Nhấn mạnh kỹ của Quân sự vào rủi ro chuỗi cung ứng nhà vận chuyển đám mây

Defenseoverhaul's emphasis on the cloud carries supply chain risks

By Aliya Sternstein01/06/2012

Theo:http://www.nextgov.com/nextgov/ng_20120106_5015.php

Bài được đưa lênInternet ngày: 06/01/2012

Lờingười dịch: Trong điện toán đám mây, vấn đề an ninhkhông chỉ nằm ở phần mềm, mà còn nằm ở phần cứng.Đây là những khó khăn mà quân đội Mỹ gặp phải khinói tới đám mây: “Thách thức là - liệu bạn có thểtạo ra một đám mây an ninh mà chạy trên đỉnh của cácphần cứng phi tiêu chuẩn, không được xác minh không?”.Các nhà làm luật đã cảnh báo về một tình huống ácmộng nơi mà các tác nhân xấu cốtình cài đặt một cơ chế “cửa hậu” - về bản chấtlà chương trình độc hại - vào hệ thống mạch điệncủa quân sự để, ví dụ,đánh sập các hệ thống từ xa hoặc làm rò rỉ thôngtin. “Chúng ta sẽ không có khảnăng có được một tình trạng an ninh bằng việc kiểmsoát từng mẩu phần cứng và phần mềm”.Thay vào đó, các quan chức Lầu 5 góc hình như sẽ yêucầu các kiểm soát theo lớp, như chỉ thị rằng các dữliệu được mã hóa trong đám mây. Một số kho các máychủ của các hãng đặt tại Trung Quốc và các quốc giakhác với các chế độ an ninh và tính riêng tư khác nhau.“Không có nhiều người trong quân đội mà đã trải quamột thời ở Microsoft, trong các công ty CNTT khác”, ôngnói. “và chân thành mà nói,các nhà cung cấp đám mây cũng đang học”.Ở Việt Nam ta thì việc mua sắmcác hệ thống thông tin, cả cứng lẫn mềm, đều dongười ta cấp cả nhỉ?

Sự dịch chuyển cáchoạt động quân sự lên đám mây - một phần của việctinh giản biên chế của Bộ Quốc phòng - sẽ đòi hỏiviệc bảo vệ các đồ điện tử được sản xuất tạichâu Á khỏi việc làm giả trong chuỗi cung ứng, một sốnhà kiểm toán về an ninh tư nhân nói. Nhưng điều đó sẽkhông nhất thiết có nghĩa là việc điều tra từng thànhphần mạng được làm tại Trung Quốc.

Khi mà quân đội kếtthúc các chiến dịch tại Iraq và Afghanistan và các cơquan đã bắt buộc cắt giảm chi phí, thì việc cấp vốncho các hoạt động không gian mạng sẽ né tránh các khốibị băm nhỏ, Bộ trưởng Leon Panetta nói hôm thứ năm. Đểbảo vệ các tài sản thông tin của quân sự, các lãnhđạo Lầu 5 góc nói các máy tính quân sự phải đượcgắn vào đám mây - nghĩa là một môi trường trực tuyếncó khả năng được khóa tập trung. Thậtkhó để kiểm soát các phần của môi trường được sảnxuất hoặc thậm chí được đặt chỗ tại các quốc giabị lên án về gián điệp không gian mạng, các chuyên gianói.

“Các đám mây củachúng ta đang lại các phần cứng được sản xuất tạiTrung Quốc”, Tom McAndrew, một lãnh đạo tại hãng tuânthủ CNTT Coalfire, người cũng là một sỹ quan dự bịchiến đấu trên mặt nước của Hải quân chuyên về cáchệ thống vũ khí, nói. Anh ta đã không nói nhân danh Lầu5 góc. “Thách thức là - liệu bạn cóthể tạo ra một đám mây an ninh mà chạy trên đỉnh củacác phần cứng phi tiêu chuẩn, không được xác minhkhông?”.

Cácnhà làm luật đã cảnh báo về một tình huống ác mộngnơi mà các tác nhân xấu cố tình cài đặt một cơ chế“cửa hậu” - về bản chất là chương trình độc hại- vào hệ thống mạch điện của quân sự để, ví dụ,đánh sập các hệ thống từ xa hoặc làm rò rỉ thôngtin.

Vàotháng 12/2011, Nhà Trắng đã đưa ra FedRAMP, các tiêu chuẩnan ninh cơ bản cho các sản phẩm đám mây được các cơquan quân và dân sự mua. Qui trình phê chuẩn sẽ làm tăngtốc những triển khai của các dịch vụ hệ thống phụtrợ (back-office) - các hoạt động quản lý thư điện tửhoặc quân nhu - nhưng chiến tranh tập trung hướng vào đámmây sẽ phải làm thỏa mãn một tập hợp khác của cáctiêu chuẩn an toàn, McAndrew nói. Đặc biệt, như Panetta(bộ trưởng quốc phòng Mỹ) đã lưu ý, với các nhà sảnxuất kỹ thuật công nghệ Trung Quốc đang trở thành mộtsức mạnh đang lên.

