战术军事环境的敏感数据能否在云中得到保护

　　作者：ROBERT DAY，LOUISE FUNKE

　　在云中存储、访问和传播军事数据时，首要考虑因素包括安全性、数据可靠性和冗余以及数据位置。好消息是，当安全虚拟化与分布式云计算方案配对时，可以交付这些。

　　虽然云计算的承诺，其低成本和通过效用计算和存储改进的访问，非常有吸引力，但对于拥有高度敏感数据的用户来说，目前很难实现。

　　考虑一个战斗人员的情况，他已经确定了必须报告的威胁。作战人员将数据直接发送回他的指挥部，其他人可以使用它来采取行动并防止伤亡。数据发送后不久，战士受伤。一名军医扫描了战士的狗牌并访问了他的病史。医生稳定了他，并输入了几个关键医疗问题的答案，以便在运输后进行及时有效的治疗。在对作战人员进行治疗的同时，对他之前发送的数据进行了分析，并制定了战术计划。在数百英里外的一艘航母上，飞行员正在了解他们的目标。

　　上述情况成功的关键不仅在于军事人员获取和输入数据的方式，还在于如何在不损害信息安全的情况下存储信息并将其传达给有关各方。当今的军队正在努力为作战人员提供有用的、可操作的数据，并为他们提供捕获和报告关键数据的工具。从本质上讲，正在努力将数据访问推到可以最有效地使用数据的前端。在前线，从作战人员和传感器也启用了数据捕获，以获得最新和有用的数据。

　　推进这种方法的一种自然方法是通过某种形式的非公共云。云方法（无论是私有云、社区还是混合云）都将提供许多好处，包括显着节省成本和提高军事组织的敏捷性。然而，如今使用当前的云技术部署这些战术解决方案存在多重挑战。但是，用于安全虚拟化的分布式计算方法为围绕数据的安全性、可靠性和在军方云计算环境中的位置问题提供了一种可行的解决方案。

　　风暴愈演愈烈：云中的安全性

　　安全性仍然是使用云的最大问题，即使对于私有云和社区云也是如此。提出的问题包括：

　　如果我们所有的关键数据都在云中，那么对于黑客来说，这不是一个更具诱惑力、目标丰富的环境吗？

　　由于关键数据在云中，如果云环境受到自然或人为灾难的影响，会发生什么情况？

　　我们如何利用云的成本节约，同时仍然保持数据分类（未分类、机密和绝密）之间所需的分离？

　　好消息是，通过高度安全的虚拟化和分布式计算的创造性组合，已经有技术可以解决这些问题。

　　虽然所有数据都可能“在云中”，但这并不意味着它需要保存在一个位置，无论是物理的还是虚拟的。降低私有云攻击足迹的一种方法是使用分布式计算方法。使用分布式方法，多个物理数据中心组成云，数据分布在不同位置的服务器之间。数据不会复制到每台服务器上，而是分片或每个数据库的各个部分分布在管理员创建的冗余和位置策略指定的服务器上。由于数据并非全部位于一个位置，因此未经授权的人员更难获取有意义的数据。例如，可以对关键目标的数据库进行分片，以便目标的 ID 位于站点 A 的服务器上，目标的位置位于站点 B 的服务器上，与目标关联的人员位于站点 C 的服务器上。

　　由于每个数据分片都位于冗余策略定义的多个位置，因此如果站点遇到灾难性故障，则不会丢失任何数据，用户将能够从其他站点的节点访问数据。使用分布式数据方法，即使云数据中心受到攻击并且该位置的所有数据丢失，系统也知道每个数据分片的所有副本所在的位置，并且系统在没有该数据中心的情况下继续运行。系统还认识到，必须创建存储在该数据中心的分片的其他副本，以遵守冗余策略。例如，作战人员输入的目标数据可能已存储在附近的云服务器或节点中。如果该节点在此不久被销毁，则目标数据不会丢失，因为在输入数据后会立即创建副本并将其存储在多个服务器上。

　　虽然分布式计算提高了基于云的数据的安全性，但需要一种超安全的虚拟化技术来充分实现云计算的成本节约以及在单个系统上托管多个网络的能力。创建安全软件虚拟化是为了满足战术军事系统的需求，这些系统需要以不同安全级别运行的信息和应用程序在单个硬件平台上安全共存。这消除了对多个计算机系统进行昂贵部署的需要，以促进战场上不同部队或不同情报水平的通信和信息。

　　虚拟化已成为迁移到云的主要使能技术，它允许多个应用程序共同驻留在单个服务器平台上，并有效地向连接到它的客户端提供不同类型的数据和应用程序。尺寸、重量、功耗和成本 （SWaP-C） 通常通过虚拟化系统得到改善，这在现场部署中至关重要。但是，在典型的虚拟化系统中，内存和设备的大部分虚拟化都保存在相同的虚拟机管理程序代码中;因此，任何违反该代码的行为都可以访问该物理系统上的所有内存和设备。

