文/柯善学

2022年1月24日,美国国防信息系统局(DISA)向 Booz Allen Hamilton(以下简称BAH) 授予了一份价值680万美元的合同,用于执行Thunderdome原型。这是自2021年5月发布Thunderdome信息请求7月发布方案白皮书请求9月3日截止)以来,靴子终于落地的声音。

DISA称,Thunderdome是其最先进零信任安全和网络架构。这个断言意味着安全和网络的融合,也就是SASE(安全访问服务边缘)架构。

我们知道,完美的SASE架构通常要求网络重构。通常而言,一般企业并不愿意进行网络重构,因为重构的成本和挑战都太大了。以至于著名咨询机构Forrester给出了基本策略:应该先从容易干的零信任下手,然后等到机会成熟了再去搞定难搞的网络重构。参见《戏说零信任和SASE——安全界的如来和大圣》。甚至DISA的Thunderdome项目经理兼边界安全部门负责人 Angela Landress 也承认:虽然SASE已在大部分商业世界中实施,但尚未被政府广泛采用

那么,作为世界上规模最大、网络最为复杂的美国国防部,为什么会下定决心要做出网络重构这一决策呢?

我们先看看官方的解释。DISA副局长Chris Barnhurst在新闻稿中表示:向Thunderdome原型的迈进是“国防部向下一代网络安全和网络架构的重大转变”,该工作“从根本上改变了我们传统的以网络为中心纵深防御安全模式转变为以数据保护为中心的模式。”

笔者觉得,这种官方解释只是说出了正确的废话,并未点明要害。笔者以为,美国国防部狠下决心要做网络重构的最关键原因,就是要建立下一代中间层安全。这是因为上一代中间层安全,即搞了十年的JRSS(联合区域安全栈),被批评为运行效率低下。关于中间层安全的含义,参见《用零信任替代中间层安全?》。

DISA的决心是如此之强,以至于DISA对Thunderdome的时间进度要求非常紧迫——只给了6个月时间!从1月24日算起,大概是到7月底。然后,再经过3至6个月的过渡期后,将于2023财年初开始进入生产阶段。Thunderdome是DISA的第一个零信任工作原型,该原型可能会在第四产业(含DISA)和海军开始实施,然后可扩展到整个国防部。

DISA最擅长的事情就是为美国国防部及其全球作战人员构建、测试、验证、实施一流的网络安全解决方案。对于Thunderdome的后续发展,让我们拭目以待。

关键词:DoD (美国国防部) ;DISA (国防信息系统局) ;BAH(Booz Allen Hamilton);JRSS(联合区域安全栈);SASE(安全访问服务边缘);IDIQ(不定期限/不定数量)。

目 录

1.DISA授予Thunderdome合同

2.Thunderdome的目标受众和推广策略

3.为何取名Thunderdome?

4.Thunderdome代表下一代网络和安全架构

5.中标者BAH是何来历

01 DISA授予Thunderdome合同

前期方案征集。DISA于2021年5月发布关于Thunderdome零信任方案的信息请求,又于2021年7月发布关于Thunderdome方案的白皮书请求,并于9月3日截止方案征集。关于Thunderdome方案白皮书请求的内容,可参见《美国国防部零信任实施方案:Thunderdome(雷霆穹顶)》。在8月中旬的时候,DISA已经收到了近60份Thunderdome白皮书提案。

当下合同授予。经过4个月之后,DISA于2022年1月24日向Booz Allen Hamilton(BAH)授予了一份价值680万美元的合同,用于执行Thunderdome原型。

图1-DISA官宣Thunderdome原型合同授予

注:图中的副标题是“Thunderdome将是DISA最先进的零信任安全和网络架构”。

合同周期是6个月。DISA的目标是在6个月内生产一个可在整个国防部扩展的工作原型。

后续推进计划原型阶段(即Thunderdome原型合同)仅仅持续六个月,然后经过3至6个月的过渡期后,将于2023财年初开始生产

Thunderdome的主要目标。DISA将通过利用SASE(安全访问服务边缘)和SD-WAN(软件定义广域网)等商业技术,测试如何实现DISA于2020年3月发布的国防部零信任参考架构(参见《DISA发布国防部零信任参考架构》)。DISA还想确定其初始零信任概念是否可以扩展到大规模的国防部企业,以及需要进行哪些调整来满足军事网络原则。

