编者按
美国海军陆战队正在推广“风暴破袭者行动”,旨在通过彻底改革传统流程,加快软件采购和部署的速度,同时确保关键的网络防御措施到位。
“风暴破袭者行动”是一项任务驱动的软件交付计划,通过将技术贡献者、集成商和任务负责人整合到一个共享框架中,从而实现整个美军安全、可扩展的软件交付,以提高速度和韧性;寻求缩短传统的交付时间线,重新定义数字化能力赋能作战人员方式;为美军任务负责人提供了一个通用计算环境,提供全方位的商业云服务、共享基础设施、平台和主动网络防御;以速度、规模和安全性为核心,集成了零信任和现代云原生方法,旨在以“快速响应”的方式向作战人员提供关键能力;采用了整体的端到端方法,优先考虑任务成果和安全性而非合规性,从而解决了传统模式导致的国防技术交付瓶颈。美国海军陆战队表示,该计划可以通过自动化在15分钟内确认工作负载是否符合美军安全标准;通过将 DevSecOps、精益和敏捷方法应用于传统的纸质ATO流程,已在30天内实现了对工作负载的授权,使向作战人员交付能力的速度提高了约17倍。
“风暴破除行动”以实施精简的“双路径”网络安全授权方法,确保部署任务工作负载的速度和安全性:一是利用敏捷操作授权(ATO)流程,在30天内交付ATO,显著缩短安全审批所需时间;二是利用快速评估和整合软件工程(RAISE)流程,通过经过认证的DevSecOps管道将应用程序集成到现有的ATO中,以实现当日授权。该计划的数字化转型战略涵盖技术、流程和文化举措,旨在构建一个数字化体系,组件包括:一是云着陆区,该着陆区托管在亚马逊网络服务上的,拥有云原生接入点和先进的零信任架构,符合美国联邦和美军安全风险控制标准,并由美国海军陆战队网络运营大队管理;二是软件工厂,该工厂是一个虚拟装配厂,配备了工具、流程和环境,实现了开发、构建、测试、评估和发布流程自动化,并通过持续授权部署容器工作负载,从而可以在极少人工干预的情况下生产软件;三是数字化转型,该战略将网络安全嵌入系统开发生命周期,可将风险管理转变为主动、数据驱动和持续的过程,使运营成果与合规标准保持一致。该计划解决了三方面主要问题:一是建立敏捷、自动化的软件流水线,取代了过时流程并加快了部署速度;二是通过精心设计的持续集成和持续交付测试尽早集成安全功能,避免了安全延迟,实现了“安全左移”;三是利用数字主干网实时连接传感器、系统和决策者,从而避免了系统脱节。
奇安网情局编译有关情况,供读者参考。
美国海军陆战队社区服务部的“风暴破袭者行动”(Operation StormBreaker)利用技术大幅加快软件采购和部署,同时增强网络安全。
“风暴破袭者行动”是一项任务驱动的软件交付计划,旨在加速美国防部的安全部署。该计划通过将技术贡献者、集成商和任务负责人整合到一个共享框架中,从而实现整个美国防部安全、可扩展的软件交付,以提高速度和韧性。该计划旨在缩短传统的交付时间线,并遵循零信任原则,重新定义数字化能力如何赋能作战人员。
“风暴破袭者行动”为美国防部任务负责人提供了一个通用计算环境,提供全方位的商业云服务、共享基础设施、平台和主动网络防御。该计划以速度、规模和安全性为核心,集成了零信任和现代云原生方法,旨在加速数字战场任务的成功。该计划大胆地重新构想了美国海军陆战队——乃至整个美国防部——如何以快速响应的速度开发、授权和部署安全软件。
美国海军陆战队社区服务部数字项目经理戴维·雷利表示,该计划直接解决了开发周期缓慢和授权流程繁琐的挑战,旨在以“快速响应”的方式向作战人员提供关键能力。他称,“授权是一个关键的瓶颈,因此获取、开发、集成和交付某个东西需要很长时间。‘风暴破袭者行动’的独特之处在于,它采用了一种整体的端到端方法来实施这项功能。”
解决国防技术交付瓶颈
戴维·雷利表示,美国防部在快速获取和部署现代数字化能力方面面临挑战,包括冗长的瀑布式开发周期、官僚主义的采购流程以及繁琐的操作授权(ATO)等遗留合规实践。他解释称,传统模式常常导致瓶颈,尤其是在获得操作授权(ATO)方面;很多情况下,根本原因不仅仅是审批缓慢,而是过度依赖合规性,将其视为一种例行检查,而非动态的风险管理流程;这种方法不仅拖慢了交付速度,而且无法适应不断变化的威胁。
