英国国防部为什么要将JIE(协同信息自然环境)升为为DMS(数据智能化发展战略)?
根据文中的剖析,小编得到一种表述:从GIG(全世界信息栅格数据)到JIE(协同信息自然环境),推动了英国国防部的上一个转型发展;从JIE(协同信息自然环境)到DMS(数据智能化发展战略),将推动英国国防部的下一个转型发展。
从安全性角度观察,下一个转型发展将结合云服务、即服务、零信任的观念,能够 归纳为根据云的网络信息安全即服务的转型发展之途。
发展趋势,一直在产生以后才被相信。而向云服务的转型发展,早已不会再是一个“是不是”(转型发展)的难题,只是一个“怎样”(转型发展)的难题。英国国防部的转型发展之途,对税企顾客具备实用价值。
一、JIE推动上一次转型发展1. GIG向JIE的转型发展GIG应对的难题。自2001年911事件以后,英国国防部(DoD)意识到各组织 互联网过度独立,阻拦了各组织 与全世界每日任务小伙伴中间的重要信息共享资源。此外,每一个组织 再次创建自身的互联网,设计方案自身的安全性架构。修建立井的作法,导致了不断的反复工作中和持续提升的总体方案设计花费。
向JIE的转型发展。因为高效率不高,国防部于2012年12月制订了协同信息自然环境(JIE)架构。JIE的总体目标是创建一种统一的方法,使国防部各组织 可以使其IT互联网智能化。JIE架构有利于保证各组织 和每日任务小伙伴可以安全性地共享资源信息,另外降低人力资源和基础设施建设支出。
图1-JIE集中型架构与GIG分散型架构的比照
JIE的技术性挑戰。JIE是一个开疆辟土的总体目标,也是国防部发展趋势的必需流程。在JIE这一架构内,最艰难的2个技术性挑戰是单一安全性架构(SSA)和云计算技术。下面,关键表述这几类技术性挑戰。
2.单一安全性架构(SSA)单一安全性架构(SSA)是国防部执行JIE的一项最重要举措,其益处取决于:
消除各单位中间的网络信息安全芥蒂。
降低单位的外界攻击面。
规范化管理方法、运作、技术性安全管理。
最重要的优点之一是,单一安全性架构(SSA)将使国防部可以掌握全部国防部互联网的状况,全局性入侵检测做到以前没法完成的水准。这在前面的图1中反映。
SSA最重要的2个部件是协同地区安全性栈(JRSS)和互联网接入点(IAP)。如下图所显示:
图2-国防部JIE架构
图中中表明了三大类安全性部件:
界限安全性栈:即公司界限维护(EPP)部件(带高倍放大镜的标志);它实际上是一个逻辑性定义,融合了各种各样网关ip安全性服务,包括了几类不一样的网关ip,如:路由器互联网技术总流量的互联网接入点(IAP)、路由器每日任务小伙伴总流量的每日任务小伙伴网关ip(MPG)、路由器挪动终端产品用户总流量的移动网关(MG)、路由器商业服务云流量的云连接点(CAP)。在其中鲜红色标识的互联网接入点(IAP)和云连接点(CAP)较为关键,将在下面详细介绍;
地区安全性栈:即协同地区安全性栈(JRSS)(盾牌图标),将在下面详细介绍;
入侵检测:含在公司营销中心。归纳界限安全性栈和地区安全性栈的信息,产生全局性由此可见性;及其全局性指引操纵。
3.协同地区安全性栈(JRSS)协同地区安全性栈(JRSS)是SSA(单一安全性架构)最重要的落地式完成。它体现了内层安全性的观念,致力于完成地区级的规范化安全性架构,而防止每一个军事禁区、边防哨所、基地或服务中心的非规范化架构。
图3-JRSS布署在内层
4. 互联网接入点(IAP)JIE界限防御力从互联网接入点(IAP)逐渐,它也是一个安全性栈,当做从国防部互联网和互联网技术中间的安全网关。它出示公司级界限安全性工作能力,如公司电子邮箱安全网关、入侵防御系统、服务器防火墙和密钥管理等,在上面的图3中有一定的体现(即界限安全性)。
5.安全性云计算技术架构(SCCA)为了更好地解决互联网安全挑戰,国防部运用了联邦政府风险性和权限管理方案(FedRAMP)和安全性云计算技术架构(SCCA)。FedRAMP创建了浏览和受权云服务的规范方式,国防部对低敏感性和中等水平敏感性数据信息应用FedRAMP。
为了更好地维护比较敏感水平高些的数据信息,国防部明确提出了SCCA(安全性云计算技术架构)。它为商业服务云自然环境中代管的危害等级为IL-4/5的数据信息,出示了界限和应用软件等级安全性的规范方式。SCCA的目地是在国防部信息系统软件互联网(DISN)和国防部应用的商业服务云服务中间出示一道维护天然屏障。
图4-国防部云计算平台布署和SCCA架构
从图中由此可见,IAP(互联网接入点)和CAP(云连接点)的关键作用,是出示一个全方位而健硕的安全性栈(解决web、互联网技术、云威协),各自维护国防部信息系统软件互联网(DISN)不会受到Internet和CSP(云服务服务提供商)的危害。
二、DMS打开下一次转型发展1. 转为根据云的IT即服务方法想方设法从IT运维中摆脱。英国国防部的IT智能化构思说明,它期待从基础设施建设运维管理业务流程中摆脱,将IT做为一种服务从云服务服务提供商处开展消費。殊不知,国防部IT基础设施建设的很多最底层设计方案,都根植十多年前开发设计的基本架构,耗费了很多年時间才资金投入生产制造,造成 国防部每个组织 迫不得已再次亲自运维管理很多的IT基础设施建设,没法马上转为IT即服务的方法。
