ATAK-CIV vs ATAK-MIL: wybór i wdrożenie właściwego klienta TAK

Team Awareness Kit jest dystrybuowany w dwóch wersjach. ATAK-CIV to otwarty klient cywilny, który może pobrać i uruchomić każdy; ATAK-MIL to kontrolowana wersja wojskowa przekazywana wyłącznie autoryzowanym użytkownikom rządowym. Obie wyglądają niemal identycznie na ekranie, współdzielą ten sam silnik mapowy i posługują się tym samym językiem Cursor on Target — a jednak wybór niewłaściwej wersji lub nieostrożne wdrożenie którejkolwiek daje ten sam rezultat: obraz taktyczny, który nie federuje, wtyczki, które się nie ładują, lub wrażliwe dane na urządzeniu, które nigdy nie było akredytowane do ich przechowywania. Niniejszy artykuł wyjaśnia, co naprawdę różni oba warianty, kiedy każdy z nich jest właściwym wyborem i jak wdrożyć wybrany wariant w flocie urządzeń, aby każde urządzenie w sieci widziało ten sam, wiarygodny obraz.

Dwie wersje, jeden rdzeń

Najważniejszą rzeczą do zrozumienia w odniesieniu do ATAK-CIV i ATAK-MIL jest to, że są to wersje tego samego produktu, a nie dwa różne produkty. Oba wywodzą się z tej samej bazy kodu utrzymywanej przez TAK Product Center. Oba renderują mapę tym samym silnikiem, oba używają tego samego frameworka wtyczek i oba wymieniają dane świadomości sytuacyjnej jako zdarzenia Cursor on Target. Jeśli czytałeś nasz przewodnik po tworzeniu wtyczek ATAK, ta architektura obowiązuje niezmiennie dla obu wariantów — powierzchnia API, do której kieruje się wtyczka, jest współdzielona.

To, co odróżnia oba warianty, to kanał dystrybucji i zestaw funkcji nałożonych na wspólny rdzeń. ATAK-CIV jest publikowany otwarcie. To wersja używana przez ratowników, zespoły ochrony infrastruktury krytycznej, organizacje poszukiwawczo-ratownicze, sojusznicze jednostki ochotnicze i deweloperów, którzy budują i testują wtyczki. ATAK-MIL jest kontrolowany dostępowo, dystrybuowany kanałami rządowymi wyłącznie do autoryzowanych użytkowników, i dodaje funkcje celowo pominiętych w wersji cywilnej: obsługę oznaczeń danych niejawnych, dodatkowe moduły kryptograficzne, integrację z zastrzeżonymi formatami wiadomości oraz wojskową symbolikę i nakładki.

Ponieważ rozbieżność ma charakter addytywny, a nie strukturalny, model mentalny jest prosty: ATAK-MIL to ATAK-CIV plus warstwa kontrolowanych funkcji plus kontrolowany kanał dystrybucji. Wszystko, co możesz zrobić w CIV, możesz zrobić w MIL; odwrotność nie jest prawdą, a przepaść jest regulowana przez akredytację i politykę równie mocno, co przez kod.

Różnice w funkcjach i licencjonowaniu

Pod względem funkcji praktyczne różnice skupiają się w trzech obszarach. Po pierwsze, obsługa danych: ATAK-MIL rozumie oznaczenia klasyfikacyjne i związane z nimi przepływy pracy — etykietowanie treści, egzekwowanie zastrzeżeń dotyczących udostępniania i segregowanie oznaczonych danych. ATAK-CIV traktuje wszystkie treści jako niejawne. Po drugie, kryptografia: wersja wojskowa może zawierać zatwierdzone moduły kryptograficzne i integracje zarządzania kluczami wymagane przez akredytowane środowiska, podczas gdy ATAK-CIV polega na standardowym szyfrowaniu transportu — TLS do serwera — co jest odpowiednie do użytku niejawnego, ale wrażliwego. Po trzecie, pakiety treści: niektóre zestawy symboli, nakładki i integracje formatów wiadomości są dołączone wyłącznie do wersji wojskowej.

