กระทรวงกลาโหมกำลังพิจารณาอย่างจริงจังในการยกเครื่องกระบวนการเพื่อรับรองผลิตภัณฑ์คลาวด์คอมพิวติ้งเชิงพาณิชย์ว่ามีความปลอดภัยเพียงพอสำหรับการใช้งานทางทหารท่ามกลางแนวคิดต่างๆ ที่ DoD กำลังพิจารณา: การเปลี่ยนแนวทางการรักษาความปลอดภัยในลักษณะที่จะให้น้ำหนักมากขึ้นกับเทคนิคการรักษาความปลอดภัยที่บริษัทใช้ แทนที่จะให้หนึ่งในข้อเสนอระบบคลาวด์เฉพาะของพวกเขาตรวจสอบกล่องความปลอดภัยทั้งหมดในเอกสารของรัฐบาลที่ค่อนข้างคงที่
ในอีกไม่กี่สัปดาห์ข้างหน้า เพนตากอนจะประกาศคณะทำงาน
ของกระทรวงกลาโหมและผู้เชี่ยวชาญด้านความปลอดภัยในอุตสาหกรรม ซึ่งรับผิดชอบในการปรับปรุงกระบวนการรักษาความปลอดภัยและการรับรองที่มีอยู่สำหรับระบบคลาวด์เชิงพาณิชย์ ซึ่งเป็นเวอร์ชันล่าสุดที่เผยแพร่ในคู่มือข้อกำหนดด้านความปลอดภัยฉบับปรับปรุง (SRG) เมื่อเดือนที่แล้ว .
“ผมคิดว่าเราได้มาถึงจุดที่เราไม่สามารถรับรองฮาร์ดแวร์หรือซอฟต์แวร์เฉพาะเจาะจงได้อีกต่อไป เราต้องรับรองกระบวนการ” Terry Halvorsen ประธานเจ้าหน้าที่ฝ่ายข้อมูลของ DoD กล่าว “ทุกวันนี้ หากคุณต้องใช้งานระบบคลาวด์ บริษัทต่างๆ เช่น Microsoft และ Amazon และ Google จะทำการเปลี่ยนแปลงระบบคลาวด์และปรับปรุงความปลอดภัยเกือบทุกคืน กระบวนการปัจจุบันของเราไม่สามารถรักษาสิ่งนั้นไว้ได้ เราต้องพิจารณาความปลอดภัยและการรับรองตามกระบวนการ และเมื่อถึงจุดหนึ่ง อาจถึงขั้นผู้ขายต่อผู้ขาย ซึ่งเราจะพูดว่า ‘เฮ้ กระบวนการรักษาความปลอดภัยของคุณสำหรับพื้นที่เฉพาะเหล่านี้ดี เราชอบ เราจะประเมินคุณเป็นประจำทุกปี แต่อย่างอื่นเราจะยอมรับเครื่องมือของคุณในขณะที่คุณพัฒนาเครื่องมือเหล่านั้น’ ถ้าเราไม่ทำอะไรแบบนั้น เราจะตามไม่ทันและคล่องตัวไม่ได้”
ข้อมูลเชิงลึกโดย GDIT: มีเทคโนโลยีหลักหลายอย่าง
– ICAM, Mission Partner Environments (MPEs) และวิศวกรรมดิจิทัล – ที่เปิดใช้งาน JADC2 ในตอนที่ 3 ของซีรีส์ 3 ส่วนนี้ ผู้ดำเนินรายการ Tom Temin จะพูดคุยถึงวิธีการที่วิศวกรรมดิจิทัลเป็นกุญแจสำคัญในการปรับปรุงเครือข่าย DoD ให้ทันสมัย
