云计算是美军联盟联合全域指挥控制(CJADC2)的使能技术之一,印太战区作为美国防部的优先战区,是美军发展本土外云能力的核心地区。本文分析了美军印太战区云能力发展策略,梳理了最新发展动向,并对印太战区云能力的未来发展进行了研判。
美军认为,全局性的国防部云环境能够为作战人员提供高对抗作战中无处不在的快速数据共享能力,同时为人工智能等前沿技术的应用提供基础,对保持美军的技术优势,进而为美军赢得决策优势至关重要。作为全球作战的远征部队,本土外云对确保美军战术边缘的信息优势尤为重要,而2019年美国防部《印太战略报告》明确提出,印太战区是美国防部的“优先战区”。因此,在印太战区建设联盟/联合作战云环境是美国本土外云能力建设的重中之重。美国防信息系统局作为美国防部云能力的主要管理部门,正与各军种一起积极推进印太战区的云能力建设,目标是将美国本土的计算能力成功部署在本土外,为美国本土以外地区提供更好的数据访问服务,为美军在印太战区的军事行动及其与任务伙伴开展的联盟作战做好准备。
1 印太战区云能力发展策略
与美国本土云相比,印太战区云环境往往需要更高的安全性和合规性,对性能、数据入口/出口有更严格的要求,美国防部现有的“联合作战云能力”(JWCC)无法完全满足印太战区作战任务的具体需求。因此,美国防信息系统局正在印太战区探索私有云、公有云等多层面、多维度、多安全级别的“定制化混合云”解决方案。除全局性企业云外,鉴于不同军种的特定云需求,美国防部同样支持各军种在印太战区探索满足自身需求的云解决方案,开发军种专用的云选项。
图1 DISA云解决方案
2 印太战区云能力发展动向
2.1部署“定制化混合云”解决方案,满足印太战区作战需求
(1)持续更新私有云“层云”(Stratus),支撑印太地区保密云服务
“层云”是美国防信息系统局于2022年前后启动的私有云解决方案,主承包商为亚马逊公司。“层云”项目的目标是提供与“联合作战云能力”相同的参数集,并最终取代军事云2.0(milCloud·2.0)。美国防信息系统局2023和2024财年分别在“层云”项目上投入5300万和6100万美元,近两年的预算数据未见披露。“层云”也是美国防信息系统局与印太司令部合作开展的首个云项目,它通过自助式按需 Web门户提供快速、韧性的资源共用和广泛的网络访问能力,能够为计算、存储和网络基础设施提供多租户、自助管理功能,具体功能包括:
所有美国防信息系统局提供的云能力和服务产品;
基于Web的自助服务评估、订购、计费和维护服务;
通过充分冗余的高可用性环境支持初始开发功能;
影响等级2至6级(非密IP路由网和保密IP路由网)认证的风险管理框架(RMF)运营授权(ATO);
安全的美国防部身份验证访问环境;
灾难恢复(DR)和运行计划连续性(COOP)功能;
对象存储和专用主机服务;
基础设施即服务(IaaS)用户的漏洞管理服务、Cloud Plus云基础设施管理服务、认证网络安全服务提供商服务、工程服务和日志记录服务等可选服务。
相比“联合作战云能力”,“层云”通常可以为大型数据库的托管提供折扣较低、性价比更高的云服务。此外,“层云”能够作为“联合作战云能力”解决方案的一种补充,用户可以选择“层云”作为某些高带宽应用程序的私有云,同时将数据存储在公共云中。
2023年8月,美国防信息系统局宣布“层云”已在夏威夷的珍珠港-希卡姆联合基地部署。当前,美国防信息系统局正在升级“层云”,美国防信息系统局混合云代理人办公室正在从任务伙伴那里获取需求,了解任务伙伴所拥有的数据并确定数据应该存储的位置,那些应该存储在私有环境中的工作负载后续将被迁移进“层云”。
(2)在“联合作战云能力”框架下推进“联合作战边缘云”(JOE),加快任务伙伴数据访问
