美軍云計算安全措施及商業云推進現狀

為加速美軍數字化轉型的發展進程，國防部于7月6日正式取消了處 于長期停滯狀態的企業通用云項目——聯合企業防御基礎設施（JEDI），并公布了其替代方案——聯合戰士云能力（JWCC）。新項目基于 JEDI 的建設 內容， 強化安全目標、細化安全措施， 實現從應用層到數據層的安全能力，以滿足符合國防部安全要求的操作環境，進一步增強網絡防御。自此，美軍通用云環境以多態云取代了單一云的建設思路，為美軍全球戰略提供安全云服務開啟了新征程。

商業云的出現正在改變美國防部開發、交付、部署并最終應用的程序、系統和服務的方式。但由于云計算環境的開放性和共享性，其面臨著數據 丟失泄露、服務竊取等安全問題。因此，美軍強調建設彈性、安全的云環境，將安全重點從邊界防御轉向保護數據和服務，并持續發布、更新云安 全戰略及指南，以項目建設推動云安全發展，旨在推動云計算在國防部的 安全應用。

一 美軍云安全措施

2014 年以來，美軍陸續發布云計算安全戰略規劃、指南文件，統一制定軍事云計算系統的頂層安全設計， 指導規范了國防部使用云計算服務的安全管理，為云服務提供商建設云計算系統、提供安全服務制定統一標準，以期進一步增強網絡防御。

（一） 制定信息影響等級，推動云計算分級應用

美國防部基于機密性、完整性及可用性的安全目標，以信息影響等級策略實現商業云的分級應用。根據云環境中存儲和處理的信息敏感度或機密級別，國防部將云安全 6 層模型合并簡化為4 級信息影響等級（見下表 1）。

表 1.國防部云計算安全信息影響等級

根據信息影響程度， 國防部將軍事信息系統分為低、中、高三個級別。低級別信息系統（信息影響等級 2 級）允許軍事信息資源放入公共云中，允許公開使用；中級別信息系統 (信息影響等級 4 、5 級) 通過虛擬云環境安全連接至網絡，以通用訪問卡（CAC）或其他方式提供對敏感信息的受限利用；高級別信息系統 (信息影響等級 6 級) 主要針對國家安全系統，必須采用軍事云或實施云隔離。

（二） 嚴格安全需求標準，規范云計算頂層設計

《國防部云計算安全要求指南》為商業云服務商取得國防部云安全認證提供了可衡量的需求指標，包括安全控制政策需求、法律法規需求、持續評估需求、公鑰基礎設施（PKI）安全需求、政策指導和業務限制需求、物理設施和人員需求、數據泄露、數據恢復和銷毀、存儲載體和硬件的重用和處置安全、系統安全架構需求、商業云靜態數據加密需求、數據備份等十九項安全要求。

通過安全需求標準， 統一規范國防部使用和實施商業云服務的頂層安全設計，使各軍事機構在采購云服務時有據可依，避免低效和無序設計。同時作為一種標準化的合同語言，有效集成標準化的需求和實踐，為美軍業務部門項目管理人員評估和授權責任人在計劃和授權云服務使用方面提 供參照， 提高采購效率。

（三） 劃分安全職責分工，督促云計算安全管理

《國防部未來云戰略》將美軍云安全和合同采購模式由國防信息系統 局（DISA）統一負責轉變至分散式管理模式，各機構可以通過一定的云安全認證流程自行采購云服務， 而 DISA 負責確保和監督各機構在應用商業云服務時的安全標準。同時在使用過程中，因職責主體具有多樣性，美軍根據云計算模式將云服務提供商及用戶的安全進行細化（如下圖 1）。

圖 1.不同模式下云計算安全職責分工

在基礎設施即服務（IaaS）環境下， 云服務商安全職責較小，只需維護基礎設施、硬件和資源抽象控制層的安全， 美軍云用戶負責虛擬化計算資源層、軟件平臺層、應用軟件層安全；在軟件即服務環境（ SaaS）下，云服務商安全職責較大，其需維護從云環境底層到上層所有層次的安全， 而美軍云用戶只需負責應用軟件層安全。

