🔷قدم‌اول:‌ دریای‌استانداردها 🔹تمامی شرکت‌های طرف قرارداد وزارت دفاع موظف هستند سه دسته از استانداردها را رعایت نمایند: ▪️استانداردهای عمومی همانند ISO 9001/ISO 27001/ ISO 27017,… ▪️استانداردهای خاص‌منظوره برای نرم‌افزار‌های دولتی همانند FIPS-140-2/NIST 800-53,… ▪️استانداردهای مختص محیط‌های نظامی همانند CMCC 2.0/DFARS 252.204-7012/Dod SRG up to IL6,… 🔹مطابقت شرکت‌ها و سخت‌افزار مورد استفاده به طور دوره‌ای مورد ممیزی شرکت ثالث قرار می‌گیرند تا از رعایت آنها اطمینان حاصل شود و زمانی که اتفاق امنیتی رخ دهد و بعد از postmortem به این نتیجه برسند که به رعایت نشده جریمه سنگینی خواهند شد. 🔹بسته به اینکه چقدر دیتایی مهمی قرار است مورد استفاده قرار گیرد این نرم‌افزارها و سخت‌افزارها باید سطح تضمین EAL4 تا EAL7+ را پاس کرده باشند. به عنوان مثال یکسوکننده‌های جریان داده (برای ارسال یکطرفه داده از شبکه‌های غیرامن به امن) ساخت شرکت‌های Fox-IT و BAE سطح EAL7 را پاس کرده‌اند تا بتوانند در بخش‌های نظامی استفاده شوند. AnotherOne @Partisan2015

🔷قدم‌دوم: زیرساخت مشترک 🔹بخشی از زیرساخت دیتاسنترهای نظامی آمریکا توسط شرکت‌های مایکروسافت و آمازون فراهم شده و از طریق برنامه JWCC برای بخش‌های نظامی/اطلاعاتی قابل خرید می‌باشد. 🔹بخش دیگری از این دیتاسنترها توسط خود نیروها بالا آورده شده و مدیریت می‌شوند مثلا Cloud One نیروی‌هوایی یا Neptune نیروی دریایی و مدیریت، امنیت و مقیاس‌پذیری‌ آنها به طور متمرکز انجام می‌شود تا هزینه‌ها کاهش یابند. 🔹بخش نهایی هم دیتاسنترهای خارج از خاک آمریکا هستند که با نام OCONUS Cloud بالا آورده شده و نگهداری می‌شوند. 🔹علاوه بر زیرساخت مشترک، IaaS, PaaS, SaaS های متنوعی نیز برای تسهیل‌کردن فرآیند توسعه، کاهش هزینه‌ها، و همچنین افزایش امنیت و مقیاس‌پذیری بالا آورده شده، به عنوان مثال نیروی‌هوایی تحت برنامه Platform One از کوبرنتیز امن‌شده و رجیستری حاوی کانتینر‌های امن‌شده تا ابزارهای مختلف توسعه امن‌نرم‌افزار را ارائه می‌دهد. 🔹حتی‌ابزار‌های جانبی همانند ایمیل و ورد و غیره نیز ذیل برنامه DEOS و کاملا امن‌شده و منطبق با استانداردهای مورد نیاز به صورت مشترک ارائه می‌شوند. AnotherOne @Partisan2015

🔷قدم‌سوم: Zero Trust 🔹با توجه به نوع داده مورد استفاده و اهمیت آنها از شبکه‌های مختلف ارتباطی که زیرساخت مجزایی (ماهواره‌ها و فیبرنوری) از اینترنت دارند استفاده می‌شود. ▪️در پایین‌ترین سطح NIRPNET که اطلاعات غیر محرمانه ولی خاص منظوره مربوط به لجستیک و برنامه ریزی در آن رد و بدل می شود. ▪️در سطح بعدی SIRPNET که داده های طبقه بندی شده یا محرمانه در آن رد و بدل می شود( همان شبکه ای که چلسی منینگ دیتایش را به ویکی لیکس لو داد) ▪️و در نهایت JWICS که عمدتا داده های سری و فوق سری در آن رد و بدل می شود. 🔹این جداسازی شبکه‌ها از ماهواره‌ و فیبرنوری مجزا تا سوییچ‌ و روترها با رنگ متفاوت و حتی داخل سیستم‌عامل با رنگ پنجره متفاوت مشخص شده‌اند تا کاربر هیچ‌وقت اشتباها دیتای را به شبکه غیرامن منتقل نکند. 🔹در کنار این موضوع برای دسترسی به این شبکه‌‌ها نیاز به سخت‌افزار خاص‌منظوره، توکن سخت‌افزاری می‌باشد و بعد از اتصال تمامی دسترسی‌ها تحت نظارت بوده و ذخیره می‌شوند و در صورت عدم تطابق استفاده کاربر با نیاز او هشدار برای مقامات امنیتی جهت بررسی موضوع ارسال می‌شود. AnotherOne @Partisan2015