美国本土以外的网络连接往往速度慢或不稳定,这意味着将重要的任务数据发送给合适的人员需要更长的时间。然而,在与任务伙伴共同执行关键任务时,数据共享方面的性能下降是不可接受的。因此,任务伙伴需要将最关键的应用程序托管在离他们更近的地方,从而减少传输延迟。为了实现这一点,美国防信息系统局于2023年启动了部署于美国大陆之外的“联合作战边缘云”项目。“联合作战边缘云”属于“联合作战云能力”的公共云,谷歌、微软、亚马逊和甲骨文这四大云服务提供商都将设置联合作战边缘云。任务伙伴的关键任务工作负载数据将被推送到这些联合作战边缘云节点,使联盟部队能够更快地利用这些数据。
经过一年的发展,美国防信息系统局已经在印太战区设立了多个“联合作战边缘云”节点。2024年8月,美国防信息系统局宣布正在将首批任务负责人 纳入“联合作战边缘云”环境,并计划在日本部署“联合作战边缘云”节点。
2.2 构建任务伙伴云环境,实现与盟友以数据为中心的多边协作
根据2020年的资料,印太战区每天有二十多个国家需要与美军共享敏感指挥控制数据。为加强美军与盟友在印太地区开展联盟作战所需的指挥控制能力,美国防部正在建设基于云的联盟数据共享环境,近年来的主要举措包括:
(1)构建任务伙伴环境(MPE)的数据共享框架,连接印太战区计算环境
任务伙伴环境是一个致力于联盟作战的云平台,支持美军与盟友在共同身份认证和通用安全标准下开展实时在线交谈、电子邮件交流、文件共享和情报协作等活动。截至2024年6月,任务伙伴环境利用多飞地客户端(MEC)技术,已在印太战区成功集成了基于印太司令部网络的约1万7千个隔离且受保护的计算环境,为快速信息交换与分析奠定基础。多飞地客户端基于超融合(hyper-converged)基础设施和私有云架构,通过虚拟基础设施将任务伙伴环境的所有元素,包括应用程序,数据,云,应用程序接口,流程,聊天、语音和视频设备连接起来,将孤立的数据、重复的信息和分离的网络整合到一个以数据为中心的单点登录信息域中,在几天内即可快速形成联盟环境。
美军印太战区三大融合中心(反恐信息组织、太平洋融合中心和印太海上协调中心)均使用任务伙伴环境的战场环境分析与计算模型评估能力来分析跨国威胁并推断有害行为模式。
(2)发展“印太司令部伙伴网”(IMN),由“双边”为主的数据共享模式向“多边”转变
美国自二战后在亚太区域(印太战区概念于2013年前后提出)主要推行双边合作的网络机制,因此,多年来美印太司令部与日本、韩国、澳大利亚等20余个国家之间均开发了专属的双边军事任务系统网络。随着美军对壮大联盟力量的需求不断增强,双边合作为主的模式已不适应其任务要求,美军迫切需要为印太战区二十余个国家建立一个一体化的作战网络。2024年11月,美印太司令部宣布将在2025年把20多个双边任务网整合为单一网络以强化合作效率,新开发的多边一体化网络称为“印太司令部任务网”(IMN)。
“印太司令部任务网”的私有云基础设施采用云原生设计原则,利用了Kubernetes和Istio等商业最佳实践,未来将较容易与商业或政府云服务进行集成。“印太司令部任务网”能够在现有基础设施内安全且自动扩展,为从主要岛屿上的大型设施到战术资产或前沿位置上的小型分布式处理中心提供云服务,在需要时能够平稳过渡到混合云环境。
2.3 部署针对军种特定需求的专用云原型系统,实现军种内跨密级的数据传输
为满足不同军种的特定云需求,美国防部支持各军种积极开发并在印太战区部署针对军种作战行动特点的本土外云原型系统。