执行IT即服务解决方法。英国国防部已经探寻并执行商业服务服务提供商的“公司IT即服务”解决方法,以控制成本和维持相对性于别国敌人的核心竞争力。国防部公司合作和生产主力服务(ECAPS)发展战略,便是转为IT即服务的实例。如下图所显示:
图5-ECAPS(公司合作和生产主力服务)內容
图上,做为ECAPS工作能力集1,国防安全商务办公解决方法(DEOS)也是数据智能化发展战略(DMS)的重要因素(即DMS的15个因素)之一,或是DISA(国防安全信息系统局)技术路线图(2.0版)的三大发展战略行业之一(如下图所显示),其必要性显而易见。它是一种公司级商业服务云服务商品,根据获得和执行通用性的公司应用软件和服务,在全部国防部内协同应用,以替代目前的国防部统一工作能力(UC),促使云计算平台规范化,可在当地的产业基地/边防哨所/基地/网站(B/P/C/S)等级(包含流动性机构)完成跨密切配合。
图6-DISA(国防安全信息系统局)技术路线图(2.0版)
国防安全公司电子邮箱(DEE)是关键的第一步,因为它促使国防部从分布式系统电子邮箱解决方法转移到集中型公司服务,并为变化到彻底由即服务方法出示的在线办公解决方法刮平了路面。而过去,国防部的每一个组织 都需要维护保养自身的Microsoft Exchange服务器群集,这针对国防部而言是十分低效能和价格昂贵的。
2.转为根据云的安全性即服务方法顺着以上IT即服务的构思,国防部自然也期待将国防部互联网架构的安全性部件,以安全性即服务的方法应用。
现如今由DISA(国防安全信息系统局)在全世界10个地址代管和管理方法的IAP(互联网接入点),将能够 由达到国防部IL-2规定的安全性栈以即服务方法出示。
国防部也早已逐渐探寻取代的CAP(云连接点)解决方法,它将选用达到国防部IL-4/5规定的安全性即服务,以防止出现与当今的JIE SSA完成相关的短板和延迟时间。
在转为云解决方法的全过程中,JRSS(协同地区安全性栈)、IAP(互联网接入点)、CAP(云连接点)中间的很多重合作用能够 获得融合,进而为国防部客户和战斗工作人员出示更高效率和简单化的服务消费方式。
图7-国防部云服务架构
3.探寻以資源为管理中心的零信任方式当今的JIE设计方案是以互联网为管理中心的,这代表着关键是维护互联网自身,其假定前提条件是:一旦互联网获得维护,資源和客户也将获得维护。这类见解早已被证实是毫无道理的。
国防部必须的是选用NIST界定的零信任架构(ZTA)的当代方式。英国海军中将、英国国防安全信息系统局(DISA)厅长 Nancy Norton,早已表述了这类需求(参照《今年 底英国国防部将出示零信任架构》)。而DISA新起技术性局长Wallace也进一步讲解了国防部向零信任架构演变的构思(参照《英国国防部零信任的支撑》)。
国防部早已逐渐探寻零信任解决方法,ZTA(零信任架构)很有可能变成维护互联网內部資源的重要;而IAP(互联网接入点)和CAP(云连接点)等解决方法则再次维护界限。
图8-国防部零信任执行的支撑
4. 结果用历史时间的目光看,JIE是一个自主创新定义,完成了上一个转型发展。它将国防部从一个高宽比分散化和独立的架构(国防部内的每一个组织 都控制自己的网络信息安全)变化为一个统一的单一安全性架构(SSA)。
地区安全性:坐落于全世界全国各地B/P/C/S的约两百个组织 安全性栈,被DISA规范化管理的几十个安全性栈(即协同地区安全性栈JRSS)所替代。
互联网安全:而为了更好地安全性使用云服务器,SSA的安全性云计算技术架构(SCCA)为选用商业服务云服务服务提供商的云服务,出示了安全性架构。
在统一安全性架构下,国防部准备开始下一个转型发展,即从管理方法和维护保养该架构自身,转为将其做为一种服务来消費。
界限安全性即服务:根据将根据云的安全性栈以即服务方法交货,能够 出示界限安全性工作能力,以充分发挥IAP(互联网接入点)和CAP(云连接点)的功效。
地区安全性即服务:根据将零信任架构与根据云的EDR解决方法紧密结合,能够 替代早已被确认过度繁杂和价格昂贵的地区安全性栈(RSS)。
国防部将JIE变化到安全性即服务方式的益处,将反映在成本费节省、更高的扩展性、终端产品用户和战斗工作人员的更好特性,和最后更强劲的网络信息安全工作能力。
5.启发安全性服务并并不是安全性即服务。安全性即服务是安全性服务的SaaS化。由于安全性即服务将关键根据云来完成,因此也被称作安全性云服务(并不是互联网安全服务)。
显然,安全即服务必须能够与网络安全行业的合作伙伴紧密集成(如SIEM、EDR、威胁情报供应商等),以确保可以顺利地部署和集成服务,从而提供一流的整体解决方案。
所以,真正的安全即服务,需要一家具有即服务思维的网络安全服务运营商。
作者: 柯善学@360