Pod względem licencjonowania różnica dotyczy tego, kto może pozyskać i uruchomić każdą z wersji. ATAK-CIV jest dystrybuowany na warunkach dopuszczających szerokie publiczne użycie, dlatego wokół niego rozwinął się cały ekosystem wtyczek i integracji firm trzecich. ATAK-MIL jest ograniczony do autoryzowanych użytkowników rządowych; pozyskanie go poza tym kanałem jest niezgodne z prawem i żadna relacja handlowa tego nie zmienia. Dla każdego zespołu pozarządowego odpowiedź na pytanie o licencję jest zarazem odpowiedzią na pytanie o wdrożenie: jedynym klientem, którego możesz legalnie użyć w terenie, jest ATAK-CIV.

Interoperacyjność: współdzielenie jednego obrazu

Ponieważ oba warianty używają tego samego modelu danych Cursor on Target i mogą łączyć się z tym samym serwerem TAK, urządzenie CIV i urządzenie MIL w tej samej federacji będą widzieć swoje pozycje i zdarzenia. Na poziomie protokołu nie ma żadnej bariery — zdarzenie CoT opublikowane przez jeden wariant może być odbierane przez drugi, i to samo dotyczy nakładek geoprzestrzennych i ruchu czatu przesyłanych przez magistralę CoT. Aby lepiej zrozumieć, jak ta magistrala i jej kontrakty danych działają w praktyce, nasz przegląd ekosystemu TAK open source omawia serwer, formaty wiadomości i integracje z nim powiązane.

Rzeczywistym ograniczeniem wdrożeń mieszanych jest polityka, nie protokół. Serwer TAK akredytowany do ruchu niejawnego nie dopuści klientów cywilnych — i słusznie: dopuszczenie urządzenia CIV do niejawnego obrazu spowodowałoby ujawnienie oznaczonych danych klientowi bez akredytacji do ich przechowywania. Gdy wdrożenie naprawdę wymaga interoperacyjności obu światów, odpowiedzią jest przemyślana granica domeny danych: albo rozwiązanie cross-domain, które oczyszcza i przekazuje zatwierdzone treści w dół, albo oddzielny serwer niejawny odzwierciedlający wyłącznie jawny podzbiór obrazu. Interoperacyjność to decyzja wdrożeniowa, którą projektujesz, akredytujesz i dokumentujesz — nie opcja w aplikacji.

Projektowanie granicy domeny danych

Najczęstsza architektura dla operacji mieszanych CIV/MIL opiera się na dwóch serwerach. Serwer niejawny federuje klientów MIL i oznaczony obraz. Strażnik lub proces przekazywania przenosi wyłącznie jawne ślady — zazwyczaj pozycje sił przyjaznych i wyselekcjonowany zestaw punktów zainteresowania — na oddzielny serwer niejawny, do którego łączą się klienci CIV. Raporty pochodzące z CIV przepływają w górę do niejawnego obrazu jako niejawne dane wejściowe. Dzięki temu przepływ wrażliwych danych na granicy jest jednokierunkowy i daje akredytorom jeden, możliwy do audytu punkt kontrolny, nad którym można panować, zamiast rozległej siatki klientów o różnych poziomach zaufania.

Kompatybilność wtyczek między wariantami

Wtyczki są głównym powodem, dla którego zespoły w ogóle wdrażają ATAK, więc zachowanie wtyczek między wariantami ma znaczenie. Wtyczka to pakiet Androida skompilowany względem konkretnej wersji ATAK SDK; w momencie ładowania aplikacja hosta sprawdza zadeklarowany poziom API wtyczki i jej podpis względem własnych oczekiwań. Ponieważ powierzchnia API wtyczki jest współdzielona między CIV i MIL tej samej wersji, wtyczka zbudowana względem CIV SDK zazwyczaj załaduje się na pasującej wersji MIL — i odwrotnie — pod warunkiem, że wersje się zgadzają.

