導讀:通過本文的分析,筆者得出一種解釋:從GIG(全球信息柵格)到JIE(聯(lián)合信息環(huán)境),引領(lǐng)了美國國防部的上一個轉(zhuǎn)型;從JIE(聯(lián)合信息環(huán)境)到DMS(數(shù)字現(xiàn)代化戰(zhàn)略),將引領(lǐng)美國國防部的下一個轉(zhuǎn)型。
美國國防部為何要將JIE(聯(lián)合信息環(huán)境)升格為DMS(數(shù)字現(xiàn)代化戰(zhàn)略)?
通過本文的分析,筆者得出一種解釋:從GIG(全球信息柵格)到JIE(聯(lián)合信息環(huán)境),引領(lǐng)了美國國防部的上一個轉(zhuǎn)型;從JIE(聯(lián)合信息環(huán)境)到DMS(數(shù)字現(xiàn)代化戰(zhàn)略),將引領(lǐng)美國國防部的下一個轉(zhuǎn)型。
從安全角度看,下一個轉(zhuǎn)型將融合云服務(wù)、即服務(wù)、零信任的思想,可以概括為基于云的網(wǎng)絡(luò)安全即服務(wù)的轉(zhuǎn)型之路。
趨勢,總是在發(fā)生之后才被確信。而向云服務(wù)的轉(zhuǎn)型,已經(jīng)不再是一個“是否”(轉(zhuǎn)型)的問題,而是一個“如何”(轉(zhuǎn)型)的問題。美國國防部的轉(zhuǎn)型之路,對政企客戶具有參考價值。
一、JIE引領(lǐng)上一次轉(zhuǎn)型
1. GIG向JIE的轉(zhuǎn)型
GIG面對的問題。自2001年911事件之后,美國國防部(DoD)意識到各機構(gòu)網(wǎng)絡(luò)過于孤立,阻礙了各機構(gòu)與全球任務(wù)伙伴之間的關(guān)鍵信息共享。另外,每個機構(gòu)繼續(xù)建立自己的網(wǎng)絡(luò),設(shè)計自己的安全架構(gòu)。建造豎井的做法,造成了持續(xù)的重復(fù)工作和不斷增加的總體設(shè)計費用。
向JIE的轉(zhuǎn)型。由于效率低下,國防部于2012年12月制定了聯(lián)合信息環(huán)境(JIE)框架。JIE的目標是建立一種統(tǒng)一的方式,使國防部各機構(gòu)能夠使其IT網(wǎng)絡(luò)現(xiàn)代化。JIE框架有助于確保各機構(gòu)和任務(wù)伙伴能夠安全地共享信息,同時減少人力和基礎(chǔ)設(shè)施開支。
圖1-JIE集中式架構(gòu)與GIG分散式架構(gòu)的對比
JIE的技術(shù)挑戰(zhàn)。JIE是一個雄心勃勃的目標,也是國防部發(fā)展的必要步驟。在JIE這個框架內(nèi),最困難的兩個技術(shù)挑戰(zhàn)是單一安全架構(gòu)(SSA)和云計算。接下來,重點解釋這幾項技術(shù)挑戰(zhàn)。
2. 單一安全架構(gòu)(SSA)
單一安全架構(gòu)(SSA)是國防部實施JIE的一項最重要舉措,其好處在于:
破除各部門之間的網(wǎng)絡(luò)安全隔閡。減少部門的外部攻擊面。標準化管理、運行、技術(shù)安全控制。
最重要的優(yōu)勢之一是,單一安全架構(gòu)(SSA)將使國防部能夠了解整個國防部網(wǎng)絡(luò)的情況,全局態(tài)勢感知達到之前無法實現(xiàn)的水平。這在前面的圖1中體現(xiàn)。
SSA最關(guān)鍵的兩個組件是聯(lián)合區(qū)域安全棧(JRSS)和互聯(lián)網(wǎng)接入點(IAP)。如下圖所示:
圖2-國防部JIE框架
上圖中顯示了三大類安全組件:
邊界安全棧:即企業(yè)邊界保護(EPP)組件(帶放大鏡的圖標);它其實是一個邏輯概念,整合了各種網(wǎng)關(guān)安全服務(wù),包含了幾種不同的網(wǎng)關(guān),如:路由互聯(lián)網(wǎng)流量的互聯(lián)網(wǎng)接入點(IAP)、路由任務(wù)伙伴流量的任務(wù)伙伴網(wǎng)關(guān)(MPG)、路由移動終端用戶流量的移動網(wǎng)關(guān)(MG)、路由商業(yè)云流量的云接入點(CAP)。其中紅色標記的互聯(lián)網(wǎng)接入點(IAP)和云接入點(CAP)比較重要,將在下面介紹;區(qū)域安全棧:即聯(lián)合區(qū)域安全棧(JRSS)(盾牌圖標),將在下面介紹;態(tài)勢感知:含在企業(yè)運營中心。匯總邊界安全棧和區(qū)域安全棧的信息,形成全局可見性;以及全局指揮控制。
3. 聯(lián)合區(qū)域安全棧(JRSS)
