为什么美国国防部要将JIE(联合信息环境)升级为DMS(数字现代化战略)?通过本文的分析,笔者得出一个解释:从GIG(全球信息网格)到JIE(联合信息环境),引领了美国国防部此前的转型;从JIE(联合信息环境)到DMS(数字现代化战略),将引领美国国防部的下一步转型。从安全的角度来看,接下来的转型将融合云服务、即服务和零信任的思想,可以概括为基于云的网络安全即服务的转型。趋势总是在发生之后才被相信。向云服务转型不再是“是否”(transition)的问题,而是“how”(转型)的问题。美国国防部的转型路径对政企客户具有参考价值。一、JIE引领了最后一次转型1、从GIG到JIE的转型GIG面临的问题。2001年9/11袭击后,美国国防部(DoD)意识到机构网络过于孤立,阻碍了机构与全球任务合作伙伴之间的关键信息共享。此外,每个机构继续建设自己的网络并设计自己的安全架构。建造竖井的做法导致不断重复工作并增加总体设计成本。转化为JIE。由于效率低下,国防部于2012年12月制定了联合信息环境(JIE)框架。JIE的目标是为国防部机构建立统一的IT网络现代化方式。JIE框架有助于确保机构和任务合作伙伴能够安全地共享信息,同时减少人力和基础设施支出。图1-JIE集中式架构与GIG分散式架构对比JIE的技术挑战。JIE是一个宏伟的目标,也是国防部发展的必经之路。在JIE框架内,最难的两个技术挑战是单一安全架构(SSA)和云计算。接下来,我们着重解释这些技术挑战。2.单一安全架构(SSA)单一安全架构(SSA)是国防部实施JIE的最重要举措之一。它的好处是:打破部门之间的网络安全壁垒。减少部门的外部攻击面。规范的管理、操作、技术安全控制。最重要的优势之一是单一安全架构(SSA)将使国防部能够获得整个国防部网络的可见性,从而实现以前不可能达到的全球态势感知水平。这在上面的图1中显示。SSA的两个最关键的组件是联合区域安全堆栈(JRSS)和互联网接入点(IAP)。如下图所示:图2-国防部JIE框架上图展示了三大类安全组件:PerimeterSecurityStack:EnterprisePerimeterProtection(EPP)组件(带有放大镜的图标);它实际上是一个逻辑概念,集成了各种网关安全服务,包括几种不同的网关,例如:用于路由互联网流量的互联网接入点(IAP),用于路由任务伙伴流量的任务伙伴网关(MPG),移动网关(MG),路由业务云流量的云接入点(CAP)。其中,红色标记的InternetAccessPoint(IAP)和CloudAccessPoint(CAP)比较重要,下面会介绍;RegionalSecurityStack:JointRegionalSecurityStack(JRSS)(盾形图标),下面会介绍;态势感知:包含在企业运营中心。聚合来自周边安全堆栈和区域安全堆栈的信息以实现全球可见性;和全球指挥与控制。3.联合区域安全堆栈(JRSS)联合区域安全堆栈(JRSS)是SSA(单一安全架构)最重要的实现。它体现了中间层安全的思想,旨在实现区域层面的标准化安全架构,同时避免每个军事基地、哨所、营地或工作站的非标准化架构。图3-部署在中间层的JRSS4.互联网接入点(IAP)JIE外围防御从互联网接入点(IAP)开始,它也是一个安全堆栈,充当DoD网络和互联网之间的安全网关。它提供企业级边界安全功能,如企业电子邮件安全网关、入侵检测、防火墙和访问控制,如上图3所示(即边界安全)。5.安全云计算架构(SCCA)为应对云安全挑战,国防部利用联邦风险和授权管理计划(FedRAMP)和安全云计算架构(SCCA)。FedRAMP建立了访问和授权云服务的标准方法,国防部将FedRAMP用于低敏感度和中度敏感度数据。为了保护更多的敏感数据,国防部提出了SCCA(SecureCloudComputingArchitecture)。它为商业云环境中托管的影响级别IL-4/5数据提供了边界和应用程序级安全的标准方法。SCCA的目的是在国防部信息系统网络(DISN)和国防部使用的商业云服务之间提供一道保护屏障。图4-国防部混合云部署和SCCA架构从上图可以看出,IAP(InternetAccessPoint)和CAP(CloudAccessPoint)的主要功能是提供一个全面而健壮的安全堆栈(应对网络、互联网、云威胁),它们分别保护国防部信息系统网络(DISN)免受互联网和CSP(云服务提供商)的侵害。二、DMS开启下一次转型1、转向云端IT即服务,尝试脱离IT运维。DoD的IT现代化方法表明它希望摆脱基础设施运营业务,并将IT作为来自云服务提供商的服务来使用。