Halvorsen ย้ำว่าแผนกยังไม่ได้ตกลงกับระบบการตรวจสอบกระบวนการตามระยะเวลาที่เขาร่างไว้ แต่กล่าวว่าเขาได้เสนอแนวคิดนี้กับผู้จำหน่ายระบบคลาวด์หลายราย และได้รับการตอบกลับที่ “ยอดเยี่ยม” จะเป็นหนึ่งในตัวเลือกบนโต๊ะสำหรับการตรวจสอบกระบวนการรักษาความปลอดภัยบนคลาวด์ของ DoD ซึ่งจะนำโดย Richard Hale หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของแผนกและรอง CIO ด้านความปลอดภัยทางไซเบอร์
กฎความปลอดภัยบนคลาวด์ปัจจุบันของแผนกอิงตามระบบ FedRAMP ของรัฐบาล ซึ่งจะประเมินข้อเสนอคลาวด์แต่ละรายการเทียบกับการควบคุมความปลอดภัยที่รัฐบาลกำหนด สำหรับ DoD การอนุมัติจาก FedRAMP ก็เพียงพอที่จะได้รับการอนุญาตชั่วคราวในการจัดการข้อมูลที่ไม่ละเอียดอ่อน (“ระดับ 2”) แผนกนี้เพิ่มการควบคุมความปลอดภัย FedRAMP Plus ของตนเองสำหรับระดับ 4 และ 5 และมีผู้ขายเพียงไม่กี่รายเท่านั้นที่ได้รับการรับรองในระดับดังกล่าว ซึ่งจำเป็นในการจัดการกับฟังก์ชันที่มีความละเอียดอ่อนมากขึ้น เช่น ระบบรักษาความปลอดภัยแห่งชาติที่ไม่เป็นความลับและบันทึกที่มีข้อมูลที่สามารถระบุตัวบุคคลได้ ในแต่ละกรณี ผู้ขายยังต้องการการรักษาความปลอดภัยเพิ่มเติมจากลูกค้าปลายทางที่ซื้อผลิตภัณฑ์เฉพาะของพวกเขา ซึ่งเรียกว่าผู้มีอำนาจในการดำเนินการก่อนที่จะสามารถทำสัญญาได้
การเปิดตัวครั้งที่สองของ cloud SRG ซึ่งเผยแพร่สู่สาธารณะเมื่อวันที่ 18 มีนาคม นั้นประกอบด้วยการปรับแต่งทางเทคนิคและวิศวกรรมเป็นส่วนใหญ่ และแทบไม่ได้เปลี่ยนแปลงกระบวนการอนุมัติพื้นฐานบนคลาวด์เลย แต่ Halvorsen กล่าวว่าเมื่อนำมารวมกัน SRG ใหม่ควรส่งสัญญาณไปยังอุตสาหกรรมว่า DoD มีความสนใจอย่างมากในเทคโนโลยีไฮบริดคลาวด์ที่จะเกี่ยวข้องกับการรวมกันของทรัพยากรคอมพิวเตอร์บางส่วนภายในขอบเขตความปลอดภัยของกองทัพและบางส่วนในทรัพย์สินของผู้ค้าเชิงพาณิชย์
“กระทรวงไม่ได้ซื้อคลาวด์ประเภทใดประเภทหนึ่ง” เขากล่าว “ทุกคนที่ทำสิ่งที่ชาญฉลาดในระบบคลาวด์จะอยู่ในสถานะไฮบริด เรามีความสอดคล้องกับบริษัทที่ติดอันดับ Fortune 50 ในแง่ที่ว่า มีบริษัทเพียงไม่กี่แห่งที่นำทรัพย์สินทางปัญญาของตนเองไปไว้บนคลาวด์เชิงพาณิชย์ เรากำลังดูสิ่งที่ต้องทำในการสร้างคลาวด์ภายใน วิธีที่เราทำคลาวด์ส่วนตัวของรัฐบาล และฉันคิดว่าสิ่งนี้จะชี้แจงเรื่องนั้น การเปลี่ยนแปลงเหล่านี้ทำร่วมกับพันธมิตรในอุตสาหกรรม และเราจะดำเนินการต่อไปในลักษณะนี้”
กลับไปที่หน้าสมุดบันทึกของ DoD Reporter