聯(lián)合區(qū)域安全棧(JRSS)是SSA(單一安全架構(gòu))最重要的落地實現(xiàn)。它反映了中間層安全的思想,旨在實現(xiàn)區(qū)域級的標準化安全架構(gòu),而避免每個軍事基地、哨所、營地或工作站的非標準化架構(gòu)。
圖3-JRSS部署在中間層
4. 互聯(lián)網(wǎng)接入點(IAP)
JIE邊界防御從互聯(lián)網(wǎng)接入點(IAP)開始,它也是一個安全棧,充當從國防部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的安全網(wǎng)關(guān)。它提供企業(yè)級邊界安全能力,如企業(yè)電子郵件安全網(wǎng)關(guān)、入侵檢測、防火墻和訪問控制等,在上面的圖3中有所反映(即邊界安全)。
5. 安全云計算架構(gòu)(SCCA)
為了應(yīng)對云安全挑戰(zhàn),國防部利用了聯(lián)邦風險和授權(quán)管理計劃(FedRAMP)和安全云計算架構(gòu)(SCCA)。FedRAMP建立了訪問和授權(quán)云服務(wù)的標準方法,國防部對低敏感度和中等敏感度數(shù)據(jù)使用FedRAMP。
為了保護敏感程度更高的數(shù)據(jù),國防部提出了SCCA(安全云計算架構(gòu))。它為商業(yè)云環(huán)境中托管的影響級別為IL-4/5的數(shù)據(jù),提供了邊界和應(yīng)用程序級別安全的標準方法。SCCA的目的是在國防部信息系統(tǒng)網(wǎng)絡(luò)(DISN)和國防部使用的商業(yè)云服務(wù)之間提供一道保護屏障。
圖4-國防部混合云部署和SCCA架構(gòu)
從上圖可見,IAP(互聯(lián)網(wǎng)接入點)和CAP(云接入點)的主要功能,是提供一個全面而健壯的安全棧(應(yīng)對web、互聯(lián)網(wǎng)、云威脅),分別保護國防部信息系統(tǒng)網(wǎng)絡(luò)(DISN)不受Internet和CSP(云服務(wù)提供商)的影響。
二、DMS開啟下一次轉(zhuǎn)型
1. 轉(zhuǎn)向基于云的IT即服務(wù)方式
設(shè)法從IT運維中脫身。美國國防部的IT現(xiàn)代化思路表明,它希望從基礎(chǔ)設(shè)施運維業(yè)務(wù)中脫身,將IT作為一種服務(wù)從云服務(wù)提供商處進行消費。然而,國防部IT基礎(chǔ)設(shè)施的許多底層設(shè)計,都植根于十多年前開發(fā)的基礎(chǔ)架構(gòu),花費了多年時間才投入生產(chǎn),導致國防部各個機構(gòu)不得不繼續(xù)親自運維大量的IT基礎(chǔ)設(shè)施,無法立即轉(zhuǎn)向IT即服務(wù)的方式。
實施IT即服務(wù)解決方案。美國國防部正在探索并實施商業(yè)提供商的“企業(yè)IT即服務(wù)”解決方案,以降低成本和保持相對于他國對手的競爭優(yōu)勢。國防部企業(yè)協(xié)作和生產(chǎn)力服務(wù)(ECAPS)戰(zhàn)略,就是轉(zhuǎn)向IT即服務(wù)的示例。如下圖所示:
圖5-ECAPS(企業(yè)協(xié)作和生產(chǎn)力服務(wù))內(nèi)容
圖中,作為ECAPS能力集1,國防企業(yè)辦公解決方案(DEOS)也是數(shù)字現(xiàn)代化戰(zhàn)略(DMS)的關(guān)鍵要素(即DMS的15個要素)之一,還是DISA(國防信息系統(tǒng)局)技術(shù)路線圖(2.0版)的三大戰(zhàn)略領(lǐng)域之一(如下圖所示),其重要性不言而喻。它是一種企業(yè)級商業(yè)云服務(wù)產(chǎn)品,通過獲取和實施通用的企業(yè)應(yīng)用程序和服務(wù),在整個國防部內(nèi)聯(lián)合使用,以取代現(xiàn)有的國防部統(tǒng)一能力(UC),使得云應(yīng)用標準化,可在本地的基地/哨所/營地/站點(B/P/C/S)級別(包括流動組織)實現(xiàn)跨部門協(xié)作。
圖6-DISA(國防信息系統(tǒng)局)技術(shù)路線圖(2.0版)
國防企業(yè)電子郵件(DEE)是重要的第一步,因為它使得國防部從分布式電子郵件解決方案遷移到集中式企業(yè)服務(wù),并為轉(zhuǎn)變到完全由即服務(wù)方式提供的云辦公解決方案鋪平了道路。而在過去,國防部的每個機構(gòu)都要維護自己的Microsoft Exchange服務(wù)器集群,這對于國防部來說是非常低效和昂貴的。
