编者按
美国陆军第112信号营指挥官瑞安·肯尼、陆军特种作战司令部G6首席信息官保罗·斯帕克斯及陆军系统集成官员韦维尔·威廉姆斯联合撰文提出迈向战术云的九个步骤。
文章称,美国防部正在考虑采用云解决方案并为战术指挥控制系统实施零信任原则;战术云解决方案的部署将提高灵活性、可扩展性和互操作性;战术云解决方案还可以通过快速部署、容器化安全措施和相对较低的成本来支持任务伙伴环境;战术云解决方案的部署有可能统一美国防部内的数据结构和网络;为了在机器速度决策可能最重要的未来冲突中战斗并取胜,美国防部需要开始为战术指挥控制系统采用云解决方案。
文章提出,云解决方案能够提供的优势包括:一是使得美国防部可以根据需要添加或删除计算和数据存储资源,更加敏捷地部署新功能以快速响应不断变化的需求;二是提供了即插即用的容器化环境,使得各机构可以在其中快速安全地部署和拆除存储、服务器和服务;三是使得美国防部可以管理可定制的、片断的任务合作伙伴环境,并在启用零信任原则的情况下精细管理设备、资源、应用程序和数据;四是使得美国防部可以更快地部署应用程序和服务;五是可以消除对物理基础设施和人员成本的需求,同时促进跨多个部门和服务的资源共享,从而降低与基础设施和维护相关的一些成本;六是可以改善用户体验,使得用户能够从任何位置和设备访问数据和应用程序。
文章提出,美国防部需要通过九个步骤来提供战术云服务:一是确定战术云环境、战术C5ISR任务指挥系统和数据所有者的利益相关者和批准机构;二是确定各单位所需战术数据和工作负载的类型并确定优先级,并将总部迁移至云端;三是在设计战术云解决方案时,考虑美国防部、联盟和任务合作伙伴间统一战术网络和联合数据结构的整体需求;四是评估不同云服务提供商的安全能力,并选择满足美国防部安全要求的供应商;五是制定全面的安全计划,定义保护云中数据和工作负载的措施,包括访问控制、数据加密和事件响应协议;六是实施零信任、多因素身份验证和其他安全控制,以确保仅授权用户才能访问敏感数据和系统;七是与云服务提供商合作,建立清晰的沟通渠道和事件响应协议;八是通过更新的业务流程、C5ISR治理模型和培训来推进组织实施;九是解决与用户威胁、网络攻击、数据泄露以及合规性问题相关的云环境监督挑战。
奇安网情局编译有关情况,供读者参考。
美国防部正在考虑采用云解决方案并为战术指挥控制系统实施零信任原则。战术云解决方案的部署将提高灵活性、可扩展性和互操作性。此外,上述解决方案还将支持任务合作伙伴环境的开发,并帮助国防部实现具有联合数据结构的统一网络。
云环境的好处有据可查。云解决方案具有可扩展性和弹性,这意味着美国防部可以根据需要添加或删除计算和数据存储资源。美国防部可以采用云解决方案变得更加敏捷,并部署新功能以快速响应不断变化的需求。
云解决方案提供了即插即用的容器化环境,各机构可以在其中快速安全地部署和拆除存储、服务器和服务。这使云解决方案成为建立具有不同访问控制和密级需求的任务合作伙伴环境的理想选择。美国防部可以使用云来管理可定制的、片断的任务合作伙伴环境,并在启用零信任原则的情况下,提供精细的设备、资源、应用程序和数据管理。
美国防部可以通过战术云更快地部署应用程序和服务。云提供了通用的应用程序协议接口(API),可以更轻松地在软件定义网络中集成新应用程序和自动化数据线程。这些API使开发人员能够快速向其应用程序添加新特性和功能。云服务通常提供全面的归档和支持,使开发人员更容易使用其服务。通过公共云环境,可以更轻松地实现统一网络和数据结构。
云解决方案可以消除对物理基础设施和人员成本的需求,同时促进跨多个部门和服务的资源共享,从而降低与基础设施和维护相关的一些成本。从长远来看,将这些资本投资成本从政府拥有的实体转移到商业实体可以减少美国防部预算的开销,并为其他指挥、控制、计算机、通信、网络、情报、监视和侦察(C5ISR)投资腾出空间。
云解决方案还可以改善用户体验。云解决方案使得用户能够从任何位置和设备访问数据和应用程序。开发美国防部战术云环境将使战术网络组合和最终用户设备通过商业蜂窝和互联网连接访问云托管应用程序成为可能。这将增加可用性和访问权限,同时提供新的战术用例。
以下步骤可以帮助美国防部提供战术云服务。
步骤一:确定战术云环境、战术C5ISR任务指挥系统和数据所有者的利益相关者和批准机构。谁承担任务风险最终将决定谁获准使用战术云。同样,各种利益相关者开发、操作和维护任务指挥系统。最后,流入和流出战术边缘的数据可能不仅仅存在于战术云环境中。通过美国陆军“融合项目”(Project Convergence)系列等活动与这些合作伙伴合作是解决集体C5ISR现代化和集成问题的好方法。
步骤二:确定各单位所需战术数据和工作负载的类型并确定优先级,总部应迁移至云端。首先确保它们适用于云环境。如果应用程序不是云原生的,则必须首先将其容器化并在云环境中进行测试。一些应用程序和服务可能不适合云。同样,许多业务流程应用程序不需要驻留在战术云环境中。用户的工作配置文件可以保持一致,但会根据他们当前扮演的角色而有所不同。
