务（VDMS）：提供系统管理网络和任务所有者系统支持服务， 支持 DISN 的安全管理网络连接、 基于虚拟主机的 管理服务、虚拟系统身份和访问管理服务。

·可信云凭据管理器（TCCM）：用于建立、配置和控制任务所有者的虚拟私有云（VPC）配置，控制特权用户访问的账户和凭证。

当前，国防部大力推行保护网络内部资源的零信任架构（ZTA），而 CAP  解决方案则继续用于保护边界安全。但随着持续增长的指数级数据需求，  隔离流量的区域方法已不再有效，国防部开始探索替代 CAP 的云解决方案， 转向使用更高效、简洁的云安全即服务的消费方式，从而为任意地点、 任 意用户提供标准的安全服务。

（二） 采用商业云架构升级“军事云”2.0

“军事云”2.0 是美国防部主要的专用云基础架构， 通过采用商用现货 的设计和软件进行构建，为国防部数据中心的资源和存储按需提供不同软 件服务的接口和空间，旨在提高国防部信息网的速度、服务可靠性、存储 灵活性和安全性。整个国防部用户都可以利用军事云 2.0 进行应用迁移、应 用现代化和新应用开发， 并可利用亚马逊 AWS 的分析、边缘计算、终端用户计算和安全等领域的云服务。

“军事云”2.0 构建分为两个阶段：第一阶段将单个商业云提供商的云 服务接入两个军事数据中心，只处理未加密数据；第二阶段将云扩展到国防部多个数据中心，并处理加密和未加密的数据。按照国防部规划，所有应用和系统要于 2020 年 12 月 31 日前完成迁移或者停止服务。

表 2 军事云 2.0 推进大事记

2021 年 7 月，美国会议员警告，国防部迁移至军事云 2.0 的速度缓慢，只有约五分之一的任务平台正在转向军事云 2.0。鉴于近期的 Colonialpipeline 和 SolarWinds 网络攻击，云迁移工作需要被视为国防部最重要事项。

（三） 以“联合战士云能力”项目重启通用云建设

经历了联合企业防御基础设施（JEDI）项目的长期合同纠纷与停滞，美国防部于 2021 年 7 月宣布取消 JEDI 项目，并以联合战士云能力（JWCC）重启国防部企业通用云建设。作为 JEDI 的替代项目， JWCC 最大变化是国防部搭建企业通用云的方式选择从单云转向多云，同时提供在非密、机密和绝密 3 个涉密等级的相应能力和同等服务， 允许数据跨密级流动的一体化跨域解决方案（CDS），确保包括战术边缘、本土以外在内的全球环境的可用性， 增强的网络安全控制措施。

JWCC  项目各个产品时间要求都有所提前， 国防部企业通用云建设进 一步提速。项目要求合同授予时，云服务商即可以提供非保密云服务和建 议/协助服务；合同授予后 60 天内， 机密云产品能够支持秘密工作负载；合 同授予后 180  天内，机密云产品能够支持所有机密服务，包括绝密、敏感 分隔信息（SCI）和特殊访问计划（ SAP）。

JWCC  云计划将继续整合国防部所有通用类型的云计划， 把庞杂的各 类线下计算系统迁移到云端，成为一个全球可用、快速响应的公共数据和 基础设施平台，最终让所有军事分支机构可以在一个系统中共享信息，从 而大大提高数据处理效率。

（四） 将商业云服务拓展至移动设备

为改变从便携设备获取加密信息的传统模式， 将美军涉密 IP 协议路由 网络（ SIPRNet）扩展至美军全体成员移动设备（如台式机、笔记本电脑、 平台设备和智能手机等）， DISA 联合陆军开展了“统一能力（UC）”项目，  以提高部队行进间的数据访问能力和安全水平，建立新的指挥控制方式。

思科、苹果、亚马逊等多家公司组成联盟， 共同开发基于云迁移技术 的“机动任务”系统，提供以云为中心的数据共享功能，同时确保机密信 息的安全性。该系统将商业设计的本地应用程序优势与安全云结合，允许 本地应用程序快速技术升级；基于新算法、特定编码、强化加密、标准化 IP  协议和虚拟化安全性，允许前沿部队在作战中使用移动设备进行跨平台 安全访问；使用通用网络界面，在移动设备上扩展更安全的云可用性。目 前，“机动任务”正将其云访问方案与军事设备联网， 旨在借鉴“软件开发 套件”（ SDK）， 以提高云环境的安全性。

