2019年2月4日,美国国防部网站公开发布了《国防部云战略》。

  • 国防部网站(2019.2.4)

  • https://media.defense.gov/2019/Feb/04/2002085866/-1/-1/1/DOD-CLOUD-STRATEGY.PDF

前言

美国国防部(DoD)已经进入了现代战争时代,战场既存在于现实世界,也存在于数字世界。数据和我们随时处理数据的能力是确保任务成功的关键。云计算是全球基础设施的一个基本组成部分,它将为作战人员提供数据,对保持我们军队的技术优势至关重要。

美国国防部的云战略重申了我们对云的承诺,以及从全局的角度看待云计划并更有效的使之发挥作用的必要性,总结了过去五年的经验,确定了七项战略目标以及制定前进道路的指导原则,调任务和战术优势的需要,以及为人工智能做准备的要求,同时考虑保护和效率。

本战略推动全局性云环境的实现,这是一个由通用云组成的生态系统。它通过两种基本类型的工作得以实现:第一种是准备好接收数据和应用程序的云平台;第二种是正在进行迁移的现有应用程序,以及在云中开发新应用程序。

本工作是国防部的优先事项。在我们执行这一战略时,我们将继续寻求国防部所有部门的积极参与和承诺,以实现我们在21世纪战场上通过云计算获益。

1.战略环境

“如果我们不能以相关的速度适应,那么我们的军队将失去二战以来我们所享有的技术和战术优势。“

——国防部长詹姆斯·马蒂斯

信息对美国的国家安全至关重要,对了解新威胁、在全球投射力量、开展行动、支持外交努力和保持全球经济活力的能力至关重要。美国国防部(DoD)拥有多个分布全球的信息系统,它们有的建立在现代化信息基础设施之上、有的建立在传统基础上,且都是脱节的和“烟囱式”的,这导致了一系列问题,影响了作战人员、决策人员和国防部工作人员组织、分析、安全、扩展,并最终利用关键信息作出及时的、数据驱动决策的能力。国防部在很大程度上受困于人力、物力、技能、不断上涨的采购经费压力、不断增加的存储和计算能力要求以及承包过程。而网络空间领域的竞争日益激烈。为了保持美国的战略优势,需要为作战人员和支持他们的部队提供适当的能力和技术以取得成功。

有鉴于此,商业界在处理类似挑战方面取得了重大进展。商业云计算是一种基于订购的服务,提供基于网络的存储和计算资源。它允许用户通过互联网存储和访问数据和程序,而不是在本地计算机硬盘上。它还允许用户随时随地访问信息,有效地消除了将用户与存储数据的硬件捆绑在相同物理位置的必要。国防部必须充分利用这项技术。

1.1 信息技术的效率和安全性不足

国防部的物理信息技术(IT)基础设施是基于“最大使用”理念采购的。换言之硬件应当支持最大预期需求,不论此情况发生的频率有多低。这导致采购的大多数物理信息基础设施在多数时间处于空闲状态。商业云基础设施的工作方式不同,它可以动态伸缩以支持资源需求,并且只支付实际使用的费用。在大多数情况下,系统可以缩小规模以支持最小的流量。

由于拥有和操作与现场数据中心有关的物理硬件,国防部可能承担不必要的安全风险,并为此分流本应用于支持作战和其他任务的工作人员和其他资源。而过于严格的政策和采购程序,使国防部难以确保硬件和软件得到适当更新。从作战人员转移重要资源花费在物理硬件采购上也产生了负面影响,而对国防部硬件和软件的安全更新负有直接责任也是一个问题。国防部过去一直在应对信息基础设施的网络安全威胁方面受到挑战。

1.2 不同的云服务相互脱节

国防部在云计算、采用和迁移方面没有明确的指导意见,无法形成统一的指导或计划,使其难以接受现代信息技术能力,难以从商业云服务提供的效率和能力中获益,也难以跟上持续更新的技术发展速度。

缺乏指导使得部门工作效率低下,并妨碍了部门的IT现代化工作。它导致了“烟囱式”团队的不同工作、有限功能的相互脱节,各自“烟囱”里的数据无法实现规模经济优势。

1.3 缺乏云适应性

国防部已经建立了一些云,但没有被设计成联合使用。国防部必须有一个云战略,以确保应用程序在迁移到云上之前对其进行重新架构,以利用云提供的数据、安全性、弹性和应用程序优势。此外国防部应独立测试和评估云网络安全,以验证安全遵从性和事件响应,并审查所有承包商和第三方测试结果,以确保性能和安全监控是充分的。