与美国联邦网络安全现代化工作保持一致。DISA的Thunderdome原型与美国联邦政府的多项网络安全现代化工作保持一致,实际上是针对这些政策或战略中的零信任要求,进行了呼应。包括:

02 Thunderdome的目标受众和推广策略

Thunderdome的目标受众。最终目标是整个国防部,但先从所谓的第四产业机构开始。所谓“第四产业”,主要是指国防部内除了军种和情报机构之外国防机构外勤机构(DAFA),大概有二十多个机构,如国防部长办公室联合参谋部DISA、导弹防御局等。关于第四产业的具体范围,可参见《美国国防部IT改革的“皇冠宝石”:DES(国防飞地服务)》。Thunderdome项目的任务合作伙伴包括海军、陆军、空军。其中,海军将率先开始实施Thunderdome能力,因为他们表现出最大的兴趣。

为何Thunderdome要从第四产业开始?笔者推测有两个原因:一是第四产业可能是国防部中IT成熟度相对比较高的机构(与各作战部队相比),已经具备了标准化的前提条件;二是早期国防部首席信息官和DISA的联合审查,显示了第四产业“令人大开眼界的低效率”。较高的IT成熟度+极低的运行效率,使得第四产业成为Thunderdome的首个试验田。

Thunderdome不具有强制性。Thunderdome并非国防部的唯一零信任解决方案。DISA不打算强制国防部或军种使用Thunderdome方案。这意味着军种可以选择与DISA合作或实施自己的零信任方案。

DISA推广Thunderdome的策略。DISA的思路是让Thunderdome变得足够好,然后吸引各军事部门采用Thunderdome。DISA新兴技术部负责人Stephen Wallace(是DISA推行零信任理念的关键人物)表示:如果其它部门看到Thunderdome的价值,自然就会采用它;而如果其它部门想走自己的路,那也没关系。但DISA确实担心各走各的路,其中特别值得担心的就是由此导致的互操作性问题

03 为何取名Thunderdome

Thunderdome的能力。Thunderdome共有七项能力,与国防部的七大零信任支柱相一致,包括用户、设备、网络、应用程序、数据、可见性与分析、自动化与编排。同时,Thunderdome具有显著的SASE(安全访问服务边缘)特征,包含SD-WAN(软件定义区域网络)功能。

图2-国防部零信任实施框架

笔者在之前的《美国国防部零信任实施方案:Thunderdome(雷霆穹顶)》中,揣测了Thunderdome的含义"雷霆穹顶"。

现在,笔者找到了准确的解释:Thunderdome的灵感来自于——从建筑学的角度来看,圆顶比传统建筑更轻更快,也是最坚固的设计之一。因为圆顶可以均匀地支撑屋顶的重量,所以没有哪个点支撑整个负载或在压力下屈服。

DISA官员们表示,这恰好反映了Thunderdome想要实现的零信任状态,即其所包含的许多零信任概念,需要相互协同工作,为基于云的实现创建了一种强大、高效、架构合理的方法

所以,笔者之前将其翻译为"雷霆穹顶"还是相对准确的。

04 Thunderdome代表下一代网络和安全架构

Thunderdome的价值究竟在哪里?以笔者看来,主要是以SASE取代JRSS,成为下一代网络和安全架构,也是下一代中间层安全SASE架构既包含了网络与安全的融合,又需要对复杂网络的整体重构。这对于美国国防部而言,绝对是颠覆性的。

以SASE取代JRSS。笔者曾在2021年1月的微信《用零信任替代中间层安全?》中,以标题中的疑问号"?" 提出了这个替代性问题。但当时,笔者以为是用SDP(软件定义边界)来替代JRSS。直到2021年7月,DISA开始发布Thunderdome白皮书请求,明确以Thunderdome取代JRSS。笔者才确定,DISA是要以SASE来替代JRSS。之后,DISA积极制定国防部范围的战略,使得任务合作伙伴可以从当前的网络安全解决方案(如JRSS)过渡到Thunderdome或其他零信任方案。而为期6个月的Thunderdome原型设计,将产生从JRSS过渡到Thunderdome方案的整体实施战略。