然而,国防部IT基础设施的许多底层设计植根于十多年前开发的基础设施,并需要数年时间才能投入生产,导致国防部机构继续自行运营和维护大量IT基础设施。不会立即转向IT即服务方法。实施IT即服务解决方案。美国国防部正在探索和实施来自商业供应商的“企业IT即服务”解决方案,以降低成本并保持相对于外国同行的竞争优势。DoD企业协作和生产力服务(ECAPS)战略是向IT即服务转变的一个例子。如下图所示:图5-ECAPS(EnterpriseCollaborationandProductivityServices)内容图,作为ECAPSCapabilitySet1,DefenseEnterpriseOfficeSolutions(DEOS)也是DigitalModernizationStrategy(DMS)的关键要素(即,15DMS也是DISA(国防信息系统局)技术路线图(2.0版)的三大战略领域之一(如下图所示),其重要性不言而喻。它是一个企业-级商业云服务产品,可以在整个国防部联合使用,通过获取和实施通用的企业应用程序和服务来取代现有的国防部统一能力(UC)。本地基地/前哨/营地/站点(B/P/C/S)级别(包括移动组织)启用机构间协作。图6-DISA(国防信息系统局)技术路线图(2.0版)国防企业电子邮件(DEE)是重要的第一步,因为它启用促使国防部从分布式电子邮件解决方案迁移到集中式企业服务,并为转向完全作为服务交付的云办公解决方案铺平了道路。过去,每个DoD机构都维护自己的MicrosoftExchange服务器集群,这对DoD来说效率低下且成本高昂。2.转向基于云的安全即服务方法除了前面提到的IT即服务方法,国防部当然希望在安全中使用国防部网络架构的安全组件即服务的方式。IAP(互联网接入点)目前由DISA(国防信息系统局)在全球10个地点托管和管理,将由满足DoDIL-2要求的安全堆栈作为服务提供。DoD还开始探索替代CAP(云接入点)解决方案,这些解决方案将采用满足DoDIL-4/5要求的安全即服务,以避免与当前JIESSA实施相关的瓶颈和延迟。在转向云解决方案中,可以整合JRSS(联合区域安全堆栈)、IAP(互联网接入点)、CAP(云接入点)之间的许多重叠功能,为DoD用户和作战人员提供更高效、更简化的服务消费方式.图7-DoD云服务架构3.探索以资源为中心的零信任方法目前的JIE设计是以网络为中心的,这意味着重点是确保安全,用户也将受到保护。这种观点已被证明是不合时宜的。DoD需要的是采用NIST定义的零信任架构(ZTA)的现代方法。美国海军中将、美国国防信息系统局(DISA)局长南希·诺顿表达了这一呼吁(见《2020年底美国国防部将提供零信任架构》)。DISA新兴技术局局长华莱士也进一步解释了国防部向零信任架构的演变(见《美国国防部零信任的支柱》)。国防部已经开始探索零信任解决方案,ZTA(ZeroTrustArchitecture)很可能成为保护网络内部资源的关键;而IAP(互联网接入点)和CAP(云接入点)等解决方案继续保护周边。图8-DoD零信任实施的支柱4.结论从历史的角度来看,JIE是实施先前转型的创新概念。它将国防部从高度分布式和孤立的架构(国防部内的每个机构管理自己的网络安全)转变为统一的单一安全架构(SSA)。区域安全:位于全球B/P/C/S的大约200个机构安全堆栈被DISA管理的数十个安全堆栈(JointRegionalSecurityStackJRSS)所取代。云安全:为了安全上云,SSA的SecureCloudComputingArchitecture(SCCA)为商业云服务提供商的云服务提供了安全框架。在统一安全架构下,国防部准备开始下一次转型,从管理和维护架构本身,到将其作为服务使用。边境安全即服务:通过将基于云的安全堆栈作为服务交付,可以提供边境安全功能以发挥IAP(互联网接入点)和CAP(云接入点)的作用。区域安全即服务:通过将零信任架构与基于云的EDR解决方案相结合,可以替换已被证明过于复杂和昂贵的区域安全堆栈(RSS)。DoD将JIE转变为安全即服务模型的好处将是节省成本、更大的可扩展性、更好的最终用户和作战人员性能,以及最终更强的网络安全能力。5.启示安全服务不是安全即服务。安全即服务是安全服务的SaaS。由于安全即服务将主要基于云来实现,所以也称为安全云服务(不是云安全服务)。显然,Security-as-a-Service必须能够与网络安全行业合作伙伴(如SIEM、EDR、威胁情报供应商等)紧密集成,以确保服务能够顺利部署和集成,以提供最佳的安全服务。一流的整体解决方案。因此,真正的安全即服务需要网络安全服务运营商具备服务化思维。
