DoD JEDI entdeckt Microsoft Premier Support Alternative, US Cloud.

JEDI ist die Cloud des US-Militärs für seine Soldaten. Die US-Militär-Cloud wird alle Vorteile in Bezug auf Sicherheit, Skalierbarkeit, Kosteneffizienz und Ausfallsicherheit sowie KI bieten, aber auch die typischen Probleme der Cloud-Migration und hybriden Integration mit sich bringen. Die Microsoft-Cloud-Plattform wird einen stetigen Strom neuer Funktionen und Updates liefern. Mit zunehmender Verbreitung von JEDI wird es immer wichtiger werden, zu wissen, wie die neuen Funktionen zu nutzen sind und wie sie sich auf bestehende Umgebungen auswirken.

Microsoft erfüllt die Anforderungen des US-Verteidigungsministeriums hinsichtlich der Datenhoheit und stellt sicher, dass seine US-Rechenzentren ausschließlich mit geprüften US-Bürgern besetzt sind. Microsoft kann jedoch nicht garantieren, dass die Person am anderen Ende der Leitung, wenn eine Einrichtung des US-Verteidigungsministeriums wegen eines Problems mit Office 365, Azure oder einem anderen Microsoft-Produkt anruft, kein ausländischer Staatsangehöriger ist.  Und obwohl die meisten Probleme, die vom Microsoft Premier (Unified) Support abgedeckt werden, eher routinemäßiger Natur und nicht geschäftskritisch sind, kann es zu Vorfällen kommen, die missionskritisch sind, und deren schnelle Lösung durch geprüfte US-Bürger für unsere US-Soldaten und das Verteidigungsministerium von größter Bedeutung ist.

Was ist JEDI?

Das US-Militär startet ein ehrgeiziges und kostspieliges Cloud-Transformationsprojekt, um die IT-Ressourcen in allen Abteilungen des Pentagon und allen Zweigen der Streitkräfte zu modernisieren.

Die Initiative „Joint Enterprise Defense Infrastructure“ (JEDI) ist ein Bestandteil dieses Plans. In einem dem Kongress vorgelegten Dokument zur Cloud-Strategie wird zwischen dem Bedarf des Verteidigungsministeriums (DoD) an einer „Allzweck“-Cloud und solchen Clouds unterschieden, die „zweckmäßig“ sind.

Die Allzweck-Cloud, die zu AWS oder Microsoft gehen wird, wird die Cloud der ersten Wahl sein, mit einer „primären Implementierungsausrichtung“ für alle Verteidigungsbehörden. Nur wenn die Anforderungen der Mission nicht durch Allzweck-Clouds erfüllt werden können, werden zweckmäßige Alternativen geprüft“, heißt es in dem Dokument.

„Auftraggeber“, die von dem im Rahmen der JEDI-Initiative ausgewählten Cloud-Anbieter abweichen möchten, müssen dem CIO des Verteidigungsministeriums einen „Ausnahmeantrag“ vorlegen, in dem sie darlegen, warum sie der Ansicht sind, dass die von ihnen benötigten Funktionen von der Allzweck-Cloud nicht erfüllt werden können.

Wie könnte JEDI ohne die souveräne Unterstützung der US-Cloud leiden?

Szenario 1 Minimale Auswirkungen: Ein ausländischer Staatsangehöriger, der für Microsoft über dessen^externe Offshore-Outsourcing-Partner arbeitet und JEDI über dessen Microsoft Premier (Unified) Support-Vertrag mit dem Verteidigungsministerium unterstützt, erhält ein Support-Ticket mit dem Schweregrad „missionskritisch“ und verzögert den Lösungsprozess absichtlich um Stunden oder Tage. Dies verlangsamt zumindest die operative Geschwindigkeit des Verteidigungsministeriums, gefährdet aber im schlimmsten Fall die Missionen der eingesetzten Soldaten.  Der „Microsoft-Mitarbeiter” mit einer v-card leitet dann die Ursachenanalyse (RCA) an den Nationalstaat seines tatsächlichen Arbeitgebers weiter, um einen Rahmen für zukünftige Cyberangriffe auf JEDI zu schaffen.

Szenario 2 – Mäßige Auswirkungen: Ein ausländischer Staatsangehöriger, der über einen^externen Offshore-Outsourcer für Microsoft arbeitet, gibt an, dass er für die Fehlerbehebung Fernzugriff auf DoD-Systeme benötigt, und erhält entsprechende Berechtigungen. Der „Microsoft-Mitarbeiter” mit einer v-card nutzt diesen Zugriff dann, um entweder die Umgebung durch das Einschleusen von Malware zu kompromittieren oder sensible Daten an den Staat seines tatsächlichen Arbeitgebers weiterzuleiten.

