为什么美国国防部要将军?JIE(联合信息环境)升级DMS(数字现代化战略)
通过本文的分析,作者得出了一个解释:从GIG(全球信息格栅)到JIE(联合信息环境)引领了美国国防部的最后一次转型;从JIE(联合信息环境)到DMS(数字现代化战略),将引领美国国防部的下一个转型。
从安全的角度来看,下一个转型将整合云服务、即服务、零信任的理念,可以概括为基于云的 *** 安全即服务的转型之路。
趋势总是在发生后才被确认。云服务的转型不再是一个“是否”(转型)问题,而是一个问题“如何”(转型)问题。美国国防部的转型之路对政企客户具有参考价值。
一、JIE引领上一次转型
1. GIG向JIE的转型
GIG问题。自2001年911事件以来,美国国防部(DoD)意识到各机构的 *** 过于孤立,阻碍了各机构与全球任务合作伙伴之间的关键信息共享。此外,各机构继续建立自己的 *** ,设计自己的安全结构。竖井的施工导致了持续的重复工作和整体设计成本的增加。
向JIE2012年12月,国防部制定了联合信息环境(JIE)框架。JIE目标是建立统一的方式,使国防部各机构能够使其IT *** 现代化。JIE框架有助于确保各机构和任务伙伴能够安全共享信息,减少人力和基础设施开支。
图1-JIE集中架构和GIG对比分散架构
JIE技术挑战。JIE这是一个雄心勃勃的目标,也是国防部发展的必要步骤。JIE在这个框架中,最困难的两个技术挑战是单一的安全架构(SSA)和云计算。接下来,重点解释这些技术挑战。
2. 单一安全架构(SSA)
单一安全架构(SSA)是国防部实施的JIE最重要的措施之一是:
- 打破各部门之间的 *** 安全障碍。
- 减少部门外部攻击面。
- 标准化管理、运行、技术安全控制。
最重要的优点之一是单一的安全架构(SSA)将使国防部能够了解整个国防部 *** 的情况,全局态势感知达到之前无法实现的水平。这在前面的图1中体现。
SSA最关键的两个组件是联合区域安全栈(JRSS)与互联网接入点(IAP)。如下图所示:
图2-国防部JIE框架
上图显示了三显示在上图中:
- 边界安全栈:即企业边界保护(EPP)组件(带放大镜的图标);它实际上是一个整合各种网关安全服务的逻辑概念,包括几个不同的网关,如路由互联网流量的互联网接入点(IAP)、任务伙伴网关路由任务伙伴流量(MPG)、移动网关路由移动终端用户流量(MG)、云接入点路由商业云流量(CAP)。红色标记的互联网接入点(IAP)和云接入点(CAP)以下是更重要的介绍;
- 区域安全栈:即联合区域安全栈(JRSS)下面将介绍(盾牌图标);
- 情况感知:包含在企业运营中心。汇总边界安全栈和区域安全栈的信息,形成全局可见性;以及全局指挥控制。
3. 联合区域安全栈(JRSS)
联合区域安全栈(JRSS)是SSA(单一安全结构)最重要的实施。它反映了中间层安全的理念,旨在实现区域标准化安全结构,避免各军事基地、哨所、营地或工作站的非标准化结构。
图3-JRSS在中间层部署
4. 互联网接入点(IAP)
JIE边界防御从互联网接入点(IAP)一开始,它也是国防部 *** 和互联网之间的一个安全堆栈。它提供企业边界安全能力,如企业电子邮件安全网关、入侵检测、防火墙和访问控制,反映在上图3中(即边界安全)。
5. 安全云计算架构(SCCA)
为应对云安全挑战,国防部利用联邦风险和授权管理计划(FedRAMP)安全云计算架构(SCCA)。FedRAMP建立了访问和授权云服务的标准 *** ,国防部使用低敏感度和中敏感度数据FedRAMP。
为了保护更敏感的数据,国防部提出SCCA(安全云计算架构)。它是商业云环境中托管的影响水平IL-4/5数据提供了边界和应用程序级安全的标准 *** 。SCCA国防部信息系统 *** 的目的是(DISN)与国防部使用的商业云服务提供保护屏障。
图4-混合云部署和国防部SCCA架构
从上图可以看出,IAP和CAP(云接入点)的主要功能是提供一个全面而强大的安全堆栈(应对web、分别保护国防部信息系统 *** 的互联网和云威胁(DISN)不受Internet和CSP影响(云服务提供商)。
二、DMS开始下一次转型
1. 转向基于云的IT即服务方式
设法从IT在运维中脱身。美国国防部IT现代思维表明,它希望脱离基础设施运维业务,并将其带走IT从云服务提供商处消费是一种服务。然而,国防部IT许多基础设施的底层设计都植根于十多年前开发的基础设施结构,花了很多年才投入生产,导致国防部各机构不得不继续亲自运行和维护大量的基础设施IT基础设施不能立即转向IT也就是方式。