（四） 落實安全風險評估，實現云計算授權控制

云計算安全評估是對云服務商安全能力的綜合評定。美軍通過引入第三方評估、設立云安全評估管理機構、明確評估職責等措施，驗證云產品的安全合規性和網絡防御能力，為所有云服務提供商獲得相關授權，同時審查承包商和第三方所開展的測試是否符合績效和安全監視要求。

云安全風險評估通過“一次授權、多次使用”的模式加速軍隊采購，減少安全評估和流程監控報告所需的成本、時間和人員，同時也增強了軍隊和云服務提供商之間的透明度，提高了安全授權過程的可信賴性、可靠性和一致性。

二 美軍云安全項目情況

自 2012 年國防部頒布《國防部計算云戰略》 以來，美軍便積極利用 IT技術創新，與私營企業、盟友伙伴建立緊密合作關系， 以期建立高效安全 的信息和 IT 服務交付平臺。后續， 美軍針對性提出構建可擴展和安全的云 環境、采用具有動態彈性的商業云架構、創建標準的云網絡架構等措施， 進一步完善國防部采辦商業云服務， 建立企業云環境， 確保全球戰略優勢。

（一） 構建致力于邊界安全的云計算安全架構

為提高國防信息系統網絡（DISN）和商業云服務間的防御能力，提供 敏感程度更高的數據保護，美軍于2017年底創建了云計算安全架構（ SCCA）， 針對來自云服務環境（CSP）任務應用程序和多用戶環境內 DISN 基礎設施 和任務程序的惡意攻擊。SCCA 提供了一套企業級云安全和管理服務， 為商 業云環境中托管 2 、4 、5 、6 信息影響等級的數據， 提供了邊界和應用程序級別的安全標準方法。

圖 2.云計算安全架構示意圖

SCCA 產品組件包括：

·云訪問點（ CAP）：包括內部云訪問點（ ICAP）和邊界云訪問點（BCAP），可提供云訪問、DISN 邊界保護等防御能力。

·虛擬數據中心安全堆棧（VDSS）：保障國防部應用程序和數據安全，提供虛擬網絡飛地安全，支持安全事件數據共享。

·虛擬數據中心管理服務（VDMS）：提供系統管理網絡和任務所有者系統支持服務， 支持 DISN 的安全管理網絡連接、 基于虛擬主機的 管理服務、虛擬系統身份和訪問管理服務。

·可信云憑據管理器（TCCM）：用于建立、配置和控制任務所有者的虛擬私有云（VPC）配置，控制特權用戶訪問的賬戶和憑證。

當前，國防部大力推行保護網絡內部資源的零信任架構（ZTA），而 CAP 解決方案則繼續用于保護邊界安全。但隨著持續增長的指數級數據需求， 隔離流量的區域方法已不再有效，國防部開始探索替代 CAP 的云解決方案， 轉向使用更高效、簡潔的云安全即服務的消費方式，從而為任意地點、 任 意用戶提供標準的安全服務。

（二） 采用商業云架構升級“軍事云”2.0

“軍事云”2.0 是美國防部主要的專用云基礎架構， 通過采用商用現貨 的設計和軟件進行構建，為國防部數據中心的資源和存儲按需提供不同軟 件服務的接口和空間，旨在提高國防部信息網的速度、服務可靠性、存儲 靈活性和安全性。整個國防部用戶都可以利用軍事云 2.0 進行應用遷移、應 用現代化和新應用開發， 并可利用亞馬遜 AWS 的分析、邊緣計算、終端用戶計算和安全等領域的云服務。

“軍事云”2.0 構建分為兩個階段：第一階段將單個商業云提供商的云 服務接入兩個軍事數據中心，只處理未加密數據；第二階段將云擴展到國防部多個數據中心，并處理加密和未加密的數據。按照國防部規劃，所有應用和系統要于 2020 年 12 月 31 日前完成遷移或者停止服務。

