Il Dipartimento della Difesa statunitense sceglie Microsoft Premier Support Alternative, US Cloud.

JEDI è il cloud dell'esercito degli Stati Uniti dedicato ai propri combattenti. Il cloud militare statunitense offrirà tutti i vantaggi in termini di sicurezza, scalabilità, convenienza, failover, intelligenza artificiale, ma anche i tipici problemi legati alla migrazione e all'integrazione ibrida. La piattaforma cloud Microsoft garantirà un flusso costante di nuove funzionalità e aggiornamenti. Con l'aumentare dell'adozione di JEDI, diventerà sempre più importante sapere come utilizzare le nuove funzionalità e quale impatto avranno sugli ambienti esistenti.

Microsoft sta rispondendo alle esigenze del Dipartimento della Difesa in materia di sovranità dei dati e sta facendo in modo che i suoi data center statunitensi siano gestiti esclusivamente da cittadini statunitensi sottoposti a controlli di sicurezza. Tuttavia, Microsoft non garantisce che quando un'entità del Dipartimento della Difesa chiama per un problema relativo a Office 365, Azure o altri prodotti Microsoft, la persona all'altro capo del telefono non sia un cittadino straniero.  E mentre la maggior parte delle questioni coperte dal supporto Microsoft Premier (Unified) sono piuttosto di routine e non critiche per l'azienda, possono verificarsi e si verificheranno incidenti critici per la missione e la loro rapida risoluzione da parte di cittadini statunitensi sottoposti a controlli sarà fondamentale per i nostri combattenti statunitensi e il Dipartimento della Difesa.

Che cos'è JEDI?

L'esercito degli Stati Uniti sta intraprendendo un progetto ambizioso e costoso di trasformazione cloud per modernizzare le risorse IT in tutti i dipartimenti del Pentagono e nei vari rami delle forze armate.

L'iniziativa Joint Enterprise Defense Infrastructure (JEDI) è una componente di tale piano. Un documento sulla strategia cloud presentato al Congresso distingue tra l'esigenza del Dipartimento della Difesa (DoD) di un cloud "generale" e quella di un cloud "adatto allo scopo".

Il cloud per uso generico che passerà ad AWS o Microsoft sarà il cloud di prima scelta, con una "predilezione per l'implementazione primaria" per tutte le agenzie di difesa. Solo quando le esigenze della missione non potranno essere soddisfatte dal cloud per uso generico, saranno prese in considerazione alternative adatte allo scopo ", si legge nel documento.

I "responsabili della missione" che desiderano discostarsi dal fornitore di servizi cloud selezionato attraverso l'iniziativa JEDI dovranno presentare al CIO del Dipartimento della Difesa un "documento di eccezione" in cui spiegano perché ritengono che le funzionalità di cui hanno bisogno non possano essere soddisfatte dal cloud generico.

Come potrebbe JEDI soffrire senza il supporto sovrano del cloud statunitense?

Scenario 1 Impatto minimo: un cittadino straniero che lavora per Microsoft tramite i suoi outsourcer offshore^{di terze} parti e che supporta JEDI tramite il suo contratto di assistenza Microsoft Premier (Unified) con il Dipartimento della Difesa, riceve un ticket di assistenza di gravità "mission-critical" e ritarda intenzionalmente il processo di risoluzione di ore o giorni. Come minimo, rallenta la velocità operativa del Dipartimento della Difesa, ma al massimo minaccia le missioni dei combattenti schierati.  Il "dipendente Microsoft" con una v-card trasmette quindi l'analisi delle cause alla nazione in cui è realmente impiegato per creare un quadro di riferimento per futuri attacchi informatici a JEDI.

Scenario 2 Impatto moderato: un cittadino straniero che lavora per Microsoft tramite suoi subappaltatori offshore^terzi afferma di aver bisogno di accedere in remoto ai sistemi del Dipartimento della Difesa per risolvere alcuni problemi e ottiene i privilegi necessari. Il "dipendente Microsoft" con una v-card utilizza quindi l'accesso per compromettere l'ambiente installando malware o sottraendo dati sensibili a favore dello Stato nazionale per cui lavora realmente.