Szenario 3 Kritische Auswirkung: Ein ausländischer Staatsangehöriger, der über einen^externen Offshore-Outsourcer für Microsoft arbeitet, hat sich Fernzugriff auf JEDI-Systeme verschafft und kartiert langsam und heimlich deren Failover-Modell. Der „Microsoft-Mitarbeiter” mit einer V-Card nutzt dieses Modell und ist bereit, ruhende und unentdeckte Malware zu aktivieren, um Anmeldedaten zu stehlen und einen Teil oder das gesamte JEDI-System lahmzulegen, wodurch die Fähigkeit des Verteidigungsministeriums eingeschränkt wird, größere koordinierte Cyber- oder Militärangriffe auf die Vereinigten Staaten zu erkennen oder darauf zu reagieren.

JEDI-Sicherheit

Bei einer militärischen Cloud ist Sicherheit das wichtigste Anliegen.

Pentagon-Führungsspitze öffentliche Cloud als Vorteil für die Sicherung militärischer Daten und Systeme, und die Cloud-Strategie des Verteidigungsministeriums wurde so konzipiert, dass sie mit seiner umfassenderen Cyber-Strategie im Einklang steht. Das Verteidigungsministerium muss moderne Sicherheitsmechanismen nutzen, die in die Plattformen moderner kommerzieller Cloud-Anbieter integriert sind, um die Sicherheit dieser großen Datenmengen zu gewährleisten und die Informationen zu schützen“, heißt es in dem Bericht.

Die derzeitige Infrastruktur des Pentagon stellt ein Sicherheitsrisiko dar. Der Bericht offenbart, dass es für das Verteidigungsministerium eine Herausforderung ist, mit Cyber-Bedrohungen Schritt zu halten. „Durch den Besitz und Betrieb der physischen Hardware, die mit lokalen Rechenzentren verbunden ist, kann das Ministerium unnötige Sicherheitsrisiken eingehen und Ressourcen verbrauchen, die sonst zur Unterstützung von Soldaten und Mitarbeitern in anderen Einsatzbereichen umgeschichtet werden könnten“, heißt es in dem Bericht.

Übermäßig strenge Richtlinien und Beschaffungsverfahren erschweren es den IT-Fachleuten des Verteidigungsministeriums, dafür zu sorgen, dass Hardware und Software ordnungsgemäß aktualisiert werden. Öffentliche Cloud-Anbieter, die sich um die lukrativen Aufträge bewerben, werden hinsichtlich ihrer Sicherheitsfähigkeiten genau unter die Lupe genommen.

„Das Verteidigungsministerium sollte die Sicherheit von Cloud-Netzwerken unabhängig testen und bewerten, um die Einhaltung von Sicherheitsvorschriften und die Reaktion auf Vorfälle zu überprüfen, und alle Testergebnisse von Auftragnehmern und Dritten überprüfen, um sicherzustellen, dass die Leistungs- und Sicherheitsüberwachung ausreichend ist.“

Militärische Führungskräfte möchten den Schwerpunkt der Cybersicherheit von der Absicherung der Netzwerkgrenzen auf die aktive Kontrolle des Datenzugriffs verlagern. Dies wird durch moderne Verschlüsselungsalgorithmen und Schlüsselverwaltungssysteme, die in kommerzielle Cloud-Dienste integriert sind, sowie durch eine ordnungsgemäße Kennzeichnung von Daten erreicht.

Zusätzlich zur Kontrolle des Zugriffs auf Daten sollten Militärführer sicherstellen, dass alle technischen Support-Mitarbeiter, die ihre Microsoft-Systeme betreuen, überprüft und US-Staatsbürger sind. Dadurch wird die Einhaltung der ITAR-Vorschriften gewährleistet und das Risiko gemindert, dass ausländische Staatsangehörige unnötigerweise mit JEDI in Kontakt kommen.

 Unmittelbare Gefahr – Ausländische Staatsangehörige, die JEDI unterstützen

Die Support-Services von Microsoft Premier (Unified) greifen zunehmend auf Drittanbieter (unter anderem Wipro und Tata) zurück, um ihr eigenes Team zu verstärken. Bundesbehörden haben festgestellt, dass Microsoft vertraglich nicht garantieren kann, dass keine ausländischen Staatsangehörigen die Support-Hotline beantworten oder ihre Tickets bearbeiten. Bundes-, Landes- und Kommunalbehörden wechseln aus Gründen der Souveränität und der finanziellen Verantwortung von Microsoft zu US Cloud.