表 2 軍事云 2.0 推進大事記

2021 年 7 月，美國會議員警告，國防部遷移至軍事云 2.0 的速度緩慢，只有約五分之一的任務平臺正在轉向軍事云 2.0。鑒于近期的 Colonialpipeline 和 SolarWinds 網絡攻擊，云遷移工作需要被視為國防部最重要事項。

（三） 以“聯合戰士云能力”項目重啟通用云建設

經歷了聯合企業防御基礎設施（JEDI）項目的長期合同糾紛與停滯，美國防部于 2021 年 7 月宣布取消 JEDI 項目，并以聯合戰士云能力（JWCC）重啟國防部企業通用云建設。作為 JEDI 的替代項目， JWCC 最大變化是國防部搭建企業通用云的方式選擇從單云轉向多云，同時提供在非密、機密和絕密 3 個涉密等級的相應能力和同等服務， 允許數據跨密級流動的一體化跨域解決方案（CDS），確保包括戰術邊緣、本土以外在內的全球環境的可用性， 增強的網絡安全控制措施。

JWCC 項目各個產品時間要求都有所提前， 國防部企業通用云建設進 一步提速。項目要求合同授予時，云服務商即可以提供非保密云服務和建 議/協助服務；合同授予后 60 天內， 機密云產品能夠支持秘密工作負載；合 同授予后 180 天內，機密云產品能夠支持所有機密服務，包括絕密、敏感 分隔信息（SCI）和特殊訪問計劃（ SAP）。

JWCC 云計劃將繼續整合國防部所有通用類型的云計劃， 把龐雜的各 類線下計算系統遷移到云端，成為一個全球可用、快速響應的公共數據和 基礎設施平臺，最終讓所有軍事分支機構可以在一個系統中共享信息，從 而大大提高數據處理效率。

（四） 將商業云服務拓展至移動設備

為改變從便攜設備獲取加密信息的傳統模式， 將美軍涉密 IP 協議路由 網絡（ SIPRNet）擴展至美軍全體成員移動設備（如臺式機、筆記本電腦、 平臺設備和智能手機等）， DISA 聯合陸軍開展了“統一能力（UC）”項目， 以提高部隊行進間的數據訪問能力和安全水平，建立新的指揮控制方式。

思科、蘋果、亞馬遜等多家公司組成聯盟， 共同開發基于云遷移技術 的“機動任務”系統，提供以云為中心的數據共享功能，同時確保機密信 息的安全性。該系統將商業設計的本地應用程序優勢與安全云結合，允許 本地應用程序快速技術升級；基于新算法、特定編碼、強化加密、標準化 IP 協議和虛擬化安全性，允許前沿部隊在作戰中使用移動設備進行跨平臺 安全訪問；使用通用網絡界面，在移動設備上擴展更安全的云可用性。目 前，“機動任務”正將其云訪問方案與軍事設備聯網， 旨在借鑒“軟件開發 套件”（ SDK）， 以提高云環境的安全性。

三 美軍云服務提供商

美軍持續以招標采購的方式，由云服務提供商為美軍構建安全的云環 境。當前，美軍云服務提供商多數由大型 IT 公司承擔，包括亞馬遜 AWS、 微軟 Azure 、谷歌云 GCP 、甲骨文等公司。

（一） 亞馬遜 AWS 是美軍云服務提供商的主導者

1.產品介紹

亞馬遜 AWS 公司是資歷最久、最成熟的云服務提供商， 約包含逾 200 種產品及服務， 可提供自動安全評估、密鑰管理、 Web 應用防火墻和身份 管理等功能。亞馬遜AWS通過安全防火墻和細粒度身份訪問和管理（IAM） 提供隔離， 通過AWS Inspector 提供漏洞評估、 API 活動監控， 通過 Guard Duty 進行威脅情報及數據丟失預防。