步骤三:在设计战术云解决方案时,考虑美国防部、联盟和任务合作伙伴间统一战术网络和联合数据结构的整体需求。让网络和数据工程师及早参与战术云解决方案的开发,有助于确定影响云工程的约束和限制。应在整个设计过程中解决跨域解决方案、数据共享限制和消息兼容性需求。此外,在网络连接可能面临拒止、断开连接、间歇性或带宽受限环境的战术环境中,云托管数据和工作负载可能不合适。在这种情况下,可能需要考虑云服务的前沿计算。
步骤四:评估不同云服务提供商的安全能力,并选择满足美国防部安全要求的供应商。美国联邦风险和授权管理计划(FedRAMP)计划管理办公室实施联邦风险和授权管理计划。该计划根据《美国联邦信息安全现代化法案》和美国行政管理和预算局(OMB)通告A-130(标题:将信息作为战略资源进行管理)提供了一种标准化的云服务产品安全授权方法。根据这些要求,考虑企业合作伙伴和美国防部机构必须在各自的风险管理框架内运作的角色和责任。
步骤五:制定全面的安全计划,定义保护云中数据和工作负载的措施。该计划应包括访问控制、数据加密和事件响应协议。网络安全监督并没有在云环境中结束。它必须扩展到传输、网络和最终用户设备,云数据和工作负载最终将通过这些设备传输。战术云解决方案可能会交付给最终用户设备。因此,适当的安全措施必须识别这些相关风险并制定适当的控制措施。
步骤六:实施零信任、多因素身份验证和其他安全控制,以确保只有授权用户才能访问敏感数据和系统。设备及其战术云应用程序的合规连接可以限制风险。此外,通过零信任管理用户配置文件不仅通过控制用户可以看到的应用程序、服务和数据来降低风险,而且还提供了开发任务合作伙伴环境的新方法。最后,在战术云环境中,零信任协议的使用可以限制网络和环境中横向移动的风险,从而在其他风险管理控制失败的情况下降低潜在的网络风险。
步骤七:与云服务提供商合作,建立清晰的沟通渠道和事件响应协议。在军事危机时期使用战术云解决方案需要私营和公共机构间的合作。如果发生安全漏洞或其他问题,美国防部机构将需要与行业合作伙伴密切协调。它们必须建立标准以确定事件的严重程度和适当的响应措施。美国防部应为国防部和云服务提供商人员建立一个安全且专用的通信平台,以讨论事件、共享信息和协调响应活动。此外,各方都应制定预先制定的事件响应计划,其中概述在事件期间必须遵循的特定角色、职责和流程。
步骤八:组织实施将需要更新的业务流程、C5ISR治理模型和培训。云解决方案的使用将使跨员工职能的新用例成为可能。随着新用例的出现,将会发生中断,并且业务流程将需要修改。此外,正如不同网络的管理需要审批官员间的共同协议一样,云解决方案的使用也将如此,特别是在战术环境中。最后,美国防部用户将需要培训来交付和管理云基础设施并管理其在这些解决方案中的驻留。
步骤九:云环境的监督必须解决几个挑战。如果美国防部采取所有必要的预防措施来开发安全的云解决方案,那么总会有一些风险。这是因为不可能消除所有潜在的安全威胁或漏洞。即使在美国防部采取措施保护其云环境之后,一些主要风险可能仍然存在,包括:
●用户威胁:有权访问敏感数据或系统的用户可能有意或无意地危及安全。这可能是由美国军事人员或任务伙伴造成的。除监控云环境中的用户外,还应考虑端点检测和响应(EDR)措施以减轻最终用户设备的威胁。通过在端点遏制危险,EDR有助于在危险传播前将其消除。将主动监控工具集成到现有的美国防部网络安全监督措施中可以帮助降低这些风险。
● 网络攻击:黑客可能试图通过技术手段或利用系统中的漏洞来获得对云环境的未授权访问权限。战术云环境的网络安全监督应包括多种措施,例如实施强大的身份验证和访问控制措施,利用加密技术保护传输中和静态数据,以及实施全面的事件响应计划。此外,美国防部应该对用户进行最佳实践教育,使用自动化工具检测和响应恶意活动,并部署补丁管理流程。
● 数据泄露:敏感数据可能因人为错误或系统故障而无意中被暴露或访问。为减轻这些风险,美国防部应制定全面的数据安全政策,实施强有力的访问控制措施,并启用漏洞扫描和补丁管理。此外,美国防部必须监控系统是否存在可疑活动并部署自动日志记录系统来跟踪用户活动,同时制定概述在发生泄露事件时应采取步骤的数据泄露响应计划。
● 合规性问题:美国防部可能需要遵守管理敏感和机密数据的使用和保护的相关法律、法规或政策。美国防部必须确保敏感数据在适当的位置安全存储和加密。这可能包括使用基于云的存储解决方案或本地数据中心。此外,美国防部必须确认只有授权人员才能访问和共享敏感数据。这可能包括实施访问控制和数据共享政策。开发和部署任何战术云解决方案的核心原则都与数据的正确标记和分类有关。此过程的自动化程度越高,就越可能实现适当合规性。
战术云解决方案的部署有可能统一美国防部内的数据结构和网络。上述解决方案还可以通过快速部署、容器化安全措施和相对较低的成本来支持任务伙伴环境。为了在机器速度决策可能最重要的未来冲突中战斗并取胜,美国防部需要开始为战术指挥控制系统采用云解决方案。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
