美國國防部為何要將JIE(聯(lián)合信息環(huán)境)升格為DMS(數(shù)字現(xiàn)代化戰(zhàn)略)?

通過本文的分析，筆者得出一種解釋：從GIG(全球信息柵格)到JIE(聯(lián)合信息環(huán)境)，引領(lǐng)了美國國防部的上一個轉(zhuǎn)型;從JIE(聯(lián)合信息環(huán)境)到DMS(數(shù)字現(xiàn)代化戰(zhàn)略)，將引領(lǐng)美國國防部的下一個轉(zhuǎn)型。

從安全角度看，下一個轉(zhuǎn)型將融合云服務(wù)、即服務(wù)、零信任的思想，可以概括為基于云的網(wǎng)絡(luò)安全即服務(wù)的轉(zhuǎn)型之路。

趨勢，總是在發(fā)生之后才被確信。而向云服務(wù)的轉(zhuǎn)型，已經(jīng)不再是一個“是否”(轉(zhuǎn)型)的問題，而是一個“如何”(轉(zhuǎn)型)的問題。美國國防部的轉(zhuǎn)型之路，對政企客戶具有參考價值。

一、JIE引領(lǐng)上一次轉(zhuǎn)型

1. GIG向JIE的轉(zhuǎn)型

GIG面對的問題。自2001年911事件之后，美國國防部(DoD)意識到各機構(gòu)網(wǎng)絡(luò)過于孤立，阻礙了各機構(gòu)與全球任務(wù)伙伴之間的關(guān)鍵信息共享。另外，每個機構(gòu)繼續(xù)建立自己的網(wǎng)絡(luò)，設(shè)計自己的安全架構(gòu)。建造豎井的做法，造成了持續(xù)的重復(fù)工作和不斷增加的總體設(shè)計費用。

向JIE的轉(zhuǎn)型。由于效率低下，國防部于2012年12月制定了聯(lián)合信息環(huán)境(JIE)框架。JIE的目標(biāo)是建立一種統(tǒng)一的方式，使國防部各機構(gòu)能夠使其IT網(wǎng)絡(luò)現(xiàn)代化。JIE框架有助于確保各機構(gòu)和任務(wù)伙伴能夠安全地共享信息，同時減少人力和基礎(chǔ)設(shè)施開支。

圖1-JIE集中式架構(gòu)與GIG分散式架構(gòu)的對比

JIE的技術(shù)挑戰(zhàn)。JIE是一個雄心勃勃的目標(biāo)，也是國防部發(fā)展的必要步驟。在JIE這個框架內(nèi)，最困難的兩個技術(shù)挑戰(zhàn)是單一安全架構(gòu)(SSA)和云計算。接下來，重點解釋這幾項技術(shù)挑戰(zhàn)。

2. 單一安全架構(gòu)(SSA)

單一安全架構(gòu)(SSA)是國防部實施JIE的一項最重要舉措，其好處在于：

破除各部門之間的網(wǎng)絡(luò)安全隔閡。減少部門的外部攻擊面。標(biāo)準(zhǔn)化管理、運行、技術(shù)安全控制。

最重要的優(yōu)勢之一是，單一安全架構(gòu)(SSA)將使國防部能夠了解整個國防部網(wǎng)絡(luò)的情況，全局態(tài)勢感知達到之前無法實現(xiàn)的水平。這在前面的圖1中體現(xiàn)。

SSA最關(guān)鍵的兩個組件是聯(lián)合區(qū)域安全棧(JRSS)和互聯(lián)網(wǎng)接入點(IAP)。如下圖所示：

圖2-國防部JIE框架

上圖中顯示了三大類安全組件：

邊界安全棧：即企業(yè)邊界保護(EPP)組件(帶放大鏡的圖標(biāo));它其實是一個邏輯概念，整合了各種網(wǎng)關(guān)安全服務(wù)，包含了幾種不同的網(wǎng)關(guān)，如：路由互聯(lián)網(wǎng)流量的互聯(lián)網(wǎng)接入點(IAP)、路由任務(wù)伙伴流量的任務(wù)伙伴網(wǎng)關(guān)(MPG)、路由移動終端用戶流量的移動網(wǎng)關(guān)(MG)、路由商業(yè)云流量的云接入點(CAP)。其中紅色標(biāo)記的互聯(lián)網(wǎng)接入點(IAP)和云接入點(CAP)比較重要，將在下面介紹;區(qū)域安全棧：即聯(lián)合區(qū)域安全棧(JRSS)(盾牌圖標(biāo))，將在下面介紹;態(tài)勢感知：含在企業(yè)運營中心。匯總邊界安全棧和區(qū)域安全棧的信息，形成全局可見性;以及全局指揮控制。

3. 聯(lián)合區(qū)域安全棧(JRSS)