Scenario 3 Impatto critico: un cittadino straniero che lavora per Microsoft tramite i suoi outsourcer offshore^{di terze} parti ha ottenuto l'accesso remoto ai sistemi JEDI e sta lentamente e furtivamente mappando il suo modello di failover. Il "dipendente Microsoft" con una v-card utilizza quindi questo modello ed è pronto ad attivare malware dormiente e non rilevato per rubare credenziali e mettere fuori uso una parte o l'intero JEDI, limitando la capacità del Dipartimento della Difesa di rilevare o rispondere a un attacco informatico o militare coordinato su larga scala contro gli Stati Uniti.

Sicurezza JEDI

Con un cloud militare, la sicurezza è la preoccupazione principale.

Il punto di vista dei vertici del Pentagono cloud pubblico come un vantaggio nella protezione dei dati e dei sistemi militari, e la strategia cloud del Dipartimento della Difesa è stata elaborata in linea con la sua più ampia strategia informatica. Il Dipartimento della Difesa deve adottare i moderni meccanismi di sicurezza integrati nelle piattaforme dei fornitori di servizi cloud commerciali per garantire la sicurezza di queste grandi quantità di dati e salvaguardare le informazioni", afferma il rapporto.

L'attuale infrastruttura del Pentagono rappresenta un rischio per la sicurezza. Il rapporto rivela che il Dipartimento della Difesa ha riscontrato difficoltà nel tenere il passo con le minacce informatiche. "Possedendo e gestendo l'hardware fisico associato ai data center locali, il Dipartimento può incorrere in rischi inutili per la sicurezza e consumare risorse che potrebbero invece essere riallocate per supportare i combattenti e la forza lavoro in altre aree di missione", afferma il rapporto.

Politiche e procedure di approvvigionamento eccessivamente rigide rendono difficile per i professionisti IT del Dipartimento della Difesa garantire che hardware e software siano aggiornati in modo adeguato. I fornitori di cloud pubblici che desiderano aggiudicarsi i lucrosi contratti saranno sottoposti a un attento esame delle loro capacità in materia di sicurezza.

"Il Dipartimento della Difesa dovrebbe testare e valutare in modo indipendente la sicurezza della rete cloud per verificare la conformità alla sicurezza e la risposta agli incidenti, nonché esaminare tutti i risultati dei test effettuati da appaltatori e terze parti per garantire che il monitoraggio delle prestazioni e della sicurezza sia adeguato".

I leader militari vogliono spostare l'attenzione della sicurezza informatica dalla protezione dei perimetri delle reti al controllo attivo dell'accesso ai dati. Ciò sarà possibile grazie ai moderni algoritmi di crittografia e ai sistemi di gestione delle chiavi integrati nei servizi cloud commerciali, nonché alla corretta etichettatura dei dati.

Oltre a controllare l'accesso ai dati, i vertici militari dovrebbero verificare che tutto il personale di supporto tecnico che assiste i loro sistemi Microsoft sia composto da cittadini statunitensi sottoposti a screening. Ciò garantirà la conformità alle norme ITAR e ridurrà il rischio di esporre inutilmente cittadini stranieri al JEDI.

 Pericolo imminente – Cittadini stranieri che sostengono JEDI

I servizi di assistenza Microsoft Premier (Unified) ricorrono sempre più spesso a fornitori terzi (tra cui, a titolo esemplificativo ma non esaustivo, Wipro e Tata) per potenziare il proprio team. Le organizzazioni federali hanno riscontrato che, dal punto di vista contrattuale, Microsoft non garantisce che un cittadino straniero non risponda alla linea di assistenza o non gestisca i loro ticket. Le organizzazioni federali, statali e locali stanno passando da Microsoft a US Cloud per motivi di sovranità e responsabilità fiscale.

Nell'aprile 2019, Wipro (NYSE: WIT), fornitore indiano di servizi di outsourcing informatico (IT) e supporto Microsoft Premier (Unified), è stato vittima di un attacco hacker. La notizia è stata diffusa da Krebs on Security.  Fonti sostengono che lo strumento di accesso remoto ScreenConnect sia stato utilizzato nel marzo 2019 per compromettere i sistemi Wipro e poi passare ad attaccare i clienti Wipro negli Stati Uniti e in altri paesi. La fonte dell'attacco è ancora sconosciuta, tuttavia nello stesso mese in cui è stata resa nota la notizia della violazione dei dati Wipro si è verificata una transazione interessante.

