Nhấn mạnh kỹ của Quân sự vào rủi ro chuỗi cung ứng nhà vận chuyển đám mây

Defense overhaul's emphasis on the cloud carries supply chain risks

By Aliya Sternstein 01/06/2012

Theo: http://www.nextgov.com/nextgov/ng_20120106_5015.php

Bài được đưa lên Internet ngày: 06/01/2012

Lời người dịch: Trong điện toán đám mây, vấn đề an ninh không chỉ nằm ở phần mềm, mà còn nằm ở phần cứng. Đây là những khó khăn mà quân đội Mỹ gặp phải khi nói tới đám mây: “Thách thức là - liệu bạn có thể tạo ra một đám mây an ninh mà chạy trên đỉnh của các phần cứng phi tiêu chuẩn, không được xác minh không?”. Các nhà làm luật đã cảnh báo về một tình huống ác mộng nơi mà các tác nhân xấu cố tình cài đặt một cơ chế “cửa hậu” - về bản chất là chương trình độc hại - vào hệ thống mạch điện của quân sự để, ví dụ, đánh sập các hệ thống từ xa hoặc làm rò rỉ thông tin. “Chúng ta sẽ không có khả năng có được một tình trạng an ninh bằng việc kiểm soát từng mẩu phần cứng và phần mềm”. Thay vào đó, các quan chức Lầu 5 góc hình như sẽ yêu cầu các kiểm soát theo lớp, như chỉ thị rằng các dữ liệu được mã hóa trong đám mây. Một số kho các máy chủ của các hãng đặt tại Trung Quốc và các quốc gia khác với các chế độ an ninh và tính riêng tư khác nhau. “Không có nhiều người trong quân đội mà đã trải qua một thời ở Microsoft, trong các công ty CNTT khác”, ông nói. “và chân thành mà nói, các nhà cung cấp đám mây cũng đang học”. Ở Việt Nam ta thì việc mua sắm các hệ thống thông tin, cả cứng lẫn mềm, đều do người ta cấp cả nhỉ?

Sự dịch chuyển các hoạt động quân sự lên đám mây - một phần của việc tinh giản biên chế của Bộ Quốc phòng - sẽ đòi hỏi việc bảo vệ các đồ điện tử được sản xuất tại châu Á khỏi việc làm giả trong chuỗi cung ứng, một số nhà kiểm toán về an ninh tư nhân nói. Nhưng điều đó sẽ không nhất thiết có nghĩa là việc điều tra từng thành phần mạng được làm tại Trung Quốc.

Khi mà quân đội kết thúc các chiến dịch tại Iraq và Afghanistan và các cơ quan đã bắt buộc cắt giảm chi phí, thì việc cấp vốn cho các hoạt động không gian mạng sẽ né tránh các khối bị băm nhỏ, Bộ trưởng Leon Panetta nói hôm thứ năm. Để bảo vệ các tài sản thông tin của quân sự, các lãnh đạo Lầu 5 góc nói các máy tính quân sự phải được gắn vào đám mây - nghĩa là một môi trường trực tuyến có khả năng được khóa tập trung. Thật khó để kiểm soát các phần của môi trường được sản xuất hoặc thậm chí được đặt chỗ tại các quốc gia bị lên án về gián điệp không gian mạng, các chuyên gia nói.

“Các đám mây của chúng ta đang lại các phần cứng được sản xuất tại Trung Quốc”, Tom McAndrew, một lãnh đạo tại hãng tuân thủ CNTT Coalfire, người cũng là một sỹ quan dự bị chiến đấu trên mặt nước của Hải quân chuyên về các hệ thống vũ khí, nói. Anh ta đã không nói nhân danh Lầu 5 góc. “Thách thức là - liệu bạn có thể tạo ra một đám mây an ninh mà chạy trên đỉnh của các phần cứng phi tiêu chuẩn, không được xác minh không?”.

Các nhà làm luật đã cảnh báo về một tình huống ác mộng nơi mà các tác nhân xấu cố tình cài đặt một cơ chế “cửa hậu” - về bản chất là chương trình độc hại - vào hệ thống mạch điện của quân sự để, ví dụ, đánh sập các hệ thống từ xa hoặc làm rò rỉ thông tin.

Vào tháng 12/2011, Nhà Trắng đã đưa ra FedRAMP, các tiêu chuẩn an ninh cơ bản cho các sản phẩm đám mây được các cơ quan quân và dân sự mua. Qui trình phê chuẩn sẽ làm tăng tốc những triển khai của các dịch vụ hệ thống phụ trợ (back-office) - các hoạt động quản lý thư điện tử hoặc quân nhu - nhưng chiến tranh tập trung hướng vào đám mây sẽ phải làm thỏa mãn một tập hợp khác của các tiêu chuẩn an toàn, McAndrew nói. Đặc biệt, như Panetta (bộ trưởng quốc phòng Mỹ) đã lưu ý, với các nhà sản xuất kỹ thuật công nghệ Trung Quốc đang trở thành một sức mạnh đang lên.

