🔷قدم‌اول:‌ دریای‌استانداردها 🔹تمامی شرکت‌های طرف قرارداد وزارت دفاع موظف هستند سه دسته از استانداردها را رعایت نمایند: ▪️استانداردهای عمومی همانند ISO 9001/ISO 27001/ ISO 27017,… ▪️استانداردهای خاص‌منظوره برای نرم‌افزار‌های دولتی همانند FIPS-140-2/NIST 800-53,… ▪️استانداردهای مختص محیط‌های نظامی همانند CMCC 2.0/DFARS 252.204-7012/Dod SRG up to IL6,… 🔹مطابقت شرکت‌ها و سخت‌افزار مورد استفاده به طور دوره‌ای مورد ممیزی شرکت ثالث قرار می‌گیرند تا از رعایت آنها اطمینان حاصل شود و زمانی که اتفاق امنیتی رخ دهد و بعد از postmortem به این نتیجه برسند که به رعایت نشده جریمه سنگینی خواهند شد. 🔹بسته به اینکه چقدر دیتایی مهمی قرار است مورد استفاده قرار گیرد این نرم‌افزارها و سخت‌افزارها باید سطح تضمین EAL4 تا EAL7+ را پاس کرده باشند. به عنوان مثال یکسوکننده‌های جریان داده (برای ارسال یکطرفه داده از شبکه‌های غیرامن به امن) ساخت شرکت‌های Fox-IT و BAE سطح EAL7 را پاس کرده‌اند تا بتوانند در بخش‌های نظامی استفاده شوند. AnotherOne @Partisan2015

🔷قدم‌دوم: زیرساخت مشترک 🔹بخشی از زیرساخت دیتاسنترهای نظامی آمریکا توسط شرکت‌های مایکروسافت و آمازون فراهم شده و از طریق برنامه JWCC برای بخش‌های نظامی/اطلاعاتی قابل خرید می‌باشد. 🔹بخش دیگری از این دیتاسنترها توسط خود نیروها بالا آورده شده و مدیریت می‌شوند مثلا Cloud One نیروی‌هوایی یا Neptune نیروی دریایی و مدیریت، امنیت و مقیاس‌پذیری‌ آنها به طور متمرکز انجام می‌شود تا هزینه‌ها کاهش یابند. 🔹بخش نهایی هم دیتاسنترهای خارج از خاک آمریکا هستند که با نام OCONUS Cloud بالا آورده شده و نگهداری می‌شوند. 🔹علاوه بر زیرساخت مشترک، IaaS, PaaS, SaaS های متنوعی نیز برای تسهیل‌کردن فرآیند توسعه، کاهش هزینه‌ها، و همچنین افزایش امنیت و مقیاس‌پذیری بالا آورده شده، به عنوان مثال نیروی‌هوایی تحت برنامه Platform One از کوبرنتیز امن‌شده و رجیستری حاوی کانتینر‌های امن‌شده تا ابزارهای مختلف توسعه امن‌نرم‌افزار را ارائه می‌دهد. 🔹حتی‌ابزار‌های جانبی همانند ایمیل و ورد و غیره نیز ذیل برنامه DEOS و کاملا امن‌شده و منطبق با استانداردهای مورد نیاز به صورت مشترک ارائه می‌شوند. AnotherOne @Partisan2015