未能“云就绪”的系统很可能会使用过多的云基础设施资源,这意味着它们的效率不会提高,而且肯定会增加实施成本。这就是为什么系统的合理化设计是至关重要的,但如果没有适当的指导,许多机构可能无法正确地完成它。

目前还没有关于如何使系统合理化设计的全局性指导,也没有关于评估系统“云就绪”情况的总体指导。这种差距进一步导致了前面提到的“烟囱式”数据行为,限制了部门共享信息的能力。这种企业范围的指导对于任何云战略(全局或局部)的成功都是必不可少的。

随着国防部持续推进独立云平台的建设工作,我们本已有限的云计算专业知识将越来越捉襟见肘。全局级云战略为优化我们对云人才的使用提供了架构。到目前为止,国防部经常依赖外部承包公司来进行这些评估,从未建立起能将我们带入未来的组织知识体系。高层决策是在没有内部技术专家作为顾问的情况下做出的,国防部必须通过在内部建立组织知识体系来投资自己的未来。

1.4 为人工智能做好准备

随着国防部着手建立一个联合人工智能中心(JAIC),它将需要一个全局级云基础设施能力。它将提供公共数据和基础设施平台,使人工智能能够充分发挥优势。

国防部已经制定了这一国防部云战略,以配合国防部更大的网络战略,加强网络和系统的安全和弹性,为国防部的军事优势作出贡献。

2 战略目标

国防部将继续依靠其从事军事行动、情报收集和相关活动信息的能力。为确保这一点,必须通过多云,多供应商的策略来解决这个独特的任务需求,包含了一个通用云,并与目标云(附录a)相匹配,为此本战略将制定如下战略目标来解决这些挑战:

•实现指数增长

•可伸缩基础设施

•主动应对网络挑战

•使AI和数据透明化

•支持一线作战人员

•利用云弹性

•推动国防部IT改革

战略目标1:实现指数增长

数据增长的速度正在加快。在过去的两年里全世界产生的数据占全部数据的90%,这一趋势已经持续了十年,并且将继续下去。但国防部在需要的时间、需要的地点访问所有这些数据的能力并没有以同样的速度发展。现代计算能力能够以机器速度访问、检索、操作、合并、分析和可视化数据,在战场上提供巨大的决策优势。为了适应不断增长的数据环境,国防部需要一个可扩展和安全的云环境,该云环境跨越国土和全球战术优势,并能够快速访问计算和存储能力,以相关的速度应对军事挑战。

国防部依靠关键情报做出重要的国家安全决策。情报信息的数量和质量一直是众多冲突的引爆点。随着原始信息产量的增加,组织、分析和分发这些信息以做出关键决策的难度也在增加。

国防部必须继续保持其在全球的战略优势。在当今世界,如果不为利用自身数据和信息系统的能力构建必要的关键基础,就无法实现这一点。意即是云计算必须做到组织、分析、安全、扩展并最终利用关键信息使其在数字时代战斗的能力。这些功能必须是无所不在的,并且对所有部门的决策者、战士和工作人员都是可用的。

战略目标2:可伸缩基础设施

通过实现可伸缩的解决方案,用户通过完全采用商业云架构的动态弹性,在执行任务功能和网络操作方面获得显著的效率提升。国防部的云基础设施将允许自动配置和卸载资源。与持续使用的传统信息基础设施相比,这提供了最佳的资产利用率,即使在需求最小的情况下也是如此。通过为所有用户提供详细的资源使用报告,这种效率还将最终改进政府的预算、计费和支付实践。这种透明性将进一步提高未来构建应用程序的效率。

此外,按使用付费的云模型将提供灵活性,以优化整个信息化投资的成本,并允许国防部适应不断变化的优先级、预算条件和行业发展。为了实现这种成本透明性,需要对应用程序的构建、数据的传输和存储方式实施强有力的治理。当我们开发、实现这些标准,并随后学习和更好地将我们的服务和数据与全局性解决方案结合起来时,我们可以使用自动化工具和技术,以便更好地跟踪云资源的实时执行。

战略目标3:主动应对网络挑战

国防部必须创建一个标准的云网络架构,以满足商业和内部的云需求,包括基础设施、应用程序和数据。还必须具备在安全和技术方面抵御环境变化的”常青“能力。

国防部将制定统一的网络安全架构,解决云计算以及机密、非机密任务和数据的需求。这些能力将被独立和频繁地测试和评估,以确保网络安全属性对发展中的威胁保持有效。

国防部必须采用内置于现代商业云提供商平台的现代化安全机制,以确保这些大量数据的安全,并保护信息。这需要将安全的焦点从网络的边缘转移到主动控制数据本身的使用。除了内置于商业云服务中的现代加密算法和密钥管理之外,适当的数据标签将允许在必要的级别上跟踪和保护数据。国防部将制定一项数据管理战略,提供有关数据的重点讨论。