Im April 2019 wurde der indische IT-Outsourcing- und Microsoft Premier (Unified)-Supportanbieter Wipro (NYSE: WIT) gehackt. Die Nachricht wurde von Krebs on Security veröffentlicht.  Quellen behaupten, dass im März 2019 das Fernzugriffstool ScreenConnect verwendet wurde, um die Systeme von Wipro zu kompromittieren und dann Wipro-Kunden in den USA und anderen Ländern anzugreifen. Die Quelle des Angriffs ist noch unbekannt, jedoch fand im selben Monat, in dem die Nachricht über den Datenverstoß bei Wipro bekannt wurde, eine interessante Transaktion statt.

Am 4. April 2019 verkaufte die indische Regierung „feindliche“ Anteile an Wipro im Wert von rund 166 Millionen US-Dollar. Laut dieser Artikel in Der GeschäftsstandardFeindliche Anteile werden so genannt, weil sie ursprünglich von Personen gehalten wurden, die nach Pakistan oder China ausgewandert sind und keine indischen Staatsbürger mehr sind.

„Insgesamt 44,4 Millionen Aktien, die vom Custodian of Enemy Property for India gehalten wurden, wurden an der Bombay Stock Exchange zu einem Preis von 259 Rupien pro Stück verkauft“, berichtete The Business Standard. „Die Käufer waren die staatliche Life Insurance Corporation of India (LIC), New India Assurance und General Insurance Corporation. LIC“

Die jüngste Ankündigung von Cloud Hopper-Angriffen im Juni 2019 betraf mehrere namhafte Anbieter, darunter Tata, einen häufig genutzten^{Drittanbieter} für Personalerweiterungen der Microsoft Premier (Unified) Support Services. Reuters berichtete ursprünglich über den Angriff. Tata lehnte eine Stellungnahme ab. Eine US-Anklage ist derzeit anhängig, und das chinesische Ministerium für Staatssicherheit wird als Urheber des Angriffs vermutet.

Laut Reuters-Quellen fanden die Angriffe zwischen 2014 und 2017 statt und richteten sich gegen globale IT-Outsourcing-Anbieter mit dem alleinigen Ziel, Geschäftsgeheimnisse ihrer Kunden zu stehlen. Zufälligerweise wurde Tata 2014 von Epic Systems in den USA wegen Diebstahls geistigen Eigentums verklagt und verlor einen Prozess in Höhe von 420 Millionen Dollar.

Kosten für die Unterstützung von DoD JEDI

Das Militär ist durch Budgets eingeschränkt. Die Verantwortlichen im Pentagon sehen in der Cloud wirtschaftliche Vorteile, wie sie auch viele private Unternehmen zu schätzen gelernt haben.

„Das nutzungsabhängige Cloud-Modell bietet die Flexibilität, die Kosten im gesamten IT-Portfolio zu optimieren, und ermöglicht es dem Verteidigungsministerium, sich an veränderte Prioritäten, Haushaltsbedingungen und Branchenentwicklungen anzupassen“, heißt es in dem Bericht. Bestehende Systeme, die nicht „cloudfähig“ sind, verbrauchen oft „übermäßig viele Cloud-Infrastrukturressourcen“, wodurch sie weniger effizient und daher teurer im Betrieb sind.

Das Militär hat ebenso wie viele Unternehmen erkannt, dass es schwierig ist, die Kosten für Cloud-Dienste vorherzusagen. Um Kostentransparenz zu erreichen, muss das Militär eine „starke Governance“ implementieren, um zu überwachen, wie Anwendungen entwickelt und Daten übertragen und gespeichert werden.

„Während wir diese Standards entwickeln, implementieren und anschließend unsere Dienste und Daten besser auf eine Unternehmenslösung abstimmen, können wir automatisierte Tools und Techniken einsetzen, um die finanzielle Ausführung von Cloud-Ressourcen genauer zu verfolgen.“

Genauso wie die Cloud wirtschaftliche Effizienz bringt, tut dies auch US Cloud Federal Support SServices. Microsoft-abhängige Organisationen wie das Verteidigungsministerium senken ihre Kosten in der Regel um die Hälfte, wenn sie vom Microsoft Unified (ehemals Premier) Support auf US Cloud umsteigen. Diese erheblichen Einsparungen würden es dem Verteidigungsministerium ermöglichen, sein Budget einzuhalten und die eingesparten Support-Kosten dort einzusetzen, wo unsere Soldaten sie am dringendsten benötigen.

Mit dem Tempo der Cloud Schritt halten

Da US-Bundes-, Landes- und Kommunalbehörden Cloud-Service-Plattformen wie Microsoft Azure und Office 365 einsetzen, werden neue Funktionen und Sicherheitsupdates automatisch von Microsoft an die Nutzer weitergegeben.  Dies trägt zu mehr Sicherheit für die Umgebung und die Benutzer bei, führt aber auch zu häufigeren Änderungen. Wissen die Administratoren, welche neuen Funktionen wann verfügbar sein werden? Gibt es Funktionen in der Pipeline, die bei ihrer Einführung die bestehende Umgebung beeinträchtigen könnten? Sind die Benutzer über die neuen Funktionen und deren Verwendung informiert? Wenn nicht, wer wird die Schulungen durchführen und wann?