美陆军已在印太战区部署首个云系统,并持续试验云访问能力。2022年1月,美陆军在印太战区部署军种首个本土外云系统,该系统是使用本地数据中心和商业云服务建立的混合云系统,旨在为多域特遣部队和华盛顿州刘易斯-麦科德联合基地提供战术云功能,以便为多域作战做好准备。美陆军采用以数据为中心的方法将应用程序迁移到云中,同时收集这些应用程序和系统中的数据,其目标是利用应用程序接口(API)驱动的架构来构建未来指挥所计算环境并最终能够提供军团级的通用作战图。近年来,美陆军持续验证印太战区的云访问能力。2021年,美陆军与印太司令部合作组建的多域特遣部队在“太平洋守卫者”等演习开展战术边缘云计算试验,重点针对“反介入/区域拒止(A2/AD)”网络。2023年3月,作为“能力集 25”的内容,美陆军在太平洋地区开展强化网络的试验和试点工作,以提升云访问的能力,为未来增强基于云的任务式指挥和分布式指挥提供共享数据。2024年6月,在印太战区举行的“英勇盾牌2024”演习中,持久系统公司的Wave Relay移动自组网和云中继(Cloud Relay)网络提供的云服务,使固定和机动作战中心的指挥官、战术边缘的部队均能跟踪空中轰炸机和战斗机、地面部队和海上船只。指挥官们能够在夏威夷、关岛和第一岛链迅速开展协同作战行动,将联合火力网络的响应时间从几分钟缩短到几秒钟。
图2 美陆军在阿伯丁试验场展示指挥所计算环境原型
美海军积极试验印太地区“云上舰”能力。据美国数据中心动力网2024年6月19日报道,美海军首次验证了运行中的航母接入云服务的能力,该项目名为“最高速边缘”(Flank Speed Edge),是海军“最高速”(Flank Speed)云环境项目在战术边缘的延伸。美海军在“林肯”号上安装了千兆带宽的卫星链路终端和wifi基础设施,在太平洋航行的“林肯”成功通过扩散式近地轨道卫星(P-LEO)组建的mesh星座网络连接至云端,传输速率达到每天3 TB-5 TB,不仅为海军提供了海上的高速连接能力,未来还将极大地改进舰载软件的升级和更新模式。
美空军基于先进作战管理系统数字基础设施发展印太战区云原型系统。2021年5月,空军调整先进作战管理系统(ABMS)发展路径,将发展重点转移至研制数字基础设施,聚焦安全处理、连通性和数据管理三大领域,其中安全处理重点开发和部署由商业云和战术云组成的多级安全多云环境,提供安全的计算和存储能力。2022年12月,美空军宣布将在6个月内开发出本土外云样机并部署太平洋地区,但后续未见相关部署报道。根据2025财年计划,美空军将继续完善本土外云系统,实现更多类型数据的跨密级传输,并开发和托管云原生应用;改进美国本土外云与现有云之间的连接;使可用数据能够在先进作战管理系统的多级安全云环境中发布、处理和传输。
美特种作战部队在印太战区部署战术云任务网络。美太平洋特种作战司令部于2022年底推出基于云的商业企业战术任务网络试点计划,旨在增强特种作战部队在印太战区的隐身性、敏捷性和杀伤力。该网络为印太战区特种作战部队及任务伙伴提供了共享地图、非密蓝军跟踪数据、聊天、语音、照片和视频等服务,作战人员通过快速响应码(二维码)即可访问网络。根据2022年11月的报道,该网络已在印太战区17个不同地点部署并提供服务,最新发展情况未见报道。
2.4 新研“奥林匹斯”托管云环境,助力任务伙伴建立并管理云环境
对于云能力较欠缺的任务伙伴来说,建立云环境并非易事,涉及处理企业网络连接、服务器运行所必需的通用服务、安全和授权等问题,这些云用户往往很难迅速成功搭建云环境。为帮助难以设置和管理商业云环境的任务伙伴降低进入云的门槛,2024年3月,美国防信息系统局宣布了一项名为“奥林匹斯”(Olympus)的托管云环境项目,以美国防部“基础设施即代码”(Cloud IaC)提供的功能为基础,为任务伙伴提供核心云服务和管理支持,减轻任务伙伴在管理云方面的负担,确保其云环境安全合规。“奥林匹斯”将部署在四大商业云服务提供商——谷歌、亚马逊、微软和甲骨文的云环境中。
“奥林匹斯”目前处于试点阶段,分为两个级别:第一个级别提供能够运行云环境所需的所有基本服务,包括域名系统(DNS)、域名系统缓存、网络时间协议等;第二个级别提供托管服务,由美国防信息系统局为用户管理整个云环境,通过对应用程序进行容器化和微服务化实现云互操作性,即能够根据任务需求,在公共云和私有云之间或云服务提供商之间无缝移动工作负载。“奥林匹斯”与“层云”互连互通,使印太战区的用户能够轻松地将应用程序的商业云实例与私有云实例集成,无需单独部署托管基础设施或网格(mesh)网络就能够实现混合云应用程序部署。
