Pilvialustan valitseminen puolustuksen työkuormille ei ole ensisijaisesti teknologinen päätös — se on vaatimustenmukaisuutta ja datan suvereniteettia koskeva päätös. Azure Governmentin ja AWS GovCloudin taustalla oleva laskentainfrastruktuuri on suurelta osin samanlainen kuin niiden kaupallisten vastineiden. Erot ovat sääntelyn vaatimustenmukaisuudessa, fyysisessä ja loogisessa eristyksessä kaupallisista vuokralaisista, tukimallissa sekä tuettavassa enimmäisluokitustasossa.

Tämän päätöksen tekeminen väärin aiheuttaa seurauksia, joita on vaikea peruuttaa. Puolustussovelluksen siirtäminen pilvialustalta toiselle sen jälkeen, kun se on otettu tuotantokäyttöön, on merkittävä ohjelmatason hanke. Aikaisin tehty alustan valintapäätös rajaa arkkitehtuuria koko ohjelman elinkaaren ajan.

Vaatimustenmukaisuuden viitekehykset: FedRAMP, IL-tasot ja NATO-vaatimukset

Yhdysvaltain ensisijainen vaatimustenmukaisuuden viitekehys pilvityökuormille on FedRAMP (Federal Risk and Authorization Management Program), joka määrittelee kolme vaikutustasoa: Low, Moderate ja High. FedRAMP High on perustaso arkaluonteiselle mutta luokittelemattomalle hallinnon datalle. Sekä Azure Governmentilla että AWS GovCloudilla on FedRAMP High -valtuutukset useimpiin palveluihin.

FedRAMPin yläpuolella DoD Cloud Computing Security Requirements Guide (CC SRG) määrittelee vaikutustasot 4–6. IL4 kattaa kansallisen turvallisuuden määrittelyn alaisen valvotun luokittelemattoman tiedon (CUI). IL5 kattaa kansalliset turvallisuusjärjestelmät (NSS) ja DoD:n luokitellun tiedon SECRET-tasoon asti. IL6 kattaa SECRET-tason datan. Vain tietyt, fyysisesti eristetyt pilvialueet täyttävät IL5- ja IL6-työkuormien vaatimukset — eivät tavalliset GovCloud-alueet.

Yhdysvaltojen ulkopuolisille NATO-jäsenmaille olennaisia viitekehyksiä ovat NATO NCIA:n (Communications and Information Agency) pilvipalveluiden turvallisuusvaatimukset ja kansalliset vastineet. NATO NCIA on hyväksynyt tietyt pilvipalvelutarjonnat NATO RESTRICTED- ja NATO CONFIDENTIAL -datalle omien auditointiprosessiensa jälkeen. Näitä hyväksyntöjä ei myönnetä automaattisesti FedRAMPin perusteella — erillinen arviointi vaaditaan.

Azure Government vs AWS GovCloud: keskeiset erottavat tekijät

Fyysinen eristys. Molemmat alustat operoivat fyysisesti erillistä infrastruktuuria kaupallisista pilvistään, ja niitä ylläpitää vain taustansa puolesta tarkistettu henkilöstö — Yhdysvaltain ohjelmissa Yhdysvaltain kansalaiset tai vastaavat kansalliset taustatarkistusvaatimukset täyttävät henkilöt. Molemmat tarjoavat loogisen erottelun erillisten infrastruktuurivaihtoehtojen kautta (dedikoidut isännät, bare metal -laskenta).

Palvelujen saatavuuden vastaavuus. Kaupalliset pilvipalvelut ilmestyvät GovCloudiin usein 12–24 kuukauden viiveellä. AWS GovCloudilla on perinteisesti ollut laajempi palveluvalikoiman vastaavuus kaupallisen AWS:n kanssa. Azure Governmentilla on vahva vastaavuus sen keskeisissä IaaS- ja PaaS-palveluissa, ja se on parantanut merkittävästi tekoäly-/koneoppimispalvelujensa kattavuutta, vaikka jotkin kaupalliset Azure-palvelut eivät edelleenkään ole saatavilla Government-pilvessä.

DoD-kohtaiset palvelut. Microsoftilla on DoD:n JEDI/JWCC-sopimus, ja se on tehnyt merkittäviä investointeja IL5-kykyisiin Azure Government -alueisiin. AWS operoi C2S (Commercial Cloud Services) -ympäristöä tiedusteluyhteisölle (IC) ja sillä on IL5-kykyiset GovCloud East- ja West-alueet. IL5:tä vaativille ohjelmille molemmat ovat toimivia — IL5-tasolla saatavilla oleva palveluvalikoima vaihtelee alueittain ja se on varmistettava palveluntarjoajan ajantasaisesta dokumentaatiosta.

Tukimalli. Molemmat palveluntarjoajat tarjoavat erillisiä hallinnon tukitasoja, joissa tukihenkilöstöllä on turvallisuusselvitys. Ohjelmissa, joilla on tiukat operatiivisen turvallisuuden vaatimukset, sen varmistaminen, että tukipääsy on rajattu asianmukaisesti selvitetylle henkilöstölle — ja että se on auditoitavissa — on sopimusvaatimus, ei oletus.

