美國國防部為何要將JIE(聯(lián)合信息環(huán)境)升格為DMS(數(shù)字現(xiàn)代化戰(zhàn)略)?
通過本文的分析���,筆者得出一種解釋:從GIG(全球信息柵格)到JIE(聯(lián)合信息環(huán)境)����,引領了美國國防部的上一個轉型;從JIE(聯(lián)合信息環(huán)境)到DMS(數(shù)字現(xiàn)代化戰(zhàn)略)����,將引領美國國防部的下一個轉型。
從安全角度看����,下一個轉型將融合云服務、即服務�、零信任的思想,可以概括為基于云的網(wǎng)絡安全即服務的轉型之路�。
趨勢,總是在發(fā)生之后才被確信����。而向云服務的轉型�����,已經(jīng)不再是一個“是否”(轉型)的問題��,而是一個“如何”(轉型)的問題。美國國防部的轉型之路����,對政企客戶具有參考價值。
一�����、JIE引領上一次轉型
1. GIG向JIE的轉型
GIG面對的問題����。自2001年911事件之后,美國國防部(DoD)意識到各機構網(wǎng)絡過于孤立�,阻礙了各機構與全球任務伙伴之間的關鍵信息共享。另外����,每個機構繼續(xù)建立自己的網(wǎng)絡,設計自己的安全架構�。建造豎井的做法��,造成了持續(xù)的重復工作和不斷增加的總體設計費用�。
向JIE的轉型�����。由于效率低下����,國防部于2012年12月制定了聯(lián)合信息環(huán)境(JIE)框架。JIE的目標是建立一種統(tǒng)一的方式�����,使國防部各機構能夠使其IT網(wǎng)絡現(xiàn)代化�。JIE框架有助于確保各機構和任務伙伴能夠安全地共享信息,同時減少人力和基礎設施開支����。
圖1-JIE集中式架構與GIG分散式架構的對比
JIE的技術挑戰(zhàn)。JIE是一個雄心勃勃的目標�,也是國防部發(fā)展的必要步驟。在JIE這個框架內�����,最困難的兩個技術挑戰(zhàn)是單一安全架構(SSA)和云計算。接下來��,重點解釋這幾項技術挑戰(zhàn)�。
2. 單一安全架構(SSA)
單一安全架構(SSA)是國防部實施JIE的一項最重要舉措,其好處在于:
破除各部門之間的網(wǎng)絡安全隔閡����。減少部門的外部攻擊面��。標準化管理��、運行�、技術安全控制。
最重要的優(yōu)勢之一是���,單一安全架構(SSA)將使國防部能夠了解整個國防部網(wǎng)絡的情況���,全局態(tài)勢感知達到之前無法實現(xiàn)的水平。這在前面的圖1中體現(xiàn)�����。
SSA最關鍵的兩個組件是聯(lián)合區(qū)域安全棧(JRSS)和互聯(lián)網(wǎng)接入點(IAP)。如下圖所示:
圖2-國防部JIE框架
上圖中顯示了三大類安全組件:
邊界安全棧:即企業(yè)邊界保護(EPP)組件(帶放大鏡的圖標);它其實是一個邏輯概念�����,整合了各種網(wǎng)關安全服務�,包含了幾種不同的網(wǎng)關,如:路由互聯(lián)網(wǎng)流量的互聯(lián)網(wǎng)接入點(IAP)���、路由任務伙伴流量的任務伙伴網(wǎng)關(MPG)�����、路由移動終端用戶流量的移動網(wǎng)關(MG)��、路由商業(yè)云流量的云接入點(CAP)���。其中紅色標記的互聯(lián)網(wǎng)接入點(IAP)和云接入點(CAP)比較重要,將在下面介紹;區(qū)域安全棧:即聯(lián)合區(qū)域安全棧(JRSS)(盾牌圖標)�����,將在下面介紹;態(tài)勢感知:含在企業(yè)運營中心�。匯總邊界安全棧和區(qū)域安全棧的信息,形成全局可見性;以及全局指揮控制���。
3. 聯(lián)合區(qū)域安全棧(JRSS)
聯(lián)合區(qū)域安全棧(JRSS)是SSA(單一安全架構)最重要的落地實現(xiàn)����。它反映了中間層安全的思想,旨在實現(xiàn)區(qū)域級的標準化安全架構�,而避免每個軍事基地、哨所��、營地或工作站的非標準化架構����。