聯(lián)合區(qū)域安全棧(JRSS)是SSA(單一安全架構(gòu))最重要的落地實現(xiàn)。它反映了中間層安全的思想，旨在實現(xiàn)區(qū)域級的標(biāo)準(zhǔn)化安全架構(gòu)，而避免每個軍事基地、哨所、營地或工作站的非標(biāo)準(zhǔn)化架構(gòu)。

圖3-JRSS部署在中間層

4. 互聯(lián)網(wǎng)接入點(IAP)

JIE邊界防御從互聯(lián)網(wǎng)接入點(IAP)開始，它也是一個安全棧，充當(dāng)從國防部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的安全網(wǎng)關(guān)。它提供企業(yè)級邊界安全能力，如企業(yè)電子郵件安全網(wǎng)關(guān)、入侵檢測、防火墻和訪問控制等，在上面的圖3中有所反映(即邊界安全)。

5. 安全云計算架構(gòu)(SCCA)

為了應(yīng)對云安全挑戰(zhàn)，國防部利用了聯(lián)邦風(fēng)險和授權(quán)管理計劃(FedRAMP)和安全云計算架構(gòu)(SCCA)。FedRAMP建立了訪問和授權(quán)云服務(wù)的標(biāo)準(zhǔn)方法，國防部對低敏感度和中等敏感度數(shù)據(jù)使用FedRAMP。

為了保護敏感程度更高的數(shù)據(jù)，國防部提出了SCCA(安全云計算架構(gòu))。它為商業(yè)云環(huán)境中托管的影響級別為IL-4/5的數(shù)據(jù)，提供了邊界和應(yīng)用程序級別安全的標(biāo)準(zhǔn)方法。SCCA的目的是在國防部信息系統(tǒng)網(wǎng)絡(luò)(DISN)和國防部使用的商業(yè)云服務(wù)之間提供一道保護屏障。

圖4-國防部混合云部署和SCCA架構(gòu)

從上圖可見，IAP(互聯(lián)網(wǎng)接入點)和CAP(云接入點)的主要功能，是提供一個全面而健壯的安全棧(應(yīng)對web、互聯(lián)網(wǎng)、云威脅)，分別保護國防部信息系統(tǒng)網(wǎng)絡(luò)(DISN)不受Internet和CSP(云服務(wù)提供商)的影響。

二、DMS開啟下一次轉(zhuǎn)型

1. 轉(zhuǎn)向基于云的IT即服務(wù)方式

設(shè)法從IT運維中脫身。美國國防部的IT現(xiàn)代化思路表明，它希望從基礎(chǔ)設(shè)施運維業(yè)務(wù)中脫身，將IT作為一種服務(wù)從云服務(wù)提供商處進行消費。然而，國防部IT基礎(chǔ)設(shè)施的許多底層設(shè)計，都植根于十多年前開發(fā)的基礎(chǔ)架構(gòu)，花費了多年時間才投入生產(chǎn)，導(dǎo)致國防部各個機構(gòu)不得不繼續(xù)親自運維大量的IT基礎(chǔ)設(shè)施，無法立即轉(zhuǎn)向IT即服務(wù)的方式。

實施IT即服務(wù)解決方案。美國國防部正在探索并實施商業(yè)提供商的“企業(yè)IT即服務(wù)”解決方案，以降低成本和保持相對于他國對手的競爭優(yōu)勢。國防部企業(yè)協(xié)作和生產(chǎn)力服務(wù)(ECAPS)戰(zhàn)略，就是轉(zhuǎn)向IT即服務(wù)的示例。如下圖所示：

圖5-ECAPS(企業(yè)協(xié)作和生產(chǎn)力服務(wù))內(nèi)容

圖中，作為ECAPS能力集1，國防企業(yè)辦公解決方案(DEOS)也是數(shù)字現(xiàn)代化戰(zhàn)略(DMS)的關(guān)鍵要素(即DMS的15個要素)之一，還是DISA(國防信息系統(tǒng)局)技術(shù)路線圖(2.0版)的三大戰(zhàn)略領(lǐng)域之一(如下圖所示)，其重要性不言而喻。它是一種企業(yè)級商業(yè)云服務(wù)產(chǎn)品，通過獲取和實施通用的企業(yè)應(yīng)用程序和服務(wù)，在整個國防部內(nèi)聯(lián)合使用，以取代現(xiàn)有的國防部統(tǒng)一能力(UC)，使得云應(yīng)用標(biāo)準(zhǔn)化，可在本地的基地/哨所/營地/站點(B/P/C/S)級別(包括流動組織)實現(xiàn)跨部門協(xié)作。

圖6-DISA(國防信息系統(tǒng)局)技術(shù)路線圖(2.0版)

國防企業(yè)電子郵件(DEE)是重要的第一步，因為它使得國防部從分布式電子郵件解決方案遷移到集中式企業(yè)服務(wù)，并為轉(zhuǎn)變到完全由即服務(wù)方式提供的云辦公解決方案鋪平了道路。而在過去，國防部的每個機構(gòu)都要維護自己的Microsoft Exchange服務(wù)器集群，這對于國防部來說是非常低效和昂貴的。

