กระทรวงกลาโหมยอมรับเจ้าหน้าที่ด้านเทคโนโลยีชั้นนำของตนช้าเกินไปที่จะใช้ประโยชน์จากคลาวด์คอมพิวติ้ง ส่วนใหญ่เป็นเพราะถูกขัดขวางโดยกระบวนการอนุมัติด้าน ความปลอดภัยที่เข้มงวดของตนเองการปรับปรุงขั้นตอนเหล่านั้นซึ่งออกโดยหน่วยงานระบบข้อมูลกลาโหมในสัปดาห์นี้ มีเป้าหมายเพื่อคลายอำนาจลงเล็กน้อย และให้เจ้าหน้าที่สารสนเทศระดับหัวหน้าองค์ประกอบมีดุลยพินิจมากขึ้นในการตัดสินใจว่าคลาวด์เชิงพาณิชย์เหมาะกับระดับความเสี่ยงที่พวกเขาต้องการหรือไม่ เพื่อดำเนินการกับข้อมูลของพวกเขา
คู่มือข้อกำหนดด้านความปลอดภัยบนคลาวด์มีผลบังคับใช้ทันที
แทนที่โมเดลความปลอดภัยบนคลาวด์รุ่นก่อนหน้าของ DISA และยุบระดับความเสี่ยงของข้อมูลหกระดับออกเป็นสี่ระดับ
จนกระทั่งเมื่อเดือนที่แล้ว DISA เป็นผู้ดูแลแต่เพียงผู้เดียวของ DoD สำหรับบริการคลาวด์คอมพิวติ้ง โดยทำหน้าที่เป็นนายหน้าที่ได้รับอนุญาตเพียงรายเดียวสำหรับกองทัพทั้งหมด ตอนนี้บริการทางทหารและหน่วยงานต่างๆได้รับอนุญาตให้ซื้อบริการคลาวด์ด้วยตัวเองแล้ว DISA กล่าวว่าเป้าหมายหลักคือการช่วยให้ส่วนประกอบเหล่านั้นตัดสินใจได้อย่างมีข้อมูลมากขึ้น
ข้อมูลเชิงลึกโดย Censys: ในระหว่างการสัมมนาออนไลน์เกี่ยวกับคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ จัสติน ดับเบิลเดย์ และแขกรับเชิญจะสำรวจความคิดริเริ่มทางไซเบอร์และการปรับปรุงให้ทันสมัยที่ DIU ด้วยมุมมองของอุตสาหกรรม
“เราจะพูดว่า ‘ปล่อยให้มากกว่าที่เราเคยอนุญาตในอดีต เพื่อที่เราจะได้ยอมรับความเสี่ยงตรงนั้นได้ แต่เราจะกำหนดมันด้วย เพื่อให้ผู้คนรู้ว่าโอกาสในการประนีประนอมคืออะไร” Mark Orndorff ผู้บริหารการบริหารความเสี่ยงของ DISA กล่าว “ในขณะเดียวกัน เรากำลังปรับปรุงความปลอดภัยของจุดสิ้นสุดและการวิเคราะห์ทางไซเบอร์ของเรา และเพื่อตรวจจับภัยคุกคามจากวงใน เราต้องการมุ่งเน้นความพยายามของเราไปยังสิ่งที่อาจเป็นผลกระทบร้ายแรงที่สุดในสถานการณ์ทางทหารที่มีศัตรูทางไซเบอร์ มุ่งเน้นไปที่สิ่งนั้น แล้วจึงยอมรับความเสี่ยงในด้านอื่นๆ”
สำหรับข้อมูลที่ได้รับการเคลียร์แล้วสำหรับการเผยแพร่สู่
สาธารณะหรือต้องการเพียงการป้องกันควบคุมการเข้าถึงเล็กน้อย คู่มือความปลอดภัยประกาศว่ามาตรฐานที่มีอยู่ของ DoD ช่วยในการพัฒนาและรัฐบาลที่เหลือตกลงภายใต้โปรแกรม FedRAMP นั้นดีพอ: โฮสติ้งเชิงพาณิชย์ใดๆ ผู้ให้บริการที่เรียกใช้ถุงมือ FedRAMP สามารถโฮสต์และประมวลผลข้อมูล DoD ในระดับนั้นโดยไม่ต้องข้ามผ่านห่วงเฉพาะ DoD เพิ่มเติม
คู่มือนี้ยังระบุข้อกำหนดสำหรับผู้ให้บริการระบบคลาวด์เชิงพาณิชย์เพื่อให้ได้รับสิทธิ์ในการจัดการข้อมูลจนถึงระดับการจำแนกประเภทลับ — แต่ข้อมูลลับและข้อมูลที่ประกอบด้วยการจำแนกประเภทระดับล่าง แผนกยังคงต้องการปกป้องอย่างใกล้ชิดยิ่งขึ้น เช่น ข้อมูลที่มี ข้อมูลที่สามารถระบุตัวบุคคลหรือข้อมูลที่มีการควบคุมการส่งออก — จะต้องมีตรารับรองรองภายใต้หลักเกณฑ์ที่เรียกรวมกันว่า “FedRAMP-Plus”
ที่ระดับความปลอดภัยเหล่านั้น อันดับแรก บริษัทต่างๆ จะต้องพิสูจน์ว่าตนปฏิบัติตามการควบคุมความปลอดภัยที่ FedRAMP สรุปไว้ที่ระดับการป้องกันข้อมูล “ปานกลาง” จากนั้นจึงผ่านการตรวจสอบครั้งที่สองโดยอิสระโดยทีมประเมินระบบคลาวด์ของ DISA ตามแนวทางความปลอดภัยใหม่
หากผ่าน DISA จะเพิ่มผลิตภัณฑ์ของบริษัทลงในแค็ตตาล็อกความปลอดภัยบนคลาวด์ และออกการอนุญาตชั่วคราวที่สรุปความเสี่ยงที่ DISA คิดว่าส่วนประกอบของ DoD จะเกิดขึ้น หากพวกเขาเชื่อถือข้อมูลของตนต่อผู้ให้บริการคลาวด์
และในขณะที่แนวทางเริ่มเปลี่ยน DoD จากกฎที่เข้มงวดและรวดเร็วเกี่ยวกับการรักษาความปลอดภัยบนคลาวด์ไปเป็นกระบวนการที่ช่วยให้ Defense CIO ตัดสินใจตามข้อมูลความเสี่ยงของตนเองได้ แต่ก็ยังมีข้อจำกัดที่ตรงไปตรงมาหลายประการเกี่ยวกับวิธีจัดการข้อมูล Defense ในสภาพแวดล้อมคลาวด์