Il 4 aprile 2019, il governo indiano ha venduto le azioni "nemiche" di Wipro per un valore di circa 166 milioni di dollari. Secondo questo articolo in Lo standard aziendaleLe azioni nemiche sono così chiamate perché originariamente erano detenute da persone che sono emigrate in Pakistan o in Cina e non sono più cittadini indiani.

"Un totale di 44,4 milioni di azioni, detenute dal Custode dei beni nemici per l'India, sono state vendute a 259 rupie ciascuna alla Borsa di Bombay", ha riportato il Business Standard. "Gli acquirenti sono stati la Life Insurance Corporation of India (LIC), la New India Assurance e la General Insurance Corporation, tutte società statali. LIC"

Il recente annuncio del giugno 2019 relativo agli attacchi Cloud Hopper ha compromesso diversi fornitori di rilievo, tra cui Tata, un'estensione di personale^{di terze} parti comunemente utilizzata dai servizi di assistenza Microsoft Premier (Unified). La notizia dell'attacco è stata riportata inizialmente da Reuters. Tata ha rifiutato di commentare. È ora in corso un procedimento penale negli Stati Uniti e si sospetta che l'origine dell'attacco sia il Ministero della Sicurezza di Stato cinese.

Fonti Reuters hanno riferito che gli attacchi sono stati perpetrati dal 2014 al 2017 e hanno preso di mira fornitori globali di servizi IT in outsourcing con l'unico obiettivo di rubare segreti commerciali dai loro clienti. Per coincidenza, nel 2014 Tata è stata citata in giudizio da Epic Systems negli Stati Uniti per furto di proprietà intellettuale e ha perso una causa per 420 milioni di dollari.

Costi di supporto JEDI del Dipartimento della Difesa

Le forze armate sono vincolate dai budget. I vertici del Pentagono vedono nel cloud dei vantaggi economici, come hanno ormai compreso molte aziende private.

"Il modello cloud pay-for-use fornirà la flessibilità necessaria per ottimizzare i costi nell'intero portafoglio IT e consentirà al Dipartimento della Difesa di adattarsi alle mutevoli priorità, alle condizioni di bilancio e agli sviluppi del settore", afferma il rapporto. I sistemi esistenti che non sono "cloud ready" spesso utilizzano "quantità eccessive di risorse di infrastruttura cloud", rendendoli meno efficienti e quindi più costosi da gestire.

Anche l'esercito riconosce, come molte aziende hanno scoperto, che prevedere i costi del cloud è difficile. Per ottenere la trasparenza dei costi, l'esercito dovrà implementare una "forte governance" per monitorare lo sviluppo delle applicazioni e la trasmissione e l'archiviazione dei dati.

"Man mano che sviluppiamo questi standard, li implementiamo e successivamente apprendiamo e allineiamo meglio i nostri servizi e dati a una soluzione aziendale, possiamo ricorrere a strumenti e tecniche automatizzati per ottenere informazioni più accurate sul monitoraggio dell'esecuzione finanziaria delle risorse cloud".

Proprio come il cloud offre vantaggi economici, così fa anche Servizi di supporto federale per il cloud degli Stati UnitiServices. Le organizzazioni che dipendono da Microsoft, come il Dipartimento della Difesa, in genere dimezzano i costi passando dal supporto Microsoft Unified (precedentemente Premier) a US Cloud. Questo significativo risparmio consentirebbe al Dipartimento della Difesa di rispettare il budget e di riallocare i fondi risparmiati sul supporto dove i nostri combattenti ne hanno più bisogno.

Stare al passo con il ritmo del cloud

Man mano che i governi federali, statali e locali degli Stati Uniti adottano piattaforme di servizi cloud come Microsoft Azure e Office 365, nuove funzionalità e aggiornamenti di sicurezza vengono automaticamente distribuiti da Microsoft alla base di utenti.  Ciò contribuisce a rendere l'ambiente e gli utenti più sicuri, ma introduce anche cambiamenti più frequenti. Gli amministratori sanno quali nuove funzionalità sono in arrivo e quando? Qualcuna delle funzionalità in fase di sviluppo è in grado di compromettere l'ambiente esistente al momento del lancio? Gli utenti sono a conoscenza delle nuove funzionalità e sanno come utilizzarle? In caso contrario, chi si occuperà della formazione e quando?