除了国防部的数据安全,每个云服务提供商都将是应对网络挑战和保障云安全的重要组成部分。云服务提供商将自动扫描基础设施资源和生成的日志,这些资源和日志将用于及早识别漏洞,并在大部分企业中实现近乎实时的入侵检测和应对。随着硬件漏洞的增多以及内部威胁的增加,必须同时关注软件和硬件——它们的变化速度惊人,跟上这些变化是困难的,但跟不上步伐已经造成了重大的安全风险,而且在未来几年只会增加。对此商业云提供商再次解决了这个问题。利用软件和硬件更新的快速推广将基础设施从国防部管理的本地设施转移到云。云服务提供商能够在他们的数据中心内转移工作负载,这样更新对客户来说就是无缝的。有缺陷或漏洞的硬件不断被剔除,而软件补丁则以安全和容错的方式充满活力地应用。

虽然商业云对国防部有很多安全优势和机会,但向商业云环境的过渡也带来了新的安全挑战。从传统IT管理到托管云服务模型的转变改变了可视化和控制之间的平衡,并使其易于使用、自动化、采用前沿技术和优化其信息领域。国防部CIO负责定义云环境中的安全指南。在云环境中执行安全性的风险和责任由云服务提供商和系统所有者共享。国防部CIO将确定国防部和商业供应商之间共享网络安全责任模型的指挥和控制(C2)要求,以确保国防部信息在商业云中的C2职责的标准执行。保护云环境的特定需求将使传统的技术人员感到压力,并需要国防部提升优先的目前专业知识和专门技能。

过去,国防部信息安全主要集中在周边防护:限制外界的网络访问。不幸的是,这种模型对于商业云环境是具有挑战性的,因为在商业云环境中,数据是远程访问的,并在部署、区域之间以及从每个云服务提供者到其他数据位置(如军事设施的现场数据中心)之间共享。因此国防部将把安全重点从周边防护转移到保护数据和服务。

这一转变将首先通过对人和机器的强身份验证,以及在静止和传输过程中的安全加密机制来实现。为了便于远程访问,国防部云环境将提供内置加密技术,使组织默认加密通信。由于信息安全责任在部门及其云服务提供商之间分担,因此国防部将在所有云计算合同中设置条款,指导云服务提供商监视其云基础设施,并维护安全相关事件经由身份验证的加密日志,这些事件生成审计跟踪,并经过防篡改设计。为了解决这些新安全措施的工作人员的问题,国防部云服务供应商合同中还将包括云服务的帮助以及对员工的专业培训。

战略目标4:使AI和数据透明化

国防部必须使决策者能够使用现代数据分析技术,如Al和机器学习技术(ML),以相关的速度在该领域迅速作出关键决策,以支持致命性和提高作战效率。用于决策的算法依赖于在公共环境中组织、安全和可见的部门数据和信息。数据存储在多个不同且不连接的“烟囱”中的环境降低了部门的效率和速度。为了最大限度地发挥云计算技术的效用,必须对数据进行妥善管理,并遵循云技术加速和放大的数据池和数据中心等现代技术。

存储在企业国防部云中的数据将是高度可用的、治理良好的和安全的。这些关键的决策数据将通过现代云网络、访问控制和跨域解决方案提供给需要访问的人。公共数据标准将以信息标记、存储、访问和处理方法为关键。确保全局性云环境得以增加数据的透明性,并推动数据分析、处理和决策的速度。利用先进的商业云安全技术将确保该部的信息得到适当的保护。

商业云提供了扩展和保护存储在国防部全局云环境中的数据收集和分析的能力。这使用户能够使用关联性最大的信息做出决策。云计算的分布式特性允许更灵活的执行环境,同时提供更高的信息安全性。这允许扩展和分布数据存储库存储,同时维护安全状态,并提供通过数据协作获得任务洞察力的新机会。类似地,分析大量数据所需的计算能力可以在几秒钟内无缝伸缩。这种扩展能力将确保任务的执行不受计算和存储能力不足的阻碍,并得以建立过去无法实现的新信息模型。