2.產品優勢

（1）擁有最高級別信息影響等級授權資質

當前，亞馬遜 AWS 公司在全球云基礎設施中擁有統治性的市場份額， 同時擁有美國防部最高級別的信息影響授權(IL6)資質。該資質進一步鞏固 了亞馬遜 AWS 行業主導者的地位， 美國防部可更方便地將 AWS 用于各種 IT 服務。當前，國防部已使用 AWS 托管關鍵數據、關鍵任務工作負載，支 持國防部關鍵任務保護數據安全。

（2） 占據政、軍、情三界云服務的主導地位

亞馬遜AWS公司產品完成了在政務、軍隊、情報三界市場的產品布局， 能夠滿足各類業務工作負載服務，包括非密、敏感、秘密和絕密的數據分類，并在當前的云市場中占據主導地位。如亞馬遜 AWS 公司提供的 AWS GovCloud、AWS GovCloud High 域等多個產品通過了美國政府的安全認證， 并在政府部門投入使用；AWS Secret Region 服務專門滿足美國情報部門的 計算需求，可以運行機密級別的工作任務。

（3）云安全是 AWS 產品的最高優先等級

亞馬遜 AWS 將云安全及云應用安全視為頭等大事，其利用大量經驗及先進工具， 不斷完善平臺整體成熟度和規模，維護底層云基礎設施的安全。

其安全產品具有如下特點：

·數據傳輸加密。用戶與數據中心、云平臺間的數據傳輸默認加密，彈性云計算（EC2）加密數據通過 256 位 AES 加密， 而加密密鑰采用定期變化的 master key 加密。

·內置防火墻。Amazon VPC、AWS WA 產品都內置網絡防火墻或web 應用防火墻，可創建私有網絡以實現對應用和實例的訪問控制。

·靈活的密鑰管理選項。亞馬遜AWS Key Management Service 提供靈活的密鑰管理選項， 用戶可自由選擇密鑰管理主體， 同時滿足用戶 的合規性要求。

3.與美軍相關合作

2021 年 3 月，亞馬遜和微軟公司簽署合作研發協議，旨在協助 DISA 云計算計劃辦公室開發一套“基礎設施即代碼”（IaC）模板，以在微軟 Azure 云中構建標準環境，加快國防部對云的采用。

2020 年 11 月，中央情報局（CIA）授予亞馬遜、微軟、谷歌、甲骨文和 IBM 五家公司“商業云企業（C2E）”合同，尋求采購基礎云服務， 包括基礎設施、平臺和軟件即服務功能以及其他專業服務。

（二） 微軟 Azure 是美軍云服務提供商的競爭者

1.產品介紹

微軟 Azure 基于 Microsoft 軟件和業務應用程序，通過多層安全機制對 數據中心、基礎設施進行保護， 提供簡單、實用、快速的產品及服務，以期保護用戶的業務資產和數據。微軟 Azure 依照基礎設施即服務(IaaS)和平臺即服務(PaaS)兩個模式， 提供從后方到戰術前沿的企業級商用云服務。

2.產品優勢

（1）侵略性的軍方合作伙伴關系

微軟在美國防部IT領域擁有侵略性的合作伙伴關系。在2019年 12 月， 微軟 Azure 的政府機密產品已獲得國防部信息影響等級 6 的臨時授權， 以 及情報界托管機密秘密工作負載所需的其他標準。除此之外，微軟作為國 防部的技術支持方，還為多個軍種提供托管服務、信息系統服務、計算機設備更新升級服務等。

（2）加速擴張的云安全服務

從 2018 年開始， 微軟即推動“智能云+智能邊緣”理念作為公司單一 架構戰略的自然延伸。微軟選擇了“超規模(hyperscale)云提供商”的定位，提供橫跨身份、數據、應用開發、安全和邊緣管理等服務。同時，為迎合 國防部 IT 現代化的需求， 微軟還與 AT&T 公司合作開發并部署便攜式數據中心， 利用 AT&T 公司的 5G 網絡連接賦能 Azure Stack 混合云環境。