他表示,“我们无法实现预期成果,因为我们无法获得并部署现代化数字化能力。具体来说,我们必须重新构建整个体系的所有网站,并将它们整合成一个统一的品牌体系,以及我们为服务客户而开展的许多其他数字化工作。”
戴维·雷利表示,美国防部普遍持有这种观点,这与软件快速通道(SWFT)计划倡议和风险管理框架(RMF)改革等项目正在解决的问题相呼应。他表示,“风暴破袭者行动”通过使用风险视角而不是遵循合规性检查表,已经能够实现先前RMF指南中列出的许多目标。戴维·雷利指出,美国防部的文化是优先考虑合规性而非有效性,经常“为了合规性而牺牲任务成果和真正的安全”。
戴维·雷利表示,“我面临的问题和美国防部其他许多任务负责人面临的问题一样:瀑布式开发和采购实践、流程和方法,以及遗留的合规实践。采购、开发、集成和交付某个项目需要很长时间,之后还要再花12到18个月的时间才能获得授权。现在,你开始考虑4到5年的采购和部署时间表,以及10年的支持和维护,因为你不想再重复一遍。”
“风暴破袭行动”模型内部
“风暴破除行动”以实施精简的双路径网络安全授权方法,确保部署任务工作负载的速度和安全性:
1、敏捷ATO:该流程专为传统工作负载设计,可在30天内交付ATO,显著缩短安全审批所需时间。
2、快速评估和整合软件工程(RAISE):RAISE针对容器化应用程序进行了优化,通过使用经过认证的DevSecOps管道将应用程序集成到现有的ATO中,实现当日授权。
“风暴破袭者行动”提供了一种应对这些挑战的方法,即利用旨在加速软件部署整个生命周期的三大核心功能。“风暴破袭者行动”的数字化转型战略涵盖技术、流程和文化举措,旨在构建一个数字化体系,该体系包含以下内容:
现代化工作的中央着陆区和平台:该平台托管在亚马逊网络服务(AWS)GovCloud上,符合美国国防信息系统局的安全云计算架构(SCCA)标准,并采用云原生运营/治理、基础设施即代码和策略即代码。该平台还将传统和现代工作负载作为服务托管给任务负责人。该着陆区符合美国联邦风险与授权管理计划(FedRAMP)高安全控制评估标准,拥有云原生接入点和先进的零信任架构。该安全基础由美国海军陆战队授权,并由美国海军陆战队网络运营大队管理。
实现软件交付的工业化的软件工厂:“风暴破袭者行动”软件工厂是一个虚拟装配厂,配备了工具、流程和环境,可在极少人工干预的情况下生产软件。它自动化了开发、构建、测试、评估和发布流程,并通过持续授权部署容器工作负载。
通过DevSecOps、精益和敏捷实现数字化转型:“风暴破袭者行动”的现代化战略整合了技术、流程和文化举措,以创建一个与运营保持一致的数字化体系。将网络安全嵌入系统开发生命周期,可将风险管理转变为主动、数据驱动和持续的过程,使运营成果与合规标准保持一致。
“风暴破袭者行动”解决了三方面问题:
1、过时的流程:遗留系统会减慢部署速度并危及准备就绪。“风暴破袭者行动”用敏捷、自动化的软件流水线取而代之。
2、安全延迟:开发末期进行的传统安全扫描会降低速度。“风暴破袭者行动”通过精心设计的持续集成和持续交付测试,尽早集成安全功能。
3、系统脱节:数据孤岛削弱了协调性。“风暴破袭者行动”的数字主干网实时连接传感器、系统和决策者。
戴维·雷利表示,“当你使用持续集成和持续交付流水线进行开发时,RAISE流程会指定一个参数来确认工作负载是否符合美国防部的安全要求。这可以通过自动化在15分钟内完成。因此,等待18个月才能获得ATO的瓶颈已经不复存在,因为我们在构建过程中就获得了授权。”此外,通过将网络安全“左移”,开发人员现在可以获得即时反馈,从一开始就学习如何安全地编写代码。这种方法显著减少了安全漏洞和审批时间。
这种速度与传统合规流程中常见的12到18个月的周期相比,是一个显著的转变。戴维·雷利认为,这对于维持威慑力和赢得潜在冲突至关重要。如果任务负责人能够在几分钟内部署安全、可靠且经过授权的工作负载,他们就能更快地适应不断变化的作战需求。
戴维·雷利表示,通过将 DevSecOps、精益和敏捷方法应用于传统的纸质ATO流程,该计划已在30天内实现了对位于分层继承通用控制着陆区的工作负载的授权。他补充说,这一进展使向作战人员交付能力的速度提高了约17倍,因此与任务负责人的相关性更高。