实施IT即服务解决方案。美国国防部正在探索和实施商业供应商“企业IT即服务”为了降低成本,保持与其他国家竞争对手相比的竞争优势,解决方案。国防部企业合作和生产力服务(ECAPS)战略,就是转向IT即服务示例。如下图所示:
图5-ECAPS(企业合作和生产力服务)
图中,作为ECAPS能力集1,国防企业办公解决方案(DEOS)也是数字现代化战略(DMS)关键要素(即DMS其中15个要素)DISA(国防信息系统局)技术路线图(2.0版本个战略领域之一(如下图所示)的重要性是不言而喻的。它是一种企业级的商业云服务产品,通过获取和实施一般的企业应用程序和服务,在整个国防部联合使用,以取代国防部现有的统一能力(UC),使云应用标准化,可在当地基地/哨所/营地/站点(B/P/C/S)实现跨部门合作的层次(包括流动组织)。
图6-DISA(国防信息系统局)技术路线图(2.0版)
国防企业电子邮件(DEE)这是一个重要的之一步,因为它使国防部从分布式电子邮件解决方案转向集中企业服务,为云办公解决方案的转变铺平了道路。在过去,国防部的每个机构都必须维护自己Microsoft Exchange对国防部来说,服务器集群非常低效和昂贵。
2. 转向基于云的安全,即服务模式
沿着上述IT当然,国防部也希望以安全即服务的方式使用国防部 *** 架构的安全组件。
当今由DISA(国防信息系统局)在全球10个地点托管管理IAP(互联网接入点)将能够满足国防部的要求IL-2以即时服务的方式提供所需的安全栈。
国防部也开始探索替代品CAP(云接入点)解决方案将满足国防部的要求IL-4/5要求的安全是服务,以避免与当前相比JIE SSA实现相关瓶颈和延迟。
在转向云解决方案的过程中,JRSS(联合区域安全栈)IAP(互联网接入点),CAP可以整合云接入点之间的许多重叠功能,为国防部用户和战斗人员提供更高效、更简化的服务消费模式。
图7-云服务架构,国防部
3. 以资源为中心探索零信任 ***
当前的JIE设计以 *** 为中心,这意味着重点是保护 *** 本身。假设一旦 *** 得到保护,资源和用户也将得到保护。这一观点已被证明是不合适的。
国防部需要的是采用NIST零信任架构的定义(ZTA)现代 *** 。美国海军中将、美国国防信息系统局(DISA)局长 Nancy Norton,已经表达了这一要求(见2020年底美国国防部将提供零信任架构)。DISA新兴技术局局长Wallace还进一步解读了国防部向零信任架构演变的思路(见美国国防部零信任支柱)。
国防部已开始探索零信任解决方案,ZTA(零信任架构)很可能成为保护 *** 内部资源的关键;IAP和CAP(云接入点)等解决方案将继续保护边界。
图8-国防部防部零信任的支柱
4. 结论
从历史的角度来看,JIE这是一个创新的概念,实现了最后的转变。它将国防部从高度分散和孤立的结构(国防部的每个机构都管理其 *** 安全)转变为统一的单一安全结构(SSA)。
- 区域安全:位于世界各地B/P/C/S大约200个机构安全栈被带走DISA几十个集中管理的安全栈(即联合区域安全栈)JRSS)所取代。
- 云安全:云安全,SSA安全云计算架构(SCCA)为采用商业云服务提供商的云服务,提供了安全框架。
在统一的安全结构下,国防部准备开始下一个转型,即从管理和维护结构本身到消费。
- 边界安全是服务:通过交付基于云的安全栈,可以提供边界安全能力,充分发挥IAP和CAP(云接入点)的作用。
- 区域安全就是服务:零信任架构和基于云的EDR解决方案的结合可以取代被证明过于复杂和昂贵的区域安全栈(RSS)。
国防部将JIE转变为安全服务模式的好处将反映在成本节约、更大的可扩展性、终端用户和战斗人员的更好性能以及最终更强大的 *** 安全能力上。
5. 启示
安全服务不是安全服务。安全服务是安全服务SaaS化学。又称安全云服务(不是云安全服务),因为安全即服务主要是基于云实现的。
显然,安全意味着服务必须与 *** 安全行业的合作伙伴紧密集成(如SIEM、EDR、威胁情报供应商等。),以确保服务的顺利部署和集成,从而提供一流的整体解决方案。
因此,真正的安全是服务,需要一个具有即服务思维的 *** 安全服务运营商。