Вибір хмарної платформи для оборонних навантажень — це передусім рішення щодо відповідності вимогам та суверенітету даних, а не технологічне. Базова обчислювальна інфраструктура Azure Government та AWS GovCloud в цілому аналогічна їхнім комерційним відповідникам. Різниця полягає в позиції щодо регуляторної відповідності, фізичній та логічній ізоляції від комерційних орендарів, моделі підтримки та максимальному рівні класифікації, який може підтримуватися.
Помилкове рішення має наслідки, які важко виправити. Міграція оборонного застосунку з однієї хмарної платформи на іншу після його виробничого розгортання — це значне програмне завдання. Рішення щодо вибору платформи, прийняте на початку, обмежує архітектуру на весь термін програми.
Системи відповідності: FedRAMP, рівні IL та вимоги НАТО
Основна американська система відповідності для хмарних навантажень — FedRAMP (Federal Risk and Authorization Management Program) — визначає три рівні впливу: низький, середній та високий. FedRAMP High є базовим рівнем для чутливих, але некласифікованих урядових даних. І Azure Government, і AWS GovCloud мають авторизації FedRAMP High для більшості сервісів.
Вище за FedRAMP, Посібник з вимог безпеки хмарних обчислень DoD (CC SRG) визначає рівні впливу від 4 до 6. IL4 охоплює контрольовану некласифіковану інформацію (CUI) з позначкою національної безпеки. IL5 охоплює Системи національної безпеки (NSS) та класифіковану інформацію DoD до рівня SECRET. IL6 охоплює дані SECRET. Лише специфічні, фізично ізольовані хмарні регіони кваліфікуються для навантажень IL5 та IL6 — не стандартні регіони GovCloud.
Для країн-членів НАТО поза межами США відповідними системами є вимоги хмарної безпеки НАТО NCIA (Агентство зв'язку та інформації) та національні еквіваленти. NCIA НАТО затвердила конкретні хмарні сервіси для даних NATO RESTRICTED та NATO CONFIDENTIAL після власних процесів аудиту. Ці дозволи не надаються автоматично через FedRAMP — необхідна окрема оцінка.
Azure Government проти AWS GovCloud: ключові відмінності
Фізична ізоляція. Обидві платформи використовують фізично відокремлену інфраструктуру від своїх комерційних хмар, яку обслуговують лише перевірені громадяни США (для американських програм) або еквівалентні національні вимоги перевірки. Обидві забезпечують логічну розв'язку через виділені варіанти інфраструктури (виділені хости, металеві обчислення).
Паритет доступності сервісів. Комерційні хмарні сервіси часто з'являються в GovCloud із запізненням 12–24 місяці. AWS GovCloud історично має ширший паритет каталогу сервісів з комерційним AWS. Azure Government має сильний паритет у своїх основних сервісах IaaS та PaaS і значно покращила покриття сервісів AI/ML, хоча деякі комерційні сервіси Azure залишаються недоступними в урядовій хмарі.
Сервіси, специфічні для DoD. Microsoft має контракт DoD JEDI/JWCC і зробила значні інвестиції в регіони Azure Government, здатні підтримувати IL5. AWS управляє середовищем C2S (Commercial Cloud Services) для спільноти розвідки та має регіони GovCloud East та West, здатні підтримувати IL5. Для програм, що потребують IL5, обидві є прийнятними — конкретна доступність сервісів на рівні IL5 варіюється залежно від регіону і має бути перевірена за актуальною документацією постачальника.
Модель підтримки. Обидва постачальники пропонують виділені рівні урядової підтримки з перевіреним персоналом підтримки. Для програм зі строгими вимогами операційної безпеки перевірка того, що доступ до підтримки обмежений відповідно перевіреним персоналом — і підлягає аудиту — є контрактною вимогою, а не припущенням.
Гібридна хмара для класифікованих навантажень
Більшість оборонних програм вище рівня SECRET не можуть розміщувати навантаження в комерційній хмарі — навіть в акредитованому регіоні GovCloud. Класифіковані навантаження рівня SECRET і вище мають працювати в акредитованих урядових або підрядних об'єктах із засобами фізичного контролю безпеки та вимогами до доступу персоналу рівня SCIF. Хмара для таких навантажень — це або приватне хмарне розгортання (державне обладнання з хмарним IaaS), або засекречене хмарне середовище, як-от C2S або Azure Government Top Secret.
Практична архітектура для більшості програм є гібридною: некласифіковані компоненти та CUI працюють у GovCloud, класифіковані компоненти — в приватному або засекреченому хмарному середовищі, а рішення міждоменної взаємодії (CDS) опосередковують передачу даних між двома середовищами. Правильне проектування CDS — включаючи логіку валідації даних, перетворення форматів та перекласифікації — є, як правило, одним з найскладніших і найбільш критичних за часом елементів архітектури.
Вимоги до резидентності даних
Багато оборонних програм мають договірні або правові вимоги, що визначають, де дані можуть зберігатися та оброблятися. Класифіковані дані країн-членів ЄС можуть мати обмеження, що перешкоджають їх зберіганню в американській інфраструктурі (навіть у європейських центрах обробки даних, що належать США). Засекречені дані НАТО мають специфічні вимоги щодо обробки, що обмежують місця їх обробки.
Як Azure, так і AWS мають урядові хмарні регіони в Європі (Нідерланди, Німеччина) зі специфічними позиціями щодо вимог до суверенних даних ЄС. Оцінка цих варіантів вимагає юридичного аналізу конкретних інструкцій щодо класифікації програми та національного законодавства, а не лише маркетингових матеріалів хмарного постачальника.
Ключовий висновок: Архітектура нульової довіри є вимогою, а не вибором, для оборонних хмарних розгортань. Допущення безпеки на основі периметра (внутрішній трафік є довіреним) архітектурно несумісні з багатоорендною хмарою та гібридними середовищами. Плануйте автентифікацію на кожен запит, мікросегментацію та безперервну перевірку авторизації з першого дня.
Базовий рівень нульової довіри для оборонної хмари
Еталонна архітектура нульової довіри DoD визначає сім стовпів: користувач, пристрій, мережа, застосунок/навантаження, дані, автоматизація/оркестрація та видимість/аналітика. Для розгортання GovCloud впровадження базового рівня нульової довіри означає: доступ на основі ідентичності (Microsoft Entra ID / AWS IAM із MFA та умовним доступом), застосування позиції пристрою (без доступу з некерованих або невідповідних пристроїв), мікросегментацію мережі (міжмережевий екран на рівні застосунків, без неявної довіри між сервісами в одній VNet/VPC) та засоби контролю доступу на основі класифікації даних (шифрування в стані спокою з ключами, керованими клієнтом, мітки класифікації, що застосовуються на рівні застосунку).
Ізоляція для багатьох орендарів на рівні інфраструктури — забезпечення того, що навантаження одного орендаря не може отримати доступ до даних або інфраструктури іншого орендаря — гарантується хмарним постачальником. Що не гарантується — це ізоляція на рівні застосунку. Багатоорендний оборонний застосунок, що зберігає всі дані орендарів у спільній базі даних із безпекою на рівні рядків, не відповідає вимогам нульової довіри, незалежно від того, на якій хмарній платформі він працює. Ізоляція орендарів має бути реалізована та перевірена на рівні застосунку.