Arhitectura GovCloud pentru ApДѓrare: Azure Government vs AWS GovCloud

Alegerea unei platforme cloud pentru sarcinile de lucru din apărare nu este în primul rând o decizie tehnologică — este o decizie de conformitate și suveranitate a datelor. Infrastructura de calcul de bază a Azure Government și AWS GovCloud este în linii mari similară cu echivalentele lor comerciale. Ceea ce diferă este postura de conformitate reglementară, izolarea fizică și logică de chiriașii comerciali, modelul de suport și nivelul maxim de clasificare suportabil.

GreИ™irea acestei decizii are consecinИ›e dificil de inversat. Migrarea unei aplicaИ›ii de apДѓrare de la o platformДѓ cloud la alta dupДѓ ce este desfДѓИ™uratДѓ Г®n producИ›ie este o sarcinДѓ semnificativДѓ la nivel de program. Decizia de selecИ›ie a platformei, luatДѓ devreme, constrГўnge arhitectura pe durata de viaИ›Дѓ a programului.

Cadre de Conformitate: FedRAMP, Niveluri IL И™i CerinИ›ele NATO

Cadrul principal de conformitate US pentru sarcinile de lucru cloud este FedRAMP (Federal Risk and Authorization Management Program), care defineИ™te trei niveluri de impact: ScДѓzut, Moderat И™i ГЋnalt. FedRAMP High este linia de bazДѓ pentru datele guvernamentale sensibile dar neclasificate. AtГўt Azure Government, cГўt И™i AWS GovCloud deИ›in autorizaИ›ii FedRAMP High Г®n cele mai multe servicii.

Deasupra FedRAMP, Ghidul de Cerințe de Securitate pentru Cloud Computing DoD (CC SRG) definește Niveluri de Impact 4 până la 6. IL4 acoperă informațiile neclasificate controlate (CUI) cu o desemnare de securitate națională. IL5 acoperă Sistemele de Securitate Națională (NSS) și informațiile clasificate DoD până la SECRET. IL6 acoperă datele SECRET. Numai regiunile cloud specifice, izolate fizic, se califică pentru sarcinile de lucru IL5 și IL6 — nu regiunile GovCloud standard.

Pentru națiunile membre NATO din afara SUA, cadrele relevante sunt cerințele de securitate cloud ale NCIA (Agenția pentru Comunicații și Informații) NATO și echivalentele naționale. NCIA NATO a aprobat oferte specifice de servicii cloud pentru datele NATO RESTRICTED și NATO CONFIDENTIAL după propriile procese de audit. Aceste aprobări nu sunt conferite automat de FedRAMP — este necesară o evaluare separată.

Azure Government vs AWS GovCloud: DiferenИ›iatori Cheie

Izolarea fizicДѓ. Ambele platforme opereazДѓ infrastructuri separate fizic faИ›Дѓ de cloud-urile lor comerciale, dotate doar cu cetДѓИ›eni SUA verificaИ›i (pentru programele SUA) sau cerinИ›e echivalente de verificare naИ›ionalДѓ. Ambele oferДѓ separare logicДѓ prin opИ›iuni de infrastructurДѓ dedicatДѓ (hosturi dedicate, calcul bare metal).

Paritatea disponibilității serviciilor. Serviciile cloud comerciale apar adesea în GovCloud cu un decalaj de 12–24 de luni. AWS GovCloud a avut istoric o paritate mai largă a catalogului de servicii cu AWS comercial. Azure Government are paritate puternică în serviciile sale IaaS și PaaS de bază și a îmbunătățit semnificativ acoperirea serviciilor AI/ML, deși unele servicii Azure comerciale rămân indisponibile în cloud-ul Guvernamental.

Servicii specifice DoD. Microsoft deține contractul DoD JEDI/JWCC și a făcut investiții semnificative în regiunile Azure Government cu capabilitate IL5. AWS operează mediul C2S (Commercial Cloud Services) pentru comunitatea IC și are regiuni GovCloud Est și Vest cu capabilitate IL5. Pentru programele care necesită IL5, ambele sunt viabile — disponibilitatea specifică a serviciilor la IL5 variază per regiune și trebuie verificată față de documentația curentă a furnizorului.