三、美军云服务提供商

美军持续以招标采购的方式，由云服务提供商为美军构建安全的云环 境。当前，美军云服务提供商多数由大型 IT 公司承担，包括亚马逊 AWS、 微软 Azure 、谷歌云 GCP 、甲骨文等公司。

（一） 亚马逊 AWS 是美军云服务提供商的主导者

1.产品介绍

亚马逊 AWS 公司是资历最久、最成熟的云服务提供商， 约包含逾 200 种产品及服务， 可提供自动安全评估、密钥管理、 Web  应用防火墙和身份 管理等功能。亚马逊AWS通过安全防火墙和细粒度身份访问和管理（IAM） 提供隔离， 通过AWS Inspector 提供漏洞评估、 API  活动监控， 通过 Guard Duty  进行威胁情报及数据丢失预防。

2.产品优势

（1）拥有最高级别信息影响等级授权资质

当前，亚马逊 AWS 公司在全球云基础设施中拥有统治性的市场份额， 同时拥有美国防部最高级别的信息影响授权(IL6)资质。该资质进一步巩固 了亚马逊 AWS 行业主导者的地位， 美国防部可更方便地将 AWS 用于各种 IT 服务。当前，国防部已使用 AWS 托管关键数据、关键任务工作负载，支 持国防部关键任务保护数据安全。

（2） 占据政、军、情三界云服务的主导地位

亚马逊AWS公司产品完成了在政务、军队、情报三界市场的产品布局， 能够满足各类业务工作负载服务，包括非密、敏感、秘密和绝密的数据分类，并在当前的云市场中占据主导地位。如亚马逊 AWS 公司提供的 AWS  GovCloud、AWS GovCloud High 域等多个产品通过了美国政府的安全认证， 并在政府部门投入使用；AWS Secret Region 服务专门满足美国情报部门的 计算需求，可以运行机密级别的工作任务。

（3）云安全是 AWS 产品的最高优先等级

亚马逊 AWS 将云安全及云应用安全视为头等大事，其利用大量经验及先进工具， 不断完善平台整体成熟度和规模，维护底层云基础设施的安全。

其安全产品具有如下特点：

·数据传输加密。用户与数据中心、云平台间的数据传输默认加密，弹性云计算（EC2）加密数据通过 256 位 AES 加密， 而加密密钥采用定期变化的 master key 加密。

·内置防火墙。Amazon VPC、AWS WA 产品都内置网络防火墙或web 应用防火墙，可创建私有网络以实现对应用和实例的访问控制。

·灵活的密钥管理选项。亚马逊AWS Key Management Service 提供灵活的密钥管理选项， 用户可自由选择密钥管理主体， 同时满足用户 的合规性要求。

3.与美军相关合作

2021 年 3 月，亚马逊和微软公司签署合作研发协议，旨在协助 DISA 云计算计划办公室开发一套“基础设施即代码”（IaC）模板，以在微软 Azure 云中构建标准环境，加快国防部对云的采用。

2020 年 11 月，中央情报局（CIA）授予亚马逊、微软、谷歌、甲骨文和 IBM 五家公司“商业云企业（C2E）”合同，寻求采购基础云服务， 包括基础设施、平台和软件即服务功能以及其他专业服务。

（二） 微软 Azure 是美军云服务提供商的竞争者

1.产品介绍

微软 Azure 基于 Microsoft 软件和业务应用程序，通过多层安全机制对 数据中心、基础设施进行保护， 提供简单、实用、快速的产品及服务，以期保护用户的业务资产和数据。微软 Azure 依照基础设施即服务(IaaS)和平台即服务(PaaS)两个模式， 提供从后方到战术前沿的企业级商用云服务。

2.产品优势

（1）侵略性的军方合作伙伴关系

微软在美国防部IT领域拥有侵略性的合作伙伴关系。在2019年 12 月， 微软 Azure 的政府机密产品已获得国防部信息影响等级 6 的临时授权， 以 及情报界托管机密秘密工作负载所需的其他标准。除此之外，微软作为国 防部的技术支持方，还为多个军种提供托管服务、信息系统服务、计算机设备更新升级服务等。