È fondamentale che la roadmap IT di un'organizzazione sia allineata con la roadmap dei servizi cloud di Microsoft. I fornitori di supporto affidabili di terze parti come US Cloud non solo sono in grado di supportare tecnologie Microsoft mission-critical come OpenAI, ma offrono anche servizi di consulenza e roadmap per massimizzare l'investimento dell'organizzazione nell'intero stack Microsoft.

Supporto al cloud militare statunitense

Una componente, l'iniziativa JEDI, ha scatenato una tempesta di polemiche nella Silicon Valley, comprese le critiche da parte di un gruppo commerciale del settore,proteste al GAO euna causa legale intentata da Oraclecontro il governo federale.

Sebbene la strategia cloud del Dipartimento della Difesa sia molto più ampia rispetto al programma JEDI, essa necessita dell'aiuto dei fornitori di servizi cloud aziendali per potenziare le truppe sul campo e i professionisti dell'intelligence militare.

"La strategia cloud del Dipartimento della Difesa ribadisce il nostro impegno nei confronti del cloud e la necessità di considerare le iniziative cloud da una prospettiva aziendale per un'adozione più efficace", si legge nella prefazione al documento, scritta dal Segretario alla Difesa ad interim Patrick Shanahan.

"Il Dipartimento della Difesa (DoD) è entrato nell'era moderna della guerra, in cui il campo di battaglia esiste tanto nel mondo digitale quanto in quello fisico", afferma Shanahan.

"Il cloud è una componente fondamentale dell'infrastruttura globale che fornirà dati ai combattenti ed è fondamentale per mantenere il vantaggio tecnologico delle nostre forze armate".

US Cloud è pronta con il suo team composto al 100% da cittadini statunitensi a supportare il cloud militare degli Stati Uniti e la sua base di utenti composta da combattenti. Il sostegno alla sovranità, la conformità ITAR e un risparmio sui costi del 30-60% rendono US Cloud la scelta responsabile per il Dipartimento della Difesa e i contribuenti degli Stati Uniti.

Sostegno sovrano – Dalla patria al campo di battaglia

L'ambiente cloud del Dipartimento della Difesa deve supportare le operazioni militari dal campo di battaglia al fronte interno.

"Dobbiamo fornire a JEDI e al Dipartimento della Difesa il personale di supporto sovrano statunitense che meritano per portare a termine con successo le loro missioni", afferma il fondatore di US Cloud, Robert E. LaMear IV. "Inserire cittadini stranieri nella catena di fornitura del supporto tecnico del Paese (USA) è irresponsabile e comporta un rischio inutile per la nostra sicurezza nazionale".

Un requisito fondamentale per il cloud del Dipartimento della Difesa è l'integrazione e il funzionamento di soluzioni informatiche semplici e ripetibili a tutti i livelli di classificazione. "Ciò consentirà ai combattenti di prendere decisioni basate sui dati e migliorerà la capacità del Dipartimento della Difesa di condividere i dati con gli alleati e operare come forza di coalizione", afferma il rapporto.

Il rapporto sottolinea che il settore tecnologico ha compiuto grandi progressi nella gestione delle operazioni offline. "I cloud General Purpose e Fit For Purpose del Dipartimento sfrutteranno questi sforzi per fornire ai combattenti la tecnologia più avanzata dove e quando ne hanno bisogno, indipendentemente dall'ambiente".

I dispositivi "robusti e adattabili" utilizzati dai combattenti sul campo devono essere in grado di sincronizzarsi automaticamente con il cloud quando le comunicazioni sono sufficienti o vengono ristabilite.

"La sincronizzazione automatica delle informazioni garantirà che i combattenti conservino i dati, li reimmettano nei modelli e combattano con gli algoritmi più recenti. Fare ciò in un ambiente sicuro sarà un moltiplicatore di forza e sosterrà direttamente l'obiettivo primario dell'ambiente cloud: la superiorità informativa".