圖3-JRSS部署在中間層
4. 互聯(lián)網(wǎng)接入點(IAP)
JIE邊界防御從互聯(lián)網(wǎng)接入點(IAP)開始,它也是一個安全棧���,充當從國防部網(wǎng)絡和互聯(lián)網(wǎng)之間的安全網(wǎng)關。它提供企業(yè)級邊界安全能力���,如企業(yè)電子郵件安全網(wǎng)關���、入侵檢測、防火墻和訪問控制等����,在上面的圖3中有所反映(即邊界安全)。
5. 安全云計算架構(SCCA)
為了應對云安全挑戰(zhàn),國防部利用了聯(lián)邦風險和授權管理計劃(FedRAMP)和安全云計算架構(SCCA)�����。FedRAMP建立了訪問和授權云服務的標準方法�,國防部對低敏感度和中等敏感度數(shù)據(jù)使用FedRAMP。
為了保護敏感程度更高的數(shù)據(jù)����,國防部提出了SCCA(安全云計算架構)。它為商業(yè)云環(huán)境中托管的影響級別為IL-4/5的數(shù)據(jù)�,提供了邊界和應用程序級別安全的標準方法。SCCA的目的是在國防部信息系統(tǒng)網(wǎng)絡(DISN)和國防部使用的商業(yè)云服務之間提供一道保護屏障���。
圖4-國防部混合云部署和SCCA架構
從上圖可見�����,IAP(互聯(lián)網(wǎng)接入點)和CAP(云接入點)的主要功能����,是提供一個全面而健壯的安全棧(應對web�、互聯(lián)網(wǎng)、云威脅)�����,分別保護國防部信息系統(tǒng)網(wǎng)絡(DISN)不受Internet和CSP(云服務提供商)的影響。
二����、DMS開啟下一次轉型
1. 轉向基于云的IT即服務方式
設法從IT運維中脫身。美國國防部的IT現(xiàn)代化思路表明�����,它希望從基礎設施運維業(yè)務中脫身����,將IT作為一種服務從云服務提供商處進行消費。然而����,國防部IT基礎設施的許多底層設計,都植根于十多年前開發(fā)的基礎架構���,花費了多年時間才投入生產(chǎn),導致國防部各個機構不得不繼續(xù)親自運維大量的IT基礎設施�,無法立即轉向IT即服務的方式。
實施IT即服務解決方案����。美國國防部正在探索并實施商業(yè)提供商的“企業(yè)IT即服務”解決方案���,以降低成本和保持相對于他國對手的競爭優(yōu)勢。國防部企業(yè)協(xié)作和生產(chǎn)力服務(ECAPS)戰(zhàn)略�����,就是轉向IT即服務的示例����。如下圖所示:
圖5-ECAPS(企業(yè)協(xié)作和生產(chǎn)力服務)內容
圖中,作為ECAPS能力集1���,國防企業(yè)辦公解決方案(DEOS)也是數(shù)字現(xiàn)代化戰(zhàn)略(DMS)的關鍵要素(即DMS的15個要素)之一���,還是DISA(國防信息系統(tǒng)局)技術路線圖(2.0版)的三大戰(zhàn)略領域之一(如下圖所示),其重要性不言而喻���。它是一種企業(yè)級商業(yè)云服務產(chǎn)品�,通過獲取和實施通用的企業(yè)應用程序和服務��,在整個國防部內聯(lián)合使用�,以取代現(xiàn)有的國防部統(tǒng)一能力(UC)����,使得云應用標準化�,可在本地的基地/哨所/營地/站點(B/P/C/S)級別(包括流動組織)實現(xiàn)跨部門協(xié)作。
圖6-DISA(國防信息系統(tǒng)局)技術路線圖(2.0版)
國防企業(yè)電子郵件(DEE)是重要的第一步�,因為它使得國防部從分布式電子郵件解決方案遷移到集中式企業(yè)服務,并為轉變到完全由即服務方式提供的云辦公解決方案鋪平了道路���。而在過去����,國防部的每個機構都要維護自己的Microsoft Exchange服務器集群��,這對于國防部來說是非常低效和昂貴的�����。
2. 轉向基于云的安全即服務方式