　　显然，这种方法不够安全，无法允许不同类型或级别的敏感信息驻留在单个系统上。通过使用安全虚拟化（参见侧栏），内存和设备的真正分离是关键，并允许不同的应用程序安全地共存。在我们的示例中，航空母舰对计算系统有空间限制，这有利于在同一系统上具有多个安全分类的应用程序的能力。绝密目标信息可以安全地与作战人员的医疗数据存储在同一系统上，因为它们是完全划分的。

　　在安全性之后，考虑迁移到云的军事组织的下一个主要问题是弹性。云计算提供了更大的应用程序和数据可用性的潜力，但也涉及新的风险，如商业部门的频繁中断所见。在过去几年中，影响大量用户的几次多日中断已经广为人知。显然，战术军事云需要非常高的可用性。在我们的例子中，在需要时无法获得目标信息或作战人员医疗数据是不可接受的。

　　在系统可靠性方面，应用程序和数据的分布式方法可在云中实现高可用性和弹性。代替典型的集中式应用程序基础架构堆栈（存储、关系数据库、应用程序运行时和负载平衡），这些功能由可能部署在云中的相同节点（无论是私有节点还是社区节点）协作提供。

　　通过这种设计，应用程序基础架构可以放置在全球任何需要的地方，使移动部署（如船舶或车辆）以及靠近前方的位置能够获得云的优势。扩展系统就像在需要的地方添加节点一样简单。

　　这种系统的“大脑”，即地理上分散的关系数据库，驻留在多个位置，提供类似本地的应用程序性能，但作为一个实体运行。包含作战人员病史的数据库可以从这种方法中受益。即使信息在地理上分散，其显示和行为就好像是从集中式数据库进行处理一样。处理是实时的，满足原子性、一致性、隔离性、耐用性 （ACID） 保证。节点没有主动-被动概念;所有节点都是平等的，没有“主节点”。

　　由于数据基于策略跨节点冗余存储，因此如果节点或站点发生故障，系统可以继续处理，同时自动重建冗余。自我修复架构可识别可能出现的问题并自动调整以防止服务中断。例如，如果战士通常访问的节点发生故障，他将自动重定向到系统中的另一个节点。

　　此外，由于所有节点都以弹性方式提供所需的应用程序服务，因此组织不再需要设置和维护专用故障转移站点。没有资源是专门用于灾难恢复的;相反，剩余资源用于满足应用程序需求的增长并提高应用程序用户的性能。冗余部署资源时，故障不会导致中断，并且实现了 5-9 的可用性。结果是，精心设计的军事云可以具有令人难以置信的弹性和高可用性。

　　位置，位置，云数据的位置

　　对于考虑云解决方案的军事组织来说，另一个障碍是目前控制云中数据位置的能力有限。某些 DoD 组织可能需要能够限制数据的位置。例如，联军共享的数据可能属于同一分类，但每个联军伙伴可能都有不应离开其设施的数据。

　　数据治理必须是分布式数据库和应用程序系统的组成部分，以降低与合规性管理相关的成本和风险。数据位置策略允许管理员建立可以或不能存储数据的规则。

　　例如，通过建立位置策略规则，管理员可以指定某些表或表的某些部分必须或不得存储在不同的位置。如果关键数据必须仅存储在特定区域，或者可能不会存储在物理安全性较差的位置，管理员可以查明这些限制。还可以设计策略，以便在创建和更新数据时强制执行数据规则，确保系统始终符合既定策略。

　　部署选项

　　如果同时规划私有云和社区云，则数据最初可能部署在私有云上。随着社区成员对安全和策略措施感到满意，数据可以移动到社区云中，在那里可以共享数据。更保守的方法是从本地节点和私有云节点的混合开始，随着对云基础架构的信心增长，将数据迁移到私有云，最后酌情迁移到社区云。

　　安全虚拟化支持基于云的系统

　　当分布式数据技术提供的弹性和数据管辖权与安全虚拟化相结合时，可以实现基于云的方法的真正规模经济。虚拟化对于成功的云部署至关重要，尤其是在现场托管环境中的云部署中，因为每次部署都会减少 SWaP-C。但是，需要安全的虚拟化才能使基于云的系统能够处理敏感数据。安全虚拟化平台提供的额外划分允许在单个硬件平台上以不同的安全分类进行数据处理和存储。

　　安全虚拟化以及数据位置控制和高可用性是支持多种数据分类的关键任务军事部署。旨在保护此类战术军事环境的敏感数据的云解决方案现在可以在分布式计算环境中使用安全虚拟化来实现。

　　审核编辑：郭婷