2018年3月7日,美国国防部在其“工业日”上向外界透露了其未来的商业云战略计划;3月底,国防部公布“联合企业国防基础设施云计划”(JEDI云)征求意见书初稿;4月27日,国防部发布JEDI云的第二份征求意见书草案;5月中旬,美国防部宣布将发布备受争议的JEDI云项目合同,预计在未来十年内,该合同的总价值将增长至100亿美元之多(约合人民币628亿元)。
美军的这项未来计划,引发了业界的诸多质疑和不满,同时带来了更多亟待解决的挑战。本文将以此为切入点,阐述美军的商业云战略的最新发展情况。
一、美军最新商业云战略的核心思想
用一句话来概括美军最新商业云战略的决策思路,就是:单一决策制。这种单一决策制的中心思想是,美国防部在未来采购商业云的过程中,将建立单一解决方案选择制度,强调以单一云服务供应商为中心,同时设定一套积极的时间表以确保在2018财年结束之前完成解决方案的选定。
那么,美军为什么会力促采用单一解决方案选择制度呢?根据美国防部有关负责人的解释,主要原因是目前存在的标准化与互操作性缺失将造成相当严重的障碍,特别是将影响到美军随时随地访问自身数据的能力:(1)多云解决方案选择将以指数方式提升整体系统的复杂性;(2)对于不同云系统,即使其在设计层面能够协作运作,也仍然需要复杂的集成机制加以配合。这将极大增加开发、测试以及持续维护工作的难度与实现成本,因此,单一选项才是最理想的选择。国防部认为,单一授权合同是必要的,这样可以避免单个任务订单带来的多个授权合同而拖慢计划速度。多个授权合同可能会阻止美国国防部快速地获取新的能力并提高企业级云计算带来的作战效能。不一致的且不标准的基础设施会使软件应用程序的开发和分配变得复杂,可能降低速度并增加成本,同时也可能约束人工智能和机器学习等先进技术的使用。
美国国防部更倾向于选择单一云服务供应商并将此作为优先战略方向,这一未来计划引发了业界的各种质疑和担忧,业界为此呼吁美国防部放慢步伐或改变方向。IBM、微软、谷歌、甲骨文、REAN公司等安全企业认为,将整个美国军方锁定在单一且极具限制性的云环境当中,势必带来巨大的约束乃至缺陷;美国国防部提出的这种单一云服务供应商思路“很难实现”。
然而,尽管受到业界批评,目前看来,美国防部并不打算放慢新推出的云战略,并且正有计划有步骤地推进新战略的实施。
二、美国防部JEDI云项目
1.分二个发展阶段推进单一云决策
目前,美国防部正在为转向“单一云”决策做各种准备。2018年1月4日,美国防部公布了一份备忘录,其中概述了美军下一阶段的工作内容,计划分以下两个阶段加以推进:
第一阶段工作:由美国防数字服务总监负责监督,主要内容是构建起一套“全面且公开的解决方案,旨在获得可支持未保密、秘密以及绝密信息的现代企业云服务解决方案”。
第二阶段工作:由战略能力办公室项目经理负责领导,主要内容是“选择组件或代理系统,以进一步充实采购的商业云解决方案”,并且希望“利用云技术提供执行任务所必需的安全性、软件与机器学习功能”。
为此,美国防部将构建一套综合性云计算平台,在开发这套平台的过程中,五角大楼首先进行了一场变革:对云战略指导委员会重新洗牌,该云战略制定部门迎来了新的主席与团队成员。由于目前云战略小组(Cloud Executive Sterring Group)正处于“重组过程当中执行与发展的关键性时期”,因此美国防部在其中设立了管理官职位来推进改革。云战略小组的初步任务是加速整个国防部的云服务采用速度,同时发布《联合企业国防基础设施》(简称JEDI)战略。
2.构建JEDI云
JEDI云项目由美国国防部打造,JEDI云服务是为所有保密级别的数据提供服务,甚至将用于承载政府最敏感的机密数据,其中包括关键性核武器设计信息及其它核机密。因此,美国国防部要求JEDI中标承包商必须能够通过全方位的最高机密政府安全许可,例如美国能源部提出的用于保护受限核数据的“Q”与“L”许可。
JEDI云项目规模远超美国中央情报局(CIA)的云计算基础设施,五角大楼计划投资近100亿美元构建“JEDI云”,以十年为周期,委托云战略小组负责整合全部云采购事务。这个项目存在的巨大争议是,云战略小组拟将全部合约授予同一家云服务供应商。
按照美国防部设想,JEDI云战略是一套几乎在任何环境中皆可供作战人员使用的“全球体系”——从F-35到前线战场皆可囊括,包括与武器系统、作战、情报以及核武器相关的信息。这意味着供应商一方需要在环境内构建起几乎一切解决方案。
国防部报告同时指出,JEDI可以和国防信息系统局“军事云”2.0合作,“军事云”为希望降低托管成本的防御机构提供了一种节省成本的暂存区。目前被称为“第四产业”的防御机构正在优先迁移到“军事云”2.0中。