2. 轉(zhuǎn)向基于云的安全即服務(wù)方式

沿著上述IT即服務(wù)的思路，國防部當(dāng)然也希望將國防部網(wǎng)絡(luò)架構(gòu)的安全組件，以安全即服務(wù)的方式使用。

當(dāng)今由DISA(國防信息系統(tǒng)局)在全球10個地點托管和管理的IAP(互聯(lián)網(wǎng)接入點)，將可以由滿足國防部IL-2要求的安全棧以即服務(wù)方式提供。

國防部也已經(jīng)開始探索替代的CAP(云接入點)解決方案，它將采用滿足國防部IL-4/5要求的安全即服務(wù)，以避免出現(xiàn)與當(dāng)前的JIE SSA實現(xiàn)有關(guān)的瓶頸和延遲。

在轉(zhuǎn)向云解決方案的過程中，JRSS(聯(lián)合區(qū)域安全棧)、IAP(互聯(lián)網(wǎng)接入點)、CAP(云接入點)之間的許多重疊功能可以得到整合，從而為國防部用戶和作戰(zhàn)人員提供更高效和簡化的服務(wù)消費方式。

圖7-國防部云服務(wù)架構(gòu)

3. 探索以資源為中心的零信任方法

當(dāng)前的JIE設(shè)計是以網(wǎng)絡(luò)為中心的，這意味著重點是保護網(wǎng)絡(luò)本身，其假設(shè)前提是：一旦網(wǎng)絡(luò)得到保護，資源和用戶也將得到保護。這種觀點已經(jīng)被證明是不合時宜的。

國防部需要的是采用NIST定義的零信任架構(gòu)(ZTA)的現(xiàn)代方法。美國海軍中將、美國國防信息系統(tǒng)局(DISA)局長 Nancy Norton，已經(jīng)表達了這種訴求(參見《2020年底美國國防部將提供零信任架構(gòu)》)。而DISA新興技術(shù)局局長Wallace也進一步解讀了國防部向零信任架構(gòu)演進的思路(參見《美國國防部零信任的支柱》)。

國防部已經(jīng)開始探索零信任解決方案，ZTA(零信任架構(gòu))很有可能成為保護網(wǎng)絡(luò)內(nèi)部資源的關(guān)鍵;而IAP(互聯(lián)網(wǎng)接入點)和CAP(云接入點)等解決方案則繼續(xù)保護邊界。

圖8-國防部零信任實施的支柱

4. 結(jié)論

用歷史的眼光看，JIE是一個創(chuàng)新概念，實現(xiàn)了上一個轉(zhuǎn)型。它將國防部從一個高度分散和孤立的架構(gòu)(國防部內(nèi)的每個機構(gòu)都管理自己的網(wǎng)絡(luò)安全)轉(zhuǎn)變?yōu)橐粋€統(tǒng)一的單一安全架構(gòu)(SSA)。

區(qū)域安全：位于全球各地B/P/C/S的約兩百個機構(gòu)安全棧，被DISA集中管理的幾十個安全棧(即聯(lián)合區(qū)域安全棧JRSS)所取代。云安全：而為了安全上云，SSA的安全云計算架構(gòu)(SCCA)為采用商業(yè)云服務(wù)提供商的云服務(wù)，提供了安全框架。

在統(tǒng)一安全架構(gòu)下，國防部準(zhǔn)備開始下一個轉(zhuǎn)型，即從管理和維護該架構(gòu)本身，轉(zhuǎn)向?qū)⑵渥鳛橐环N服務(wù)來消費。

邊界安全即服務(wù)：通過將基于云的安全棧以即服務(wù)方式交付，可以提供邊界安全能力，以發(fā)揮IAP(互聯(lián)網(wǎng)接入點)和CAP(云接入點)的作用。區(qū)域安全即服務(wù)：通過將零信任架構(gòu)與基于云的EDR解決方案相結(jié)合，可以取代已經(jīng)被證實過于復(fù)雜和昂貴的區(qū)域安全棧(RSS)。

國防部將JIE轉(zhuǎn)變到安全即服務(wù)模式的好處，將體現(xiàn)在成本節(jié)約、更大的可擴展性、終端用戶和作戰(zhàn)人員的更佳性能，和最終更強大的網(wǎng)絡(luò)安全能力。

5. 啟示

安全服務(wù)并不是安全即服務(wù)。安全即服務(wù)是安全服務(wù)的SaaS化。因為安全即服務(wù)將主要基于云來實現(xiàn)，所以也被稱為安全云服務(wù)(并非云安全服務(wù))。

顯然，安全即服務(wù)必須能夠與網(wǎng)絡(luò)安全行業(yè)的合作伙伴緊密集成(如SIEM、EDR、威脅情報供應(yīng)商等)，以確?？梢皂樌夭渴鸷图煞?wù)，從而提供一流的整體解決方案。

所以，真正的安全即服務(wù)，需要一家具有即服務(wù)思維的網(wǎng)絡(luò)安全服務(wù)運營商。