（2）加速扩张的云安全服务

从 2018 年开始， 微软即推动“智能云+智能边缘”理念作为公司单一 架构战略的自然延伸。微软选择了“超规模(hyperscale)云提供商”的定位，提供横跨身份、数据、应用开发、安全和边缘管理等服务。同时，为迎合 国防部 IT 现代化的需求， 微软还与 AT&T 公司合作开发并部署便携式数据中心， 利用 AT&T 公司的 5G 网络连接赋能 Azure Stack 混合云环境。

（3）产品专注内生安全

与亚马逊 AWS 产品的隔离性优势不同， 微软 Azure 将其重点置于中央安全系统内， 实现单一目录控制整个系统。其安全产品具有如下特点：

·服务默认最小安全配置。微软 Azure 建立虚拟网络和虚拟机的时候，所有的端口和协议都是开放的。

·中心化功能。支持为所有云用户提供跨区域的控制台与 API 情况的活动日志， 同时 Azure 安全中心(ASC)  允许子订阅级别的访问。

·AI 赋能安全分析。Azure 可每天分析 6.5 亿条威胁信息，AI 驱动的安全分析技术使威胁检测与响应更加智能、快速， 用户的安全运营 现代化。

3.与美军相关合作

2018 年 5 月，微软与情报界签订一个为期六年、金额达数亿美元的意 向合同， 微软将通过与戴尔公司的一个联合企业授权协议，向情报界的 17 个局级机构或部委下属专业单位提供从 Azure 政府云、 Office 365 美国政府 版到 Windows 10 的全部微软云计算产品组合。

（三） 谷歌云 GCP 是美军云服务提供商的创新者

1.产品介绍

Google 云平台由不同的服务和解决方案组成，提供的产品超过 50 种。如全球基础设施安全方案采用层次化递进设计， 为全信息处理生命周期提 供安全保障；Google Security Command Center 提供集中式可见性与控制，使客户能够发现错误配置与漏洞、监测合规情况和检测威胁；BeyondCorp  Enterprise 零信任平台提供身份与访问控制措施等。

2.产品优势

（1）基于强安全基础

谷歌云 GCP 采用了信息系统安全师公共知识体系(CBK)分类法，确保 CBK 中的安全问题得到解决。同时，谷歌云 GCP 还将其安全扩展到了应用层，在应用层、基础层等不同层次间使用其数据中心专有专利强化了安全属性。如谷歌云 GCP 采用安全的硬件基础设施、存储服务、身份服务和网 络通信，为用户服务提供了深度防御架构。

（2）专注安全边界变化

在身份和数据安全成为两大重要安全新边界的时代，谷歌身份与访问 管理可几乎提供客户需求的所有功能，包括细粒度访问控制、多因子身份验证、单点访问等。同时，为保障数据安全， 谷歌云 GCP 数据采用默认加密方式，开放了数据丢失防护应用程序编程接口( DLP API )以供客户发现、 分类并保护敏感数据。

（3）专注安全创新

谷歌 GCP 作为较新的云服务平台， 不断利用谷歌的创新能力成为云服 务商的创新者。同时为扩展安全覆盖面， 谷歌还与微软、甲骨文等公司签 署合作协议。如谷歌 2017  年发布了 5  款安全产品， 覆盖谷歌多项技术及 GCP；2018 年发布虚拟机(VPC)服务控制、访问透明性、云盔( Cloud Armor )、 DLP API  等 20 项安全产品。

3.与美军相关合作

2021 年 5 月，美国防创新单元（DIU）与谷歌云达成合作意向。谷歌 云将构建多云安全网关， 保障国防部在访问商业云服务时的安全和控制能 力， 且访问过程不影响性能和可用性。谷歌云安全解决方案包括网络监控、审计跟踪， 将由谷歌云控制台管理， 但允许国防部跨不同云服务（如 AWS、 Azure）运行服务和应用，支持移动和远程办公场景。

四、结 语

安全保密对军队来说至关重要，相对于快速部署、资源调度、海量数 据处理和大规模消息通信等技术，云计算的安全问题在军事应用方面更加 突出。为此，美军通过发布云计算安全控制相关政策、明确安全管理机构 职责、实施云服务和云服务提供商安全评估、制定安全要求和控制办法等 措施推动商业云在国防领域的安全应用。随着云计算在美军的不断发展及 其应用的日益深入，商业云将成为美军信息化建设的“助推器”。

声明：本文来自信息安全与通信保密杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。