Problemy pojawiają się w dwóch sytuacjach. Pierwsza to niezgodność wersji: wtyczka zbudowana względem starszego lub nowszego SDK niż host jest odrzucana w czysty sposób, dlatego przypięcie wersji klienta w całej flocie jest bezwzględnie konieczne. Druga to zależność od funkcji: wtyczka wywołująca funkcję obecną tylko w wersji wojskowej zawiedzie na CIV, a wtyczka zakładająca luźniejsze podpisywanie lub listy dozwolonych w wersji CIV może być odrzucona przez wersję MIL wymuszającą ściślejszą weryfikację pakietów. Dyscyplina, która pozwala uniknąć obu problemów, polega na traktowaniu każdej pary wariant-wersja jako odrębnego celu budowania — kompilowaniu wtyczki względem niej i testowaniu jej na niej, zamiast zakładania, że wtyczka przetestowana w CIV jest automatycznie gotowa dla MIL. Jeśli podpisywanie i odporność na manipulacje budzą obawy, nasz przewodnik po hartowaniu bezpieczeństwa wtyczek ATAK omawia zabezpieczenia, które powinny towarzyszyć wtyczce niezależnie od tego, który wariant ją hostuje.

Poziom bezpieczeństwa i akredytacja

Kuszące jest czytanie „MIL" jako „bezpieczny", a „CIV" jako „niebezpieczny", ale prawda jest bardziej złożona. Kod aplikacji jest w dużej mierze wspólny; różnica w bezpieczeństwie tkwi w infrastrukturze otaczającej każdy wariant. ATAK-MIL jest zbudowany do wdrożenia w akredytowanych środowiskach — obsługuje zatwierdzone moduły kryptograficzne, oznaczenia danych niejawnych oraz kontrole zarządzania urządzeniami i audytu wymagane przez te środowiska. Jednak jest tylko tak bezpieczny, jak provisioning, dystrybucja kluczy i akredytowany serwer za nim stojące. Wdróż wersję MIL na niezarządzanym urządzeniu z niedbałym zarządzaniem kluczami, a podważysz właśnie te mechanizmy kontroli, do których obsługi ta wersja istnieje.

ATAK-CIV jest z kolei w pełni odpowiedni dla operacji niejawnych, ale wrażliwych, gdy jest otoczony zdyscyplinowaną praktyką: TLS do właściwie skonfigurowanego serwera TAK, hartowane urządzenia, staranne zarządzanie certyfikatami i kluczami oraz egzekwowany MDM. Przepaść między dwoma poziomami bezpieczeństwa dotyczy zatem głównie akredytowanej infrastruktury wspomagającej, a nie zainstalowanego pliku APK. Dobrze prowadzone wdrożenie CIV może być wyraźnie bezpieczniejsze niż źle prowadzone wdrożenie MIL.

Modele wdrożenia, które skalują się

Niezależnie od wybranego wariantu dyscyplina wdrożeniowa jest taka sama i zaczyna się od złotego obrazu. Flota wzmocnionych urządzeń z Androidem musi być możliwa do weryfikacji jako identyczna: ten sam wariant klienta w przypiętej wersji, ten sam zwalidowany zestaw wtyczek zbudowanych względem dokładnie tego SDK, te same paczki map offline, te same profile połączeń z serwerem i ta sama postawa certyfikatów. Zbuduj ten obraz raz, podpisz go, zapisz jego manifest i wypchnij na każde urządzenie. Heterogeniczne floty — złożone ręcznie, urządzenie po urządzeniu — to środowisko, w którym rodzą się niezgodności wersji wtyczek i awarie połączeń.

Dystrybucja i cykl życia są następnie zarządzane przez MDM. MDM wypycha obraz, rotuje certyfikaty, egzekwuje politykę hartowania urządzeń i pozwala zdalnie wycofać zagubione urządzenie. Mechanika robienia tego na dużą skalę — rejestracja, provisioning floty i bieżące zarządzanie — jest przedmiotem naszego dedykowanego omówienia zarządzania urządzeniami ATAK z Androidem i obowiązuje zarówno dla flot CIV, jak i MIL. Decyzja o wariancie zmienia to, co umieszczasz w obrazie; nie zmienia potrzeby zarządzania tym obrazem jako jednym, wersjonowanym, możliwym do audytu artefaktem w całej flocie.

Walidacja zamyka pętlę. Zanim wdrożenie zostanie uznane za „zakończone", potwierdź od końca do końca, że klienci pojawiają się na serwerze, CoT płynie w obu kierunkach, każda dołączona wtyczka się ładuje i — co kluczowe — obraz przeżywa utratę łączności i resynchronizuje się po przywróceniu połączenia. Klient TAK, który działa tylko przy aktywnym połączeniu, nie jest narzędziem taktycznym, a ten test jest taki sam niezależnie od tego, czy na wersji widnieje napis CIV czy MIL.