戴维·雷利表示,“获得授权的时间越长,无论申请是什么,安全性很可能就越低。而且你会错过任务成果。这些技术演进周期并不能支撑仅仅为了获得授权就耗费18个月。”
扩大对美国防部的影响
“风暴破袭者行动”不仅仅是技术层面的合作,更是美国政府间的服务。戴维·雷利的团队现在可以将相同的平台和功能扩展到美国防部其他任务负责人。他们无需强迫每个组织构建自己的基础设施、获得单独的授权并独立满足安全和零信任要求,只需轻松加入“风暴破袭者行动”的端到端平台即服务即可。这消除了重复劳动,使任务负责人能够专注于其特定的能力和应用。
“风暴破袭者行动”已提交申请,成为美国海军部的体系服务项目,利用海军陆战队内部非拨款基金机构的独特权力,将服务转售给其他政府机构。戴维·雷利设想的未来是,每个美国防部任务负责人都可以选择通过像“风暴破袭者行动”这样的认证平台进行部署,无论是与联邦系统集成商合作,还是与内部开发团队合作。他表示,这种方法旨在更快、更安全、更灵活地交付能力,而非项目。
戴维·雷利表示,“我们拥有自己的采购权限,不受正常资金用途拨款的约束。我们有意扩展环境,以支持美国防部各任务负责人的工作负载。缩短交付时间,实现工作负载的持续授权或传统工作负载的30天授权,将使美国防部各任务负责人受益。”
戴维·雷利表示,“风暴破袭者行动”与美国防部的软件现代化目标相契合,通过鼓励使用实用软件市场和基于冲刺的合同模式来提高问责制和响应能力。他表示,实现此类平台访问的大众化可以显著加速各军种的创新和运作效能。
戴维·雷利表示,“我们不应该花费6个月、8个月或10个月的时间来撰写我们知道需要购买的产品的工作说明。”他表示,随着美国防部强调软件现代化,“风暴破袭者行动”可以成为提高效率、安全性和效力的解决方案的一部分。他称,“现在我们仍然在购买软件——基于消费的软件——就像我们在20世纪50年代购买坦克一样。这种做法必须停止。”
戴维·雷利战略的一个重要部分是处理采购与瀑布式开发间的文化联系。在传统模式下,需求在采购开始前就被详细地定义,有时甚至需要一年甚至更长时间。合同签订后,供应商往往会发现必要的基础设施和授权尚未到位,导致解决方案投入运营的时间延长了数月甚至数年。到那时,相关技术可能已经过时,而机构由于工作量太大,不愿更新或修改。
美国海军陆战队社区服务部还面临着戴维·雷利所说的“中间冻结”问题,即由互不相干的守门人和系统性惰性组成的网络,阻碍了创新。结果,戴维·雷利一直面临着漫长的延迟,这种延迟在依赖大量安全检查的传统授权流程中非常常见。
为突破这些限制,“风暴破袭者行动”将工作分成“单个批次”,逐步验证每项安全控制措施,而不是等到最后才进行验证。这个新流程虽然非常有效,但对于习惯于线性、基于项目工作的团队来说,却带来了文化冲击。戴维·雷利称,“我们必须帮助团队理解瀑布式项目组织和基于产品的团队文化之间的区别。现在,我们以两周为一个周期进行冲刺交付,专注于最简可行产品,并将每个系统视为一个活生生、不断发展的产品。”
“风暴破袭者行动”颠覆了传统模式,在开发和采购方面都采用了敏捷方法。戴维·雷利倡导基于冲刺的承包模式,将工作分解为两周为一个阶段,并明确定义交付成果和验收标准。承包商将根据每个冲刺阶段商定的产出获得报酬,并且开发工作可以根据任务要求朝任何方向推进。这不仅加快了交付速度,还增强了承包流程的灵活性,使团队能够快速响应不断变化的优先级。
实际上,这意味着戴维·雷利无需在合同中详细说明工作负载的具体规格,即可启动工作负载的开发。他的团队在发现阶段与开发人员协作,使用经过认证的流水线快速迭代地交付功能。工作重点从严格的项目完成转移到持续的产品演进——这种方法与现代软件的开发和维护方式相一致。
“风暴破袭者行动”不仅仅是一项技术成就,更是美国政府如何以创新方式运作的典范。通过结合尖端的云基础设施、先进的安全保障、灵活的合同管理以及服务导向的理念,戴维·雷利的团队已经证明,在不牺牲安全性和质量的前提下,将交付时间从数年压缩到数分钟是完全可能的。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