The shift of military operations to the cloud -- part of a Defense Department downsizing -- will require protecting electronics manufactured in Asia from supply chain tampering, say some private security auditors. But that won't necessarily mean inspecting every network component made in China.

As the military ends campaigns in Iraq and Afghanistan and institutes mandated cost cuts, funding for cyber operations will dodge the chopping block, Defense Secretary Leon Panetta said Thursday. To defend the military's information assets, Pentagon leaders say defense computers must be tied to the cloud -- meaning an online environment that can be centrally locked down. Yet it's difficult to police parts of that environment manufactured or even housed in countries that stand accused of cyberespionage, experts say.

"Our clouds are running off of hardware that's built in China," said Tom McAndrew, an executive at IT compliance firm Coalfire who also is a Navy Reserve surface warfare officer specializing in weapons systems. He was not speaking on behalf of the Pentagon. "The challenge is -- can you create a secure cloud running on top of nonstandardized, noncertified hardware?"

Lawmakers have warned of a nightmare situation where bad actors intentionally install a "backdoor" mechanism -- essentially malicious programming -- into military circuitry to, for example, shut down systems remotely or leak information.

In December 2011, the White House issued FedRAMP, basic security standards for cloud products purchased by defense and civilian agencies. The approval process should speed deployments of back-office services -- email management or commissary operations -- but cloud-centric warfare will have to satisfy a different set of safety standards, McAndrew said. Especially, as Panetta noted, with tech-manufacturer China becoming a rising power.

Khu vực Châu Á - Thái Bình Dương “đang nổi lên quan trọng cho tương lai của nền kinh tế Mỹ và an ninh quốc gia của chúng ta”, đẩy chính phủ tới việc phải “duy trì sức mạnh công nghệ quân sự và sự tự do hành động của chúng ta”, Panetta nói. Theo những điều khoản của một vụ giảm nợ được môi giới vào năm ngoái, thì Lầu 5 góc phải đưa ra cách để cắt giảm 487 tỷ USD trong chi tiêu quân sự trong 1 thập kỷ, mà không phải hy sinh toàn bộ sức mạnh.

Các nhà cung cấp đám mây hiện đại như Google “không thể đảm bảo rằng tất cả mã nguồn của họ được phát triển trong nội bộ”, McAndrew nói. “Chúng ta sẽ không có khả năng có được một tình trạng an ninh bằng việc kiểm soát từng mẩu phần cứng và phần mềm”. Thay vào đó, các quan chức Lầu 5 góc hình như sẽ yêu cầu các kiểm soát theo lớp, như chỉ thị rằng các dữ liệu được mã hóa trong đám mây, ông nói.

Lãnh đạo KGM quân đội hình dung đám mây như một hạ tầng mạng chung có khả năng ngăn chặn các mối đe dọa từ xa đối với tất cả các thiết bị điện tử và phần mềm quân sự. “Làm thế nào chúng ta tạo ra được một tập hợp tiếp theo kiến trúc mà có khả năng phòng thủ được hơn và có thể đảm bảo được tính toàn vẹn cho các dữ liệu của chúng ta? Tôi nghĩ nó là trong đám mây”, Tướng Keith Alexander, lãnh đạo của Chỉ huy KGM Mỹ, nói hồi tháng 10.

Để điều đó xảy ra, McAndrew nói các quan chức Lầu 5 góc và các nhà cung cấp dịch vụ Web phải hiểu các nhu cầu nghiệp vụ của nhau. Một số kho các máy chủ của các hãng đặt tại Trung Quốc và các quốc gia khác với các chế độ an ninh và tính riêng tư khác nhau. “Không có nhiều người trong quân đội mà đã trải qua một thời ở Microsoft, trong các công ty CNTT khác”, ông nói. “và chân thành mà nói, các nhà cung cấp đám mây cũng đang học”.

The Asia-Pacific region "is growing in importance to the future of the United States economy and our national security," pushing the government to "maintain our military's technological edge and freedom of action," Panetta said. Under the terms of a debt-reduction deal brokered last year, the Pentagon must figure out a way to cut $487 billion in defense spending over a decade, without sacrificing forcefulness.

Cutting-edge cloud providers such as Google "can't guarantee that all of their code is developed in-house," McAndrew said. "We're not going to be able to get to a secure state by validating every piece of hardware and software." Instead, Pentagon officials likely will demand layered controls, such as ordering that data be encrypted in the cloud, he said.

Defense's cyber chief envisions the cloud as a common network infrastructure capable of spotting and blocking threats remotely for all the military's software and electronics. "How do we create the next set of architecture that is more defensible and can ensure the integrity of our data? I think it's in the cloud," Gen. Keith Alexander, chief of U.S. Cyber Command, said in October.

For that to happen, McAndrew said Pentagon officials and Web service providers must understand each other's business needs. Some of those firms' server farms are located in China and other nations with different privacy and security regimes. "There aren't a lot of brass in the military who have spent time at Microsoft, at other IT companies," he said. "And to be honest, those cloud providers are learning too."

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com