沿著上述IT即服務的思路�����,國防部當然也希望將國防部網(wǎng)絡架構的安全組件���,以安全即服務的方式使用��。
當今由DISA(國防信息系統(tǒng)局)在全球10個地點托管和管理的IAP(互聯(lián)網(wǎng)接入點)�����,將可以由滿足國防部IL-2要求的安全棧以即服務方式提供�。
國防部也已經(jīng)開始探索替代的CAP(云接入點)解決方案����,它將采用滿足國防部IL-4/5要求的安全即服務,以避免出現(xiàn)與當前的JIE SSA實現(xiàn)有關的瓶頸和延遲�����。
在轉向云解決方案的過程中�����,JRSS(聯(lián)合區(qū)域安全棧)�、IAP(互聯(lián)網(wǎng)接入點)、CAP(云接入點)之間的許多重疊功能可以得到整合��,從而為國防部用戶和作戰(zhàn)人員提供更高效和簡化的服務消費方式����。
圖7-國防部云服務架構
3. 探索以資源為中心的零信任方法
當前的JIE設計是以網(wǎng)絡為中心的����,這意味著重點是保護網(wǎng)絡本身�,其假設前提是:一旦網(wǎng)絡得到保護,資源和用戶也將得到保護���。這種觀點已經(jīng)被證明是不合時宜的����。
國防部需要的是采用NIST定義的零信任架構(ZTA)的現(xiàn)代方法����。美國海軍中將、美國國防信息系統(tǒng)局(DISA)局長 Nancy Norton����,已經(jīng)表達了這種訴求(參見《2020年底美國國防部將提供零信任架構》)。而DISA新興技術局局長Wallace也進一步解讀了國防部向零信任架構演進的思路(參見《美國國防部零信任的支柱》)����。
國防部已經(jīng)開始探索零信任解決方案,ZTA(零信任架構)很有可能成為保護網(wǎng)絡內部資源的關鍵;而IAP(互聯(lián)網(wǎng)接入點)和CAP(云接入點)等解決方案則繼續(xù)保護邊界���。
圖8-國防部零信任實施的支柱
4. 結論
用歷史的眼光看��,JIE是一個創(chuàng)新概念��,實現(xiàn)了上一個轉型��。它將國防部從一個高度分散和孤立的架構(國防部內的每個機構都管理自己的網(wǎng)絡安全)轉變?yōu)橐粋€統(tǒng)一的單一安全架構(SSA)�����。
區(qū)域安全:位于全球各地B/P/C/S的約兩百個機構安全棧����,被DISA集中管理的幾十個安全棧(即聯(lián)合區(qū)域安全棧JRSS)所取代���。云安全:而為了安全上云���,SSA的安全云計算架構(SCCA)為采用商業(yè)云服務提供商的云服務,提供了安全框架��。
在統(tǒng)一安全架構下����,國防部準備開始下一個轉型,即從管理和維護該架構本身,轉向將其作為一種服務來消費�����。
邊界安全即服務:通過將基于云的安全棧以即服務方式交付�����,可以提供邊界安全能力��,以發(fā)揮IAP(互聯(lián)網(wǎng)接入點)和CAP(云接入點)的作用�。區(qū)域安全即服務:通過將零信任架構與基于云的EDR解決方案相結合,可以取代已經(jīng)被證實過于復雜和昂貴的區(qū)域安全棧(RSS)�����。
國防部將JIE轉變到安全即服務模式的好處��,將體現(xiàn)在成本節(jié)約����、更大的可擴展性、終端用戶和作戰(zhàn)人員的更佳性能�,和最終更強大的網(wǎng)絡安全能力。
5. 啟示
安全服務并不是安全即服務���。安全即服務是安全服務的SaaS化�。因為安全即服務將主要基于云來實現(xiàn),所以也被稱為安全云服務(并非云安全服務)���。
顯然�,安全即服務必須能夠與網(wǎng)絡安全行業(yè)的合作伙伴緊密集成(如SIEM���、EDR、威脅情報供應商等)�����,以確?���?梢皂樌夭渴鸷图煞眨瑥亩峁┮涣鞯恼w解決方案�����。
所以����,真正的安全即服務���,需要一家具有即服務思維的網(wǎng)絡安全服務運營商。