（3）產品專注內生安全

與亞馬遜 AWS 產品的隔離性優勢不同， 微軟 Azure 將其重點置于中央安全系統內， 實現單一目錄控制整個系統。其安全產品具有如下特點：

·服務默認最小安全配置。微軟 Azure 建立虛擬網絡和虛擬機的時候，所有的端口和協議都是開放的。

·中心化功能。支持為所有云用戶提供跨區域的控制臺與 API 情況的活動日志， 同時 Azure 安全中心(ASC) 允許子訂閱級別的訪問。

·AI 賦能安全分析。Azure 可每天分析 6.5 億條威脅信息，AI 驅動的安全分析技術使威脅檢測與響應更加智能、快速， 用戶的安全運營 現代化。

3.與美軍相關合作

2018 年 5 月，微軟與情報界簽訂一個為期六年、金額達數億美元的意 向合同， 微軟將通過與戴爾公司的一個聯合企業授權協議，向情報界的 17 個局級機構或部委下屬專業單位提供從 Azure 政府云、 Office 365 美國政府 版到 Windows 10 的全部微軟云計算產品組合。

（三） 谷歌云 GCP 是美軍云服務提供商的創新者

1.產品介紹

Google 云平臺由不同的服務和解決方案組成，提供的產品超過 50 種。如全球基礎設施安全方案采用層次化遞進設計， 為全信息處理生命周期提 供安全保障；Google Security Command Center 提供集中式可見性與控制，使客戶能夠發現錯誤配置與漏洞、監測合規情況和檢測威脅；BeyondCorp Enterprise 零信任平臺提供身份與訪問控制措施等。

2.產品優勢

（1）基于強安全基礎

谷歌云 GCP 采用了信息系統安全師公共知識體系(CBK)分類法，確保 CBK 中的安全問題得到解決。同時，谷歌云 GCP 還將其安全擴展到了應用層，在應用層、基礎層等不同層次間使用其數據中心專有專利強化了安全屬性。如谷歌云 GCP 采用安全的硬件基礎設施、存儲服務、身份服務和網 絡通信，為用戶服務提供了深度防御架構。

（2）專注安全邊界變化

在身份和數據安全成為兩大重要安全新邊界的時代，谷歌身份與訪問 管理可幾乎提供客戶需求的所有功能，包括細粒度訪問控制、多因子身份驗證、單點訪問等。同時，為保障數據安全， 谷歌云 GCP 數據采用默認加密方式，開放了數據丟失防護應用程序編程接口( DLP API )以供客戶發現、 分類并保護敏感數據。

（3）專注安全創新

谷歌 GCP 作為較新的云服務平臺， 不斷利用谷歌的創新能力成為云服 務商的創新者。同時為擴展安全覆蓋面， 谷歌還與微軟、甲骨文等公司簽 署合作協議。如谷歌 2017 年發布了 5 款安全產品， 覆蓋谷歌多項技術及 GCP；2018 年發布虛擬機(VPC)服務控制、訪問透明性、云盔( Cloud Armor )、 DLP API 等 20 項安全產品。

3.與美軍相關合作

2021 年 5 月，美國防創新單元（DIU）與谷歌云達成合作意向。谷歌 云將構建多云安全網關， 保障國防部在訪問商業云服務時的安全和控制能 力， 且訪問過程不影響性能和可用性。谷歌云安全解決方案包括網絡監控、審計跟蹤， 將由谷歌云控制臺管理， 但允許國防部跨不同云服務（如 AWS、 Azure）運行服務和應用，支持移動和遠程辦公場景。

四 結　語

安全保密對軍隊來說至關重要，相對于快速部署、資源調度、海量數 據處理和大規模消息通信等技術，云計算的安全問題在軍事應用方面更加 突出。為此，美軍通過發布云計算安全控制相關政策、明確安全管理機構 職責、實施云服務和云服務提供商安全評估、制定安全要求和控制辦法等 措施推動商業云在國防領域的安全應用。隨著云計算在美軍的不斷發展及 其應用的日益深入，商業云將成為美軍信息化建設的“助推器”。