2. 轉(zhuǎn)向基于云的安全即服務(wù)方式
沿著上述IT即服務(wù)的思路,國防部當然也希望將國防部網(wǎng)絡(luò)架構(gòu)的安全組件,以安全即服務(wù)的方式使用。
當今由DISA(國防信息系統(tǒng)局)在全球10個地點托管和管理的IAP(互聯(lián)網(wǎng)接入點),將可以由滿足國防部IL-2要求的安全棧以即服務(wù)方式提供。
國防部也已經(jīng)開始探索替代的CAP(云接入點)解決方案,它將采用滿足國防部IL-4/5要求的安全即服務(wù),以避免出現(xiàn)與當前的JIE SSA實現(xiàn)有關(guān)的瓶頸和延遲。
在轉(zhuǎn)向云解決方案的過程中,JRSS(聯(lián)合區(qū)域安全棧)、IAP(互聯(lián)網(wǎng)接入點)、CAP(云接入點)之間的許多重疊功能可以得到整合,從而為國防部用戶和作戰(zhàn)人員提供更高效和簡化的服務(wù)消費方式。
圖7-國防部云服務(wù)架構(gòu)
3. 探索以資源為中心的零信任方法
當前的JIE設(shè)計是以網(wǎng)絡(luò)為中心的,這意味著重點是保護網(wǎng)絡(luò)本身,其假設(shè)前提是:一旦網(wǎng)絡(luò)得到保護,資源和用戶也將得到保護。這種觀點已經(jīng)被證明是不合時宜的。
國防部需要的是采用NIST定義的零信任架構(gòu)(ZTA)的現(xiàn)代方法。美國海軍中將、美國國防信息系統(tǒng)局(DISA)局長 Nancy Norton,已經(jīng)表達了這種訴求(參見《2020年底美國國防部將提供零信任架構(gòu)》)。而DISA新興技術(shù)局局長Wallace也進一步解讀了國防部向零信任架構(gòu)演進的思路(參見《美國國防部零信任的支柱》)。
國防部已經(jīng)開始探索零信任解決方案,ZTA(零信任架構(gòu))很有可能成為保護網(wǎng)絡(luò)內(nèi)部資源的關(guān)鍵;而IAP(互聯(lián)網(wǎng)接入點)和CAP(云接入點)等解決方案則繼續(xù)保護邊界。
圖8-國防部零信任實施的支柱
4. 結(jié)論
用歷史的眼光看,JIE是一個創(chuàng)新概念,實現(xiàn)了上一個轉(zhuǎn)型。它將國防部從一個高度分散和孤立的架構(gòu)(國防部內(nèi)的每個機構(gòu)都管理自己的網(wǎng)絡(luò)安全)轉(zhuǎn)變?yōu)橐粋€統(tǒng)一的單一安全架構(gòu)(SSA)。
區(qū)域安全:位于全球各地B/P/C/S的約兩百個機構(gòu)安全棧,被DISA集中管理的幾十個安全棧(即聯(lián)合區(qū)域安全棧JRSS)所取代。云安全:而為了安全上云,SSA的安全云計算架構(gòu)(SCCA)為采用商業(yè)云服務(wù)提供商的云服務(wù),提供了安全框架。
在統(tǒng)一安全架構(gòu)下,國防部準備開始下一個轉(zhuǎn)型,即從管理和維護該架構(gòu)本身,轉(zhuǎn)向?qū)⑵渥鳛橐环N服務(wù)來消費。
邊界安全即服務(wù):通過將基于云的安全棧以即服務(wù)方式交付,可以提供邊界安全能力,以發(fā)揮IAP(互聯(lián)網(wǎng)接入點)和CAP(云接入點)的作用。區(qū)域安全即服務(wù):通過將零信任架構(gòu)與基于云的EDR解決方案相結(jié)合,可以取代已經(jīng)被證實過于復(fù)雜和昂貴的區(qū)域安全棧(RSS)。
國防部將JIE轉(zhuǎn)變到安全即服務(wù)模式的好處,將體現(xiàn)在成本節(jié)約、更大的可擴展性、終端用戶和作戰(zhàn)人員的更佳性能,和最終更強大的網(wǎng)絡(luò)安全能力。
5. 啟示
安全服務(wù)并不是安全即服務(wù)。安全即服務(wù)是安全服務(wù)的SaaS化。因為安全即服務(wù)將主要基于云來實現(xiàn),所以也被稱為安全云服務(wù)(并非云安全服務(wù))。
顯然,安全即服務(wù)必須能夠與網(wǎng)絡(luò)安全行業(yè)的合作伙伴緊密集成(如SIEM、EDR、威脅情報供應(yīng)商等),以確??梢皂樌夭渴鸷图煞?wù),從而提供一流的整體解決方案。
所以,真正的安全即服務(wù),需要一家具有即服務(wù)思維的網(wǎng)絡(luò)安全服務(wù)運營商。