一旦JEDI准备就绪,美国海军、海军陆战队、运输司令部和国防媒体活动(DMA)将作为开拓者来测试五角大楼配置和管理的云迁移和活动的能力。
目前,Amazon、谷歌、微软、IBM、凡高以及通用动力皆对JEDI项目表现出浓厚兴趣。
五角大楼方面计划将在2018年9月授予JEDI合同,并从2019年初开始着手迁移五角大楼系统。据彭博社报道,目前已经有多家企业表示对合约提起抗议,并有可能要求五角大楼撤销将JEDI项目交予单一云服务供应商的决定。
三、美军未来十年云战略的合作对象
据美国防部透露,在JEDI云项目公开招标程序后,美国国防部将仅与一家云服务提供商达成无限期(可以最长为10年)不定量供应合同,该云提供商将向美国国防部所有机构提供云计算和平台服务。当然,还可能会签署涉及其它服务的合同,比如云迁移支持、应用现代化、变更管理和培训等等。到2018年底,美国防部可能会与这家公司签署价值数十亿美元的云合同。
面对如此巨大的市场蛋糕,谁将成为最后的赢家?亚马逊Amazon Web Services公司(简称AWS公司)被广泛认为在此次JEDI竞标当中拥有领先优势:
1.在军方机密级存储上,AWS具有强大的数据保护能力
亚马逊AWS的竞争对手包括微软、谷歌、IBM和甲骨文的云服务平台。而目前,仅有三大商业公司(AWS、IBM和微软)能存储军方最为机密的数据。2017年9月,AWS打败IBM和微软获得美国防部临时授权,授权亚马逊存储“影响级别5”(ImpactLevel5,简称IL5)机密数据,包括军事和国防部最机密的信息。
这项临时授权进一步巩固了AWS行业领导者地位:支持国防部关键任务保护数据安全。AWS服务支持各种国防部数据,包含机密信息和国家安全系统的信息。同时,临时授权方便军方客户将AWS用于各种其它IT服务。
2.在政府情报界,AWS坐拥云服务提供商主导地位
早在几年前,AWS就已经为美国中央情报局(CIA)构建起价值6亿美元的云计算基础设施,用于托管一部分美国国防部机密数据。
从策略上讲,美国防部采用云的做法与CIA存在共同点,CIA在2013年即与亚马逊AWS签署了为期十年的企业云合同,AWS凭借与CIA达成的6亿美元合同,在美国情报界坐拥云服务提供商主导地位。到目前为止,AWS C2S云(即商业云服务)已为17家情报机构存储机密信息。2018年,AWS还将设立东海岸计算地区“US-East”,借此为政府客户提供运行AWS的大规模计算机网络。
2017年11月,亚马逊AWS专为CIA和美国其他情报部门推出了云计算服务AWS Secret Region,可以满足情况部门的保密需求,这标志着美国政府特定部门对使用AWS非常感兴趣。随着Secret Region的推出,AWS成为首家也是唯一一个商业云服务提供商,提供各种各样的政府工作负载服务,包括不保密的、敏感的、秘密的和最高机密的数据分类。
3.在云安全技术上,AWS具有强大的技术创新能力
2015年4月,亚马逊AWS通过了DoD的云安全审查,成为第一家获得国防部PA(初始授权)的商业云服务商,且其级别达到国防部除涉密信息以外的最高级(第5级)。
为了提供最高级别的安全,AWS采用了强大的安全技术和策略,包括超出国防部安全要求的加密与访问控制功能。亚马逊推出的AWS GovCloud(美国)服务可以处理大规模计算和存储集中工作负载,并满足国防部云计算安全指导要求(CC SRG)IL5。AWS GovCloud(美国)由多个数据中心组成,能处理高容量、关键任务工作负载,包括高性能计算、大数据或ERP工作负载。重要的是,使用AWS国防部CC SRG IL5 PA 的客户将与AWS GovCloud美国地区其它客户有相同的成本,在能负担费用的情况下还能确保国防部工作负载的计算与存储环境安全。
国防部已在使用AWS托管敏感、关键任务工作负载,其中最具代表性的是,美国空军借助AWS GovCloud(美国)商业云测试全球定位系统的操作控制系统(GPS OCX),控制最新版的国防部全球定位系统卫星。美国空军GPS OCX项目要求200多台专用主机运行1000多台虚拟机,每天虚拟机至少需要8个vCPU、32GB RAM。当时国防部也考察了其它提供商,但没有一家能同时满足国防部CC SRG IL5要求,并能立即处理如此庞大的计算规模。
亚马逊AWS或成为最后赢家!
声明:本文来自网络安全新视野,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