Modelul de suport. Ambii furnizori oferă niveluri de suport guvernamental dedicate cu personal de suport verificat. Pentru programele cu cerințe stricte de securitate operațională, verificarea că accesul la suport este restricționat la personalul cu autorizare corespunzătoare — și auditabil — este o cerință contractuală, nu o presupunere.

Cloud Hibrid pentru Sarcinile de Lucru Clasificate

Cele mai multe programe de apărare deasupra clasificării SECRET nu pot plasa sarcini de lucru într-un cloud comercial — nici măcar o regiune GovCloud acreditată. Sarcinile de lucru clasificate la nivel SECRET și mai sus trebuie să ruleze în facilități operate de guvern sau de contractori, acreditate cu controale de securitate fizică și cerințe de acces al personalului la nivel SCIF. Cloud-ul, pentru aceste sarcini de lucru, este fie o desfășurare de cloud privat (hardware deținut de guvern care rulează IaaS de tip cloud) fie un mediu cloud clasificat cum ar fi C2S sau Azure Government Top Secret.

Arhitectura practică pentru cele mai multe programe este hibridă: componentele neclasificate și CUI rulează în GovCloud, componentele clasificate rulează în un mediu cloud privat sau clasificat, și soluțiile cross-domain (CDS) mediază transferul de date între cele două medii. Proiectarea corectă a CDS — inclusiv validarea datelor, conversia formatului și logica de reclasificare — este de obicei unul dintre cele mai complexe și critice din punct de vedere al programului elemente ale arhitecturii.

CerinИ›ele de RezidenИ›Дѓ a Datelor

Multe programe de apДѓrare au cerinИ›e contractuale sau legale care specificДѓ unde pot fi stocate И™i procesate datele. Datele clasificate ale statelor membre UE pot avea restricИ›ii care Г®mpiedicДѓ stocarea Г®n infrastructura operatДѓ de SUA (chiar И™i Г®n centrele de date europene deИ›inute de SUA). Datele clasificate NATO au cerinИ›e specifice de gestionare care limiteazДѓ unde pot fi procesate.

AtГўt Azure, cГўt И™i AWS au regiuni cloud guvernamentale Г®n Europa (Olanda, Germania) cu posturi specifice de conformitate pentru cerinИ›ele de date suverane UE. Evaluarea acestor opИ›iuni necesitДѓ revizuire legalДѓ a instrucИ›iunilor de clasificare specifice programului И™i a legilor naИ›ionale, nu doar a materialelor de marketing ale furnizorului cloud.

Linia de BazДѓ Zero-Trust pentru Cloud-ul de ApДѓrare

Arhitectura de ReferinИ›Дѓ Zero Trust a DoD defineИ™te И™apte piloni: Utilizator, Dispozitiv, ReИ›ea, AplicaИ›ie/SarcinДѓ de Lucru, Date, Automatizare/Orchestrare И™i Vizibilitate/AnalizДѓ. Pentru o desfДѓИ™urare GovCloud, implementarea unei linii de bazДѓ zero-trust Г®nseamnДѓ: acces bazat pe identitate (Microsoft Entra ID / AWS IAM cu MFA И™i acces condiИ›ionat), aplicarea posturii dispozitivului (fДѓrДѓ acces de pe dispozitive negestionate sau neconforme), micro-segmentarea reИ›elei (firewall la nivelul aplicaИ›iei, nicio Г®ncredere implicitДѓ Г®ntre servicii Г®n acelaИ™i VNet/VPC) И™i controale de acces bazate pe clasificarea datelor (criptare Г®n repaus cu chei gestionate de client, etichete de clasificare aplicate la nivelul aplicaИ›iei).

Izolarea multi-chiriaș la nivelul infrastructurii — asigurarea că sarcina de lucru a unui chiriaș nu poate accesa datele sau infrastructura altui chiriaș — este garantată de furnizorul cloud. Ceea ce nu este garantat este izolarea la nivel de aplicație. O aplicație de apărare multi-chiriaș care stochează toate datele chiriașilor într-o bază de date partajată cu securitate la nivel de rând nu este conformă cu zero-trust, indiferent de platforma cloud pe care rulează. Izolarea chiriașilor trebuie implementată și verificată la nivelul aplicației.