战略目标5:支持一线作战人员

国防部云环境将服务于军事行动范围内的所有领域,从战场优势到后方,无论是美国本土(CONUS)或是之外(OCONUS),以及所有密级和传播方式,无论是禁止外传(NOFORN)或是公开传播(REL)。我们必须制定解决方案,使作战人员能够在他们的环境中作战,而不是强迫他们遵守“烟囱式”数据和遗留应用程序的当前环境。无论系统的分类级别如何,计算解决方案的集成和操作都是简单和可重复的。这将使作战人员能够做出数据驱动的决策,并增强国防部与盟国共享数据的能力,并作为一支联合部队开展行动。机密环境的安全性将支持任务要求所要求的级别。

工业界在离线操作方面取得了巨大的进步。国防部的”通用云和目的适用云“将利用这些努力为作战人员提供最新的技术,无论何时何地何种环境,他们都需要这些技术。战斗人员在前线使用的云设备将被加固并具有适应性,一旦带宽足够或建立新的连接,将自动同步到更大的云。虽然国防部的某些项目不能立即迁移到云上,但其中一些系统可能最终被桥接到云,而其他系统可能通过单独的非云解决方案来解决。但总的来说这种信息的自动同步将确保作战人员保留数据,将其反馈到模型中,并使用最新的算法作战。在一个安全的环境中这样做将是一个力量倍增器,并直接支持云环境的主要目标:保持信息优势。

战略目标6:利用云弹性

全局性云环境允许在发生危机和操作中断时,保持操作的连续性和有效的故障转移。云计算由于其分布式、可伸缩和冗余的特性,是克服这些挑战并确保全面执行任务的关键组件。执行此云策略将结合标准方法来利用云实现任务弹性。全局性云环境将在基础结构退化时提供故障转移支持,以及从操作中断和重大网络事件中恢复。

云计算的分布式、冗余特性克服了另一个网络挑战,即在危机时刻进行故障转移的能力。我们的商业云解决方案将使用先进的技术自动故障转移,解决整个部门的一个主要缺陷。国防部将只确保数字服务业务的连续性,而利用主要云提供商内部固有的多区域和多可用性区域(AZ)架构,并将其与安全云接入点(cap)的有效部署结合起来以增强弹性。

国防部云架构将允许工作负载在单个云提供商内从一个区域转移到另一个区域,几乎在检测到主数据中心故障时立即转移。对于大面积的人为或自然破坏,这一点至关重要。自动故障转移的配置本身并不是自动的,要完全实现此功能,需要为云重新设计应用程序的体系结构。这可以让部门绕过当前部门的成本和人工操作,从而在不同的云供应商或前提数据中心中维持相同数据的多个实例,这和商业云提供的故障恢复级别不一样。

战略目标7:推动国防部IT改革

云计算将使国防部进一步巩固其庞大的数据中心资产。该部仍有机会进一步理顺数据中心,云将提供加速和扩展这些整合机会的机会,以及交付集成防御网络操作(DCO)和通过快速部署公共服务实现效率的机会。全局性云视角将使云管理更加集中,并为国防部更广泛地采用云提供更广泛的安全服务选项,以包括那些由更小的实现人员组成的国防部组件。

3.战略思想和指导原则

国防部需要一个可扩展的、安全的云环境,该环境能够覆盖从国土安全到全球优势,具备快速访问计算和存储能力的能力,并以相关的速度应对挑战。人工智能和机器学习等技术有可能从根本上改变战争的性质。国防部将采用利用多个云提供商的方法,这些云提供商可以提供通用的、适合于通用云的服务。多供应商和多云环境的互操作性将由一个总体的全局性云策略控制。为达致上述目标,国防部将推行一套指导原则,为日后有关企业云计算的决策提供指引:

原则1:士兵第一

在国防部向商业云服务过渡的整个过程中,需要不断测试云解决方案的构建方式是否不会将士兵及其任务置于风险之中。这将要求“红队”部门严格地对云环境进行独立评估,并利用战术分布式计算挑战自己。在任何时候,国防部都需要确保云计算能够满足提高军事杀伤力的需要。通过不断挑战“红队”的杀伤力,国防部可以确保云环境能够支持全球环境的挑战。

原则2:云智能、数智能方法

为达致上述目标,必须推行“云智能、数智能方法”。该方法包括:

•云智能:采用云解决方案的一种云策略,可以简化转换,并为多个云和任务提供现代功能。

•数智能:由全局性基础设施、应用程序标准和数据标记支持的数据透明和可见。

国防部寻求利用人工智能和机器学习实现战场决策优势。该部门将通过执行这一简洁、集成和自适应的云战略来最大限度地利用这些能力,该战略涵盖整个国防部的多个云和任务。可以在设计系统/应用程序时考虑云计算,以简化采用,并允许跨部门集成。将开发与在云中执行操作相关的公共数据和应用程序标准,如数据规范化/标记、传输协议和接口,以支持并鼓励采用脱离定制方法的企业解决方案。这些标准,再加上云计算提供的计算能力,将使国防部以前所未有的速度运作,以机器速度作出明智的分析和决策。