何谓“中间层安全”?无论JRSS还是SASE,都是DISA口中的中间层安全。只不过,JRSS是上一代中间层安全,SASE是下一代中间层安全。JRSS可以参考《美军网络安全 | 第7篇:JIE(联合信息环境)启示和综述》中的JRSS章节。

超越纵深防御安全模型。DISA副局长Chris Barnhurst说,“ Thunderdome反映了国防部向下一代网络安全和网络架构的重大转变” “扎根于身份和增强的安全控制,Thunderdome 从根本上改变了我们传统的以网络为中心的纵深防御安全模型,以保护数据为中心,最终将通过采用零信任原则为国防部提供更安全的运行环境。”

SASE落地的挑战性不会太大。Thunderdome项目经理Angela Landress女士认为:由于SASE是一种成熟的商业能力,因此使其适应DISA的需求应该不会太具有挑战性。“但我们需要对其进行一些设计,以便将其与 ICAM(身份、凭证和访问管理)、虚拟安全栈、SD-WAN集成。我认为我们将找到一些真正创新的解决方案,以在像 DISA这样的复杂网络上实施SASE。”

互操作性可能是最大的挑战。但DISA会直面该挑战,在一开始而非最终,就努力找出解决此问题的方法。为了帮助缓解这种挑战,DISA打算鼓励使用一套通用的标准、协议、分类法,以便将一切联系在一起,并与DISA的任务合作伙伴(即海、陆、空军)无缝合作。

05 中标者BAH是何来历

由于并未透露其它的投标方,也没透露任何投标方案,所以没法知道DISA为何选择BAH。笔者只能查阅BAH的官网资料,来寻找端倪。

BAH公司成立于1914年。BAH是一家领先的专业服务公司,在管理、技术、咨询、工程领域提供广泛的服务和解决方案。100多年来,军方、政府、商界领袖都求助于BAH来帮助组织进行转型,解决他们最复杂的问题。

截至2021年12月31日,BAH的全球总部位于美国弗吉尼亚州麦克莱恩,在全球拥有约29,500 名员工。截至2021年3月31日的12个月收入为 79 亿美元。要了解更多信息,请访问 www.boozallen.com。(纽约证券交易所代码:BAH)

BAH支持美国国防部的历史悠久,自1940年公司赢得第一份海军合同以来,这一历史已超过 75 年。

作为美国国防部 (DOD) 的首要数字集成商,BAH将数十年的任务经验与最先进的人工智能/机器学习 (AI/ML)、下一代数据解决方案、网络、网络空间、高级软件开发相结合,提供了卓越的交付能力。

BAH近三分之一的专家是退伍军人,再加上数十年为军队提供服务的经验,可以确保其解决方案在现实中有效——而不仅仅是在实验室中。

BAH正在加速创新以帮助保卫国家(如下图所示):

  • 加速决策优势;

  • 赋能未来战士;

  • 推动国防未来。

笔者还在BAH官网上查到了一些亿美元级军方合同

  • 2016年,BAH被美国国防部 (DoD) 评选为一份为期5年、价值50亿美元IDIQ(不定期限/不定数量)合同的主要获奖者,该合同专注于网络安全和信息系统支持

  • 2018年,BAH获得DISA授予的一份为期10年、价值175亿美元的IDIQ合同,以提供信息和通信系统IT解决方案

  • 2018年,BAH获得美国陆军工程兵团授予的一份为期10年、价值9亿美元的IDIQ合同,为国防部联合测试和评估计划(JT&E)提供技术支持。

  • 2020年,BAH获得美国总务管理局 (GSA) 和美国国防部授予的一份为期5年、价值8亿美元的合同,为美国国防部的联合人工智能中心(JAIC)提供人工智能(AI)服务

  • 2020年,BAH成为美国空军授予的一份价值9.5亿美元的IDIQ合同的几个获奖者之一,以支持高级战斗管理系统(ABMS)的开发,从而实现国防部联合全域指挥与控制 (JADC2) 。

令人意外的是,最近被授予的Thunderdome原型合同,未能在BAH官网上查到。或许是680万美元的金额对BAH而言还不够大吧。

声明:本文来自网络安全观,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。