Hybridipilvi luokitelluille työkuormille

Useimmat puolustusohjelmat, jotka ovat SECRET-luokitusta korkeammalla, eivät voi sijoittaa työkuormia kaupalliseen pilveen — eivät edes akkreditoidulle GovCloud-alueelle. SECRET-tason ja sitä korkeamman luokitellun datan työkuormien on toimittava akkreditoiduissa hallinnon tai sopimuskumppanin operoimissa tiloissa, joissa on fyysiset turvavalvonnat ja SCIF-tason henkilöstön pääsyvaatimukset. Pilvi näille työkuormille on joko yksityinen pilviympäristö (hallinnon omistamalla laitteistolla toimiva pilvimäinen IaaS) tai luokiteltu pilviympäristö kuten C2S tai Azure Government Top Secret.

Käytännön arkkitehtuuri useimmille ohjelmille on hybridi: luokittelemattomat ja CUI-komponentit toimivat GovCloudissa, luokitellut komponentit toimivat yksityisessä tai luokitellussa pilviympäristössä, ja toimialarajat ylittävät ratkaisut (cross-domain solutions, CDS) välittävät datan siirtoa näiden kahden ympäristön välillä. CDS:n oikea suunnittelu — mukaan lukien datan validointi, formaatin muunnos ja uudelleenluokittelun logiikka — on tyypillisesti yksi arkkitehtuurin monimutkaisimmista ja aikataulun kannalta kriittisimmistä elementeistä.

Datan sijaintia koskevat vaatimukset

Monilla puolustusohjelmilla on sopimusperusteisia tai lakisääteisiä vaatimuksia, jotka määrittelevät, missä dataa saa tallentaa ja käsitellä. EU:n jäsenvaltioiden luokitellulla datalla voi olla rajoituksia, jotka estävät tallentamisen Yhdysvaltain operoimaan infrastruktuuriin (jopa yhdysvaltalaisomisteisissa eurooppalaisissa datakeskuksissa). NATO-luokitellulla datalla on erityisiä käsittelyvaatimuksia, jotka rajoittavat sitä, missä sitä voidaan käsitellä.

Sekä Azurella että AWS:llä on hallinnon pilvialueita Euroopassa (Alankomaat, Saksa), joilla on erityiset vaatimustenmukaisuusprofiilit EU:n suvereenin datan vaatimuksille. Näiden vaihtoehtojen arviointi edellyttää kyseisen ohjelman luokitusohjeiden ja kansallisten lakien oikeudellista tarkastelua, ei vain pilvipalveluntarjoajan markkinointimateriaalia.

Keskeinen oivallus: Zero-trust-arkkitehtuuri on vaatimus, ei valinta, puolustuksen pilvikäyttöönotoille. Suojavyöhykepohjaiset turvallisuusoletukset (sisäinen liikenne on luotettavaa) ovat arkkitehtuurisesti yhteensopimattomia monivuokralaispilven ja hybridiympäristöjen kanssa. Suunnittele pyyntökohtainen todennus, mikrosegmentointi ja jatkuva valtuutuksen varmennus alusta alkaen.

Zero-Trust-perustaso puolustuksen pilvelle

DoD:n Zero Trust -referenssiarkkitehtuuri määrittelee seitsemän pilaria: Käyttäjä, Laite, Verkko, Sovellus/Työkuorma, Data, Automaatio/Orkestrointi ja Näkyvyys/Analytiikka. GovCloud-käyttöönotossa zero-trust-perustason toteuttaminen tarkoittaa: identiteettiin perustuvaa pääsyä (Microsoft Entra ID / AWS IAM monivaiheisella todennuksella ja ehdollisella pääsyllä), laitteen tilan valvontaa (ei pääsyä hallitsemattomilta tai vaatimusten vastaisilta laitteilta), verkon mikrosegmentointia (sovelluskerroksen palomuuri, ei implisiittistä luottamusta saman VNet/VPC:n palveluiden välillä) sekä datan luokitukseen perustuvia pääsynvalvontoja (lepotilan salaus asiakkaan hallinnoimilla avaimilla, luokitusmerkinnät pakotettuna sovelluskerroksessa).

Monivuokralaiseristys infrastruktuuritasolla — sen varmistaminen, että yhden vuokralaisen työkuorma ei pääse käsiksi toisen vuokralaisen dataan tai infrastruktuuriin — on pilvipalveluntarjoajan takaama. Mitä ei taata, on sovellustason eristys. Monivuokralainen puolustussovellus, joka tallentaa kaiken vuokralaisdatan jaettuun tietokantaan rivitason suojauksella, ei ole zero-trust-yhteensopiva riippumatta siitä, millä pilvialustalla se toimii. Vuokralaiseristys on toteutettava ja varmennettava sovelluskerroksessa.