ตกระทรวงกลาโหมกำลังกัดครั้งที่สองที่แอปเปิ้ลรักษาความปลอดภัยบนคลาวด์ ไม่ต้องสงสัยเลยว่า Pentagon เข้าใจวิธีการปกป้องคลาวด์ของรัฐบาลเท่านั้น แต่ด้วยการยอมรับและการใช้งานคลาวด์เชิงพาณิชย์ที่เพิ่มมากขึ้น การบรรลุความสมดุลที่เหมาะสมของการรักษาความปลอดภัย ต้นทุน และความสามารถในการเข้าถึงได้พิสูจน์ให้เห็นว่ามีความท้าทายมากกว่าที่คาดไว้ด้วยเหตุนี้ DoD จึงเพิ่งเผยแพร่ผลการศึกษา 45 วันที่เรียกว่าThe DoD Cloud Way Forwardโดยให้รายละเอียดแนวทางใหม่ 3 แนวทางเพื่อช่วยให้หน่วยงานและหน่วยงานทางทหารมั่นใจในความปลอดภัยของระบบคลาวด์เชิงพาณิชย์ที่พวกเขาใช้
“ประเด็นสำคัญของรายงานคือคำแนะนำที่ชัดเจนสำหรับทั้งผู้ให้
บริการระบบคลาวด์และลูกค้า DoD Cloud ซึ่งอธิบายถึงกระบวนการจุดกำเนิดสู่หลุมฝังศพที่พวกเขาต้องปฏิบัติตามเพื่อย้ายการประมวลผลของ DoD ไปสู่โครงสร้างพื้นฐานระบบคลาวด์เชิงพาณิชย์” เขียนโดยรักษาการประธานเจ้าหน้าที่ฝ่ายข้อมูล Terry Halvorsen ของDoDในบันทึกแนบท้ายรายงาน “สุดท้าย การศึกษานี้จะระบุรายการงานเพิ่มเติมที่สำคัญซึ่งแผนกต้องทำให้เสร็จเพื่อนำคำแนะนำรายงานไปใช้และขจัดอุปสรรคในปัจจุบันต่อการใช้คลาวด์เชิงพาณิชย์ รายการเหล่านี้รวมถึงการปรับแต่งทางเทคนิคเพิ่มเติมของข้อกำหนดด้านความปลอดภัย การอัปเดตนโยบายของแผนกที่เป็นอุปสรรคต่อการใช้คลาวด์เชิงพาณิชย์ในปัจจุบัน และยังคงให้ความสำคัญกับการแก้ไขปัญหาทางกฎหมายที่จำกัดการใช้คลาวด์เชิงพาณิชย์”
โดยพื้นฐานแล้วรายงานจะเป็นเคอร์เซอร์ของการอัปเดตนโยบายระบบคลาวด์เชิงพาณิชย์ ที่กำลังจะมาถึงและรอคอยมานาน จาก DoD
ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม
ผู้บริหารภาครัฐรายงานผลการศึกษาเป็นครั้งแรก
อดีต CIO ของรัฐบาลกลางที่ขอไม่เปิดเผยชื่อเพราะพวกเขายังคงทำธุรกิจกับ DoD กล่าวว่าการศึกษาสรุปสิ่งดีๆ มากมายและความท้าทายมากมาย แต่ความเป็นจริงของความสามารถของสภาพแวดล้อมระบบคลาวด์เชิงพาณิชย์ในการปกป้องข้อมูลอย่างเหมาะสมนั้นไม่เป็นเช่นนั้น แสดงให้เห็นแล้ว
“แผนกกำลังดำเนินการเพื่อประหยัดซึ่งอาจเป็นค่าใช้จ่ายในการรักษาความปลอดภัยข้อมูล” แหล่งข่าวกล่าว “มาตรฐานกฎหมายการจัดการความปลอดภัยของข้อมูลของรัฐบาลกลางจำเป็นต้องลดระดับลงหรือบังคับใช้ แต่รัฐบาลจะไม่ยอมรับระบบคลาวด์จนกว่าจะเผชิญกับสิ่งนั้น ระบบคลาวด์เชิงพาณิชย์ยังไม่ได้รับการพิสูจน์ว่าเป็นการประหยัดต้นทุนให้กับรัฐบาล มันให้ความคล่องตัวและความยืดหยุ่น แต่เมื่อการรักษาความปลอดภัยถูกรวมเข้ากับต้นทุนนั้นไม่เป็นที่ทราบกันดี และโดยเฉพาะอย่างยิ่งเมื่อไม่ได้แยกประเด็นด้านความปลอดภัยออก”
ถึงกระนั้นรายงานยังให้ข้อมูลเชิงลึกมากมายว่า DoD กำลังมุ่งหน้าไปที่ใดในอีกไม่กี่ปีข้างหน้า Halvorsen กล่าวในเดือนกันยายนว่าแนวทางใหม่จะรวมศูนย์น้อยลงที่สำนักงานระบบข้อมูลกลาโหมและมากขึ้นตามบริการส่วนบุคคล
ในขณะเดียวกัน DoD กำลังพยายามชี้แจงว่าผู้จำหน่ายระบบคลาวด์เชิงพาณิชย์ สามารถปฏิบัติตามข้อกำหนดด้านความปลอดภัยของกองทัพสำหรับระบบคลาวด์ได้อย่างไรโดยไม่ต้องเพิ่มต้นทุนให้สูงขึ้น
การศึกษานี้นำเสนอรูปแบบการรักษาความปลอดภัยบนคลาวด์แบบใหม่ที่แยกความแตกต่างระหว่างระบบความปลอดภัยระดับชาติและระบบความปลอดภัยที่ไม่ใช่ระดับชาติ ในขณะเดียวกันก็นำเสนอแนวคิดของระบบที่มีความสำคัญต่อภารกิจ
รูปแบบการรักษาความปลอดภัยบนคลาวด์ยังคงแบ่งระดับผลกระทบออกเป็นหกประเภท แต่ตอนนี้ DoD จะลดข้อกำหนดภายใต้ระดับ 1-2 เป้าหมายในการทำเช่นนั้นคือจัดแนวกองทัพให้ใกล้ชิดกับรัฐบาลที่เหลือมากขึ้น รวมถึงการควบคุมความปลอดภัยภายใต้โครงการ Federal Risk Authorization and Management (FedRAMP)
กระทรวงกลาโหมแก้ไขระดับ 3-4 เพื่อแยกข้อกำหนดสำหรับระบบความมั่นคงที่ไม่ใช่ของประเทศ เพนตากอนเสนอระดับผลกระทบสองระดับสำหรับระบบที่ไม่ใช่ NSS ซึ่งมีข้อมูลที่ไม่เป็นความลับที่มีการควบคุม (CUI) ที่รับรู้ถึงความเสี่ยงของการสูญเสียหรือการเปิดเผยข้อมูลที่ดีกว่า