Theshift of military operations to the cloud -- part of a DefenseDepartment downsizing -- will require protecting electronicsmanufactured in Asia f-rom supply chain tampering, say some privatesecurity auditors. But that won't necessarily mean inspecting everynetwork component made in China.

Asthe military ends campaigns in Iraq and Afghanistan and institutesmandated cost cuts, funding for cyber operations will dodgethe chopping block, Defense Secretary Leon Panetta said Thursday.To defend the military's information assets, Pentagon leaders saydefense computers must be tied to the cloud -- meaning an onlineenvironment that can be centrally locked down. Yet it's difficult topolice parts of that environment manufactured or even housed incountries that stand accused of cyberespionage, experts say.

"Ourclouds are running off of hardware that's built in China," saidTom McAndrew, an executive at IT compliance firm Coalfire who also isa Navy Reserve surface warfare officer specializing in weaponssystems. He was not speaking on behalf of the Pentagon. "Thechallenge is -- can you cre-ate a secure cloud running on top ofnonstandardized, noncertified hardware?"

Lawmakershave warned of a nightmaresituation whe-re bad actors intentionally install a "backdoor"mechanism -- essentially malicious programming -- into militarycircuitry to, for example, shut down systems remotely or leakinformation.

InDecember 2011, the White House issued FedRAMP, basicsecurity standards for cloud products purchased by defense andcivilian agencies. The approval process should speed deployments ofback-office services -- email management or commissary operations --but cloud-centric warfare will have to satisfy a different set ofsafety standards, McAndrew said. Especially, as Panetta noted, withtech-manufacturer China becoming a rising power.

Khu vực Châu Á - TháiBình Dương “đang nổi lên quan trọng cho tương lai củanền kinh tế Mỹ và an ninh quốc gia của chúng ta”, đẩychính phủ tới việc phải “duy trì sức mạnh công nghệquân sự và sự tự do hành động của chúng ta”, Panettanói. Theo những điều khoản của một vụ giảm nợ đượcmôi giới vào năm ngoái, thì Lầu 5 góc phải đưa ra cáchđể cắt giảm 487 tỷ USD trong chi tiêu quân sự trong 1thập kỷ, mà không phải hy sinh toàn bộ sức mạnh.

Các nhà cung cấp đámmây hiện đại như Google “không thể đảm bảo rằngtất cả mã nguồn của họ được phát triển trong nộibộ”, McAndrew nói. “Chúng ta sẽ khôngcó khả năng có được một tình trạng an ninh bằng việckiểm soát từng mẩu phần cứng và phần mềm”. Thay vàođó, các quan chức Lầu 5 góc hình như sẽ yêu cầu cáckiểm soát theo lớp, như chỉ thị rằng các dữ liệuđược mã hóa trong đám mây, ông nói.

Lãnh đạo KGM quânđội hình dung đám mây như một hạ tầng mạng chung cókhả năng ngăn chặn các mối đe dọa từ xa đối vớitất cả các thiết bị điện tử và phần mềm quân sự.“Làm thế nào chúng ta tạo ra được một tập hợp tiếptheo kiến trúc mà có khả năng phòng thủ được hơn vàcó thể đảm bảo được tính toàn vẹn cho các dữ liệucủa chúng ta? Tôi nghĩ nó là trong đám mây”, TướngKeith Alexander, lãnh đạo của Chỉ huy KGM Mỹ, nói hồitháng 10.

Để điều đó xảyra, McAndrew nói các quan chức Lầu 5 gócvà các nhà cung cấp dịch vụ Web phải hiểu các nhu cầunghiệp vụ của nhau. Một số kho các máy chủ của cáchãng đặt tại Trung Quốc và các quốc gia khác với cácchế độ an ninh và tính riêng tư khác nhau. “Không cónhiều người trong quân đội mà đã trải qua một thờiở Microsoft, trong các công ty CNTT khác”, ông nói. “vàchân thành mà nói, các nhà cung cấp đám mây cũng đanghọc”.

TheAsia-Pacific region "is growing in importance to the future ofthe United States economy and our national security," pushingthe government to "maintain our military's technological edgeand freedom of action," Panetta said. Under the terms of adebt-reduction deal brokered last year, the Pentagon must figure outa way to cut $487 billion in defense spending over a decade, withoutsacrificing forcefulness.

Cutting-edgecloud providers such as Google "can't guarantee that all oftheir code is developed in-house," McAndrew said. "We'renot going to be able to get to a secure state by validating everypiece of hardware and software." Instead, Pentagon officialslikely will demand layered controls, such as ordering that data beencrypted in the cloud, he said.

Defense'scyber chief envisions the cloud as a common network infrastructurecapable of spotting and blocking threats remotely for all themilitary's software and electronics. "How do we cre-ate the nextset of architecture that is more defensible and can ensure theintegrity of our data? I think it's in the cloud," Gen. KeithAlexander, chief of U.S. Cyber Command, saidin October.

Forthat to happen, McAndrew said Pentagon officials and Web serviceproviders must understand each other's business needs. Some of thosefirms' server farms are located in China and other nations withdifferent privacy and security regimes. "There aren't a lot ofbrass in the military who have spent time at Microsoft, at other ITcompanies," he said. "And to be honest, those cloudproviders are learning too."

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com