原则3:利用商业界的优秀案例

除了云智能、数智能,国防部还必须在其方法中利用商业行业的最佳实践。

•尽可能利用商业技术、能力和创新。

•最大化竞争、确保国防部得到最好的技术和价值。

•利用行业开放标准和最佳实践,避免锁定并提供最大的灵活性为未来云进步。

•独立评估服务交付确保数据安全。

国防部将利用商业云计算和存储中可用的关键基础技术,在尽可能实现创新的同时消除大量技术债务和安全风险。国防部的定位是:在当今的云计算能力市场中获得最大的价值,以支持作战和业务需求,并随着行业的发展提高能力。此外国防部寻求最大限度的竞争,不仅授予开创者通用云服务时,而且确保各种软件即服务(SaaS)功能的访问,作为通用云和目的适用云的补充。国防部必须利用美国私营企业所取得的进步。所有这些都将被纳入商业定价机制,如果国防部能够采用这种面向云计算的商业思维,它就能够将商业行业的经验教训融入到未来决策中。

原则4:营造更适合现代科技的文化

最后,通过这一战略,国防部寻求创造一种更适合现代技术的文化。

•营造一个持续创新的环境。

•拥抱全局性解决方案并远离自定义方法。

•营造可持续的文化和员工队伍,可以有效地使用云服务。

•营造能够持续地向云合作伙伴学习的文化。

迭代创新对于以演进方式不断适应现代技术至关重要。为了实现这一目标,国防部将迅速采用先进的现代技术,并对新系统进行更快速的原型设计。如在云环境中实现”开发安全运维“(DevSecOps)一体化,以便安全地开发和测试用于云中的软件,以及使用商业云使中小型公司能够更有效地保护受控非机密信息(CUI)。为了实现这一创新并创造更适合适应性和现代技术的文化,国防部的工作人员必须改变其文化。国防部必须培养一批专业技术骨干,并鼓励整个部门的技术熟练程度。该部门从未构建或实现过企业云解决方案,因此认识到寻找商业伙伴帮助企业开始学习和开发技术云能力的重要性。

4.实现路径

国防部正在努力开发一个由通用云和多用途云组成的全局性云环境。此外应该认识到,对于不适合云的应用程序,部门仍然需要非云的数据中心功能。随着时间的推移,随着采用持久的全局性云策略,非云环境应该会变得更小。在任何云实现中都必须考虑两种基本类型的工作。第一个是正常的活动,这些活动需要建立一个云平台,准备接收用于云部署的应用程序、数据或基础设施。第二个是正在进行迁移的现有应用程序,或在云平台上构建新应用程序的工作。本文件附录A包含一份详细的实施计划,列出了要充分实现云计算的好处并在21世纪的战场上有效运行,必须完成的任务。

(图片取自原报告)

5、结论

信息是21世纪战场优势的根本,将使一支更具杀伤力、弹性和创新性的联合部队成为可能。国防部当前的信息环境是由分布在全球现代和遗留基础设施上的多个脱节和烟囱式系统组成的。流经这些系统的数据正以指数速度增长。这造成了一系列问题,影响了作战人员、决策者和国防部工作人员利用关键信息作出及时、数据驱动决策的能力。为了应对这些挑战,国防部已经实施了一些云解决方案;但它们相互之间是脱节的。此外国防部开始利用人工智能等新兴技术,帮助管理对国防部所有数据的理解。但人工智能正在构建的关键基础设施是完全不同和脱节的。

为了克服挑战,国防部将利用本指导战略,进一步开发详细的企业方法来管理其数据、基础设施和应用前景。商业云的出现为解决这些问题提供了一个强大的机会。为了更好地利用商业云带来的机会,国防部必须实施全局性云战略。利用”通用云和目的适合云“的组合,以及多个商业云提供商的优势。

现在是时候了。国防部不能再向真正现代技术的技术和文化转变上犹疑不决。在全球范围内迅速为国防部提供云计算和数据存储等基础技术,对国防和国防部作战和打赢战争的准备至关重要。如果国防部想要保持优势,将需要利用人工智能等技术,为此必须立即创建一个全局级云环境。

(正文完,附录翻不动了,大过年的干劲不足)

附录

 

声明:本文来自人定湖学者,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。