图3 “奥林匹斯”项目架构
2.5 开发本土外云原生接入点,增强印太战区广域网数据保护能力
为增强印太战区云环境的数据保护能力,美太平洋空军于2023年5月开始实施零信任架构(ZTA)探路者计划,为印太战区广域网设置零信任网关并引入云原生接入点(CNAP)。美太平洋空军目前正在夏威夷的珍珠港-希卡姆联合基地开发零信任网关和云原生接入点,将整个战区内的前沿部队和美国本土的云环境连通,在将数据传输给作战人员的同时阻止、干扰或阻碍中国“获取”这些数据的能力。
云原生接入点是一个虚拟的互联网接入点(vIAP),使作战人员无需通过托管在国防部信息网络(DoDIN)上的云接入点就能够灵活方便地访问托管在商业云环境中的国防部资源,将商业技术安全地集成到军事通信基础设施中,能够显著提高数据传输能力。
美太平洋空军的云原生接入点/零信任网关的组件包括网络基础设施、应用程序网关和网络微分段(network microsegmentation)应用。网络微分段应用通过更精细地划分用户和网络,建立基于角色的数据级访问权限,通过判断是否有人试图窃取数据来实现前所未有的数据保护强度。
3 未来发展
3.1 进一步扩大“定制化混合云”解决方案部署范围
鉴于云能力的复杂性,不存在“一刀切”的解决方案,美国防信息系统局将继续开展多项云能力开发工作,以深入了解和探索哪种方案最适用于印太战区的具体情况。在未来几年内,美军计划将来自更多任务伙伴的工作负载迁移至“层云”,同时将更多的美国防部任务负责人纳入“联合作战边缘云”环境,并在印太战区增加“联合作战边缘云”节点的部署数量。此外,预计美国防部会继续鼓励各军种开发并部署军种专用云解决方案,以满足各军种特定的云需求。
3.2 将“层云”、“联合作战边缘云”等云环境与任务伙伴环境相连
“层云”、“联合作战边缘云”等云环境目前尚未与任务伙伴环境相连。根据美国防信息系统局于2024年5月发布的《美国防信息系统局下一步计划》(“DISA Next”)战略和美国防部2024年6月发布的《支点:美国防部信息技术推进战略》规划,美军迫切需要加强与任务伙伴的数据共享能力以及更好地与联盟环境进行整合。因此,“层云”、“联合作战边缘云”等云环境在未来与任务伙伴环境相连通的可能性极大。
3.3 加强与盟友及合作伙伴的“多边”云环境建设
在美盟印太战区“双边”战术网络模式下,如果美国与日本正在基于美日双边网络开展联合行动,而澳大利亚需临时加入,则美军需使用两种不同任务系统分别与日本、澳大利亚进行协作,美日与美澳两个网络之间需要手动转移数据才能实现互连。美军认为,这种“双边”协作模式无法应对与中国未来的潜在冲突,必须将“双边”扩展为“多边”联盟云环境。印太司令部将在近两年内建成一个可以容纳所有或至少大多数印太合作伙伴的网络,这一举措将极大地强化美军与盟友在印太战区的联合安全态势和军力辐射能力。
3.4 推进“零信任”安全架构的应用以加强数据级防护
美国防部云环境以往采用以基于云访问点的边界防护方法来保障安全性,这种方法主要加强防御攻击的外围边界。然而,联盟始终处于形成、演变和解散的动态变化中,不可能要求所有相关的网络都兼容、所有连接的设备都安全。因此,边界防护方法无法完全满足印太战区云的安全性要求。为解决这一问题,印太战区将逐步采用以数据为中心的网络安全模型——“零信任”架构。该架构的核心是数据级安全,围绕“从不信任,总是验证”的原则构建,能够在确保印太战区数据安全的同时,提供开放性和灵活性,将成为印太战区云环境采用的首要安全准则。
声明:本文来自防务快讯,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