Es ist von entscheidender Bedeutung, dass die IT-Roadmap eines Unternehmens mit der Cloud-Services-Roadmap von Microsoft übereinstimmt. Vertrauenswürdige Drittanbieter wie US Cloud können nicht nur geschäftskritische Microsoft-Technologien wie OpenAI unterstützen, sondern auch Beratungs- und Roadmap-Services anbieten, um die Investitionen des Unternehmens in die gesamte Microsoft-Produktpalette zu maximieren.

Unterstützung der US-Militär-Cloud

Eine Komponente, die JEDI-Initiative, hat in Silicon Valley eine heftige Kontroverse ausgelöst, darunter Kritik von einem Branchenverband,Proteste beim GAO undeine Klage von Oraclegegen die Bundesregierung.

Auch wenn die Cloud-Strategie des Verteidigungsministeriums viel umfassender ist als JEDI, benötigt sie die Unterstützung von Cloud-Anbietern für Unternehmen, um die Truppen im Einsatz und die Fachleute des militärischen Nachrichtendienstes zu stärken.

„Die Cloud-Strategie des Verteidigungsministeriums bekräftigt unser Engagement für die Cloud und die Notwendigkeit, Cloud-Initiativen aus unternehmerischer Perspektive zu betrachten, um eine effektivere Einführung zu erreichen“, heißt es im Vorwort des Dokuments, das von dem amtierenden Verteidigungsminister Patrick Shanahan verfasst wurde.

„Das Verteidigungsministerium (DoD) ist in das moderne Zeitalter der Kriegsführung eingetreten, in dem das Schlachtfeld ebenso sehr in der digitalen Welt wie in der physischen Welt existiert“, sagt Shanahan.

„Die Cloud ist ein grundlegender Bestandteil der globalen Infrastruktur, der den Soldaten mit Daten versorgt und für die Aufrechterhaltung des technologischen Vorsprungs unseres Militärs von entscheidender Bedeutung ist.“

US Cloud steht mit seinem zu 100 % aus US-Bürgern bestehenden Team bereit, um die Cloud des US-Militärs und seine Nutzerbasis aus Soldaten zu unterstützen. Die Unterstützung der Souveränität, die Einhaltung der ITAR-Vorschriften und Kosteneinsparungen von 30 bis 60 % machen US Cloud zur verantwortungsvollen Wahl für das Verteidigungsministerium und die Steuerzahler der Vereinigten Staaten.

Staatliche Unterstützung – Von der Heimat zum Schlachtfeld

Die Cloud-Umgebung des Verteidigungsministeriums muss militärische Operationen vom Schlachtfeld bis zur Heimatfront unterstützen.

„Wir müssen JEDI und dem Verteidigungsministerium die Unterstützung durch US-amerikanisches Personal zukommen lassen, die sie verdienen, um ihre Missionen erfolgreich abzuschließen“, sagt Robert E. LaMear IV, Gründer von US Cloud. „Ausländische Staatsangehörige in die technische Support-Lieferkette des Landes (USA) einzubinden, ist unverantwortlich und stellt ein unnötiges Risiko für unsere nationale Sicherheit dar.“

Eine Anforderung an die Cloud des Verteidigungsministeriums ist die Integration und der Betrieb von Computing-Lösungen, die unkompliziert und über alle Klassifizierungsstufen hinweg wiederholbar sind. „Dadurch können Soldaten datengestützte Entscheidungen treffen und das Verteidigungsministerium kann Daten besser mit Verbündeten austauschen und als Koalitionsstreitkraft agieren“, heißt es in dem Bericht.

Der Bericht stellt fest, dass die Technologiebranche große Fortschritte bei der Durchführung von Offline-Operationen gemacht hat. „Die Allzweck- und zweckgebundenen Clouds des Ministeriums werden diese Bemühungen nutzen, um den Soldaten unabhängig von der Umgebung die neueste Technologie zur Verfügung zu stellen, wo und wann sie diese benötigen.“

Die „robusten und anpassungsfähigen“ Geräte, die von Soldaten im Einsatz verwendet werden, müssen sich automatisch mit der Cloud synchronisieren können, wenn die Kommunikation ausreichend ist oder wiederhergestellt wurde.

„Die automatische Synchronisierung von Informationen stellt sicher, dass Soldaten Daten speichern, in Modelle zurückführen und mit den neuesten Algorithmen kämpfen. Dies in einer sicheren Umgebung zu tun, wird eine Kraftverstärkung bewirken und direkt das Hauptziel der Cloud-Umgebung unterstützen: Informationsüberlegenheit.“