近期的一些教训提醒了美国五角大楼官员，使用商业云时需要采取额外的安全措施。为此，他们决定自己亲自动手进行查验。

五角大楼代理正职的副首席信息官大卫·麦考恩（David McKeown）在上周三AFCEA TechNet网络会议的小组讨论中表示，“近期发生的一系列事件表明，我们可能需要解决某些可见性问题，也许应该从外部视角来观察服务商为我们建造的云环境。”

美国国防部采购的云服务商会使用“一套严格的检查”，包括建立持续监控，并定期向国防部上报检查结果。

但泄露事件仍时有发生。为了防患于未然，国防部希望能够定期检查服务商代表客户运营的云基础设施。

麦考恩向外媒Defense One表示，“我们希望能了解基础设施周边发生了什么，甚至以内部的红队角度开展深入研究。”

“因为一旦有人侵入云服务的管理程序…就相当于掌握了打开王国大门的钥匙。我们想确保服务商所拥有的一切都安全可靠，并且随着时间推移始终保持稳定。”

这个概念本身并不新鲜。2023年国防授权法案中的一项条款就授权五角大楼对保存机密级数据的云基础设施开展威胁评估。麦考恩表示，国防部一直在与云服务商合作，为定制的（而非商用的）云系统探索安全路径，并且迄今为止“还没有遇到过太大的阻力”。

麦考恩还提到，新的检查将采取“主动防御”形式，例如扫描IP地址以查找各类系统上的漏洞。

“我们可以开展外部扫描，看看有什么被暴露在了互联网上。如果确实易受攻击而且我们发现了问题，就会提醒供应商立即着手处理。在云端，我们也会采取同样的措施。”

近年来，五角大楼经历了多起数据泄露事件，包括今年2月美国特种作战司令部服务器的敏感邮件暴露事件，该服务器没有设置保护密码。

麦考恩在小组讨论中指出，“每当看到事件发生，都会出现我们把所有鸡蛋都放进云服务这个篮子里的批评声音。但我想用亲身经历向大家证明：我们也曾在部门之内构建并保护过各种系统，其实际水平远无法与云服务商的方案相提并论。”

总之，“我们双方必须在网络安全领域取得成功，这样才能携手并进、共赴未来。”

---

转自 安全内参，原文链接：https://www.secrss.com/articles/54472

封面来源于网络，如有侵权请联系删除