2020年9月11日，美国陆军发布了2020年版《陆军云计划》（以下简称“云计划”），以期在全球范围内建立一种“可见、可访问、可理解、可信、可互操作且安全”（VAUTIS）的云环境。该计划提出了六项战略目标，梳理了美国陆军现代化进程中面临的紧迫任务，并点明了构建VAUTIS环境的工作重点。美国陆军打算将其财政和人事资源向“云计划”所述事项倾斜，以建立一套弹性的信息生态系统来保护美军的关键信息。

　　一、发布背景

　　“云计划”与《国防部云计算战略》、《陆军云计算战略》及《陆军数字计划》等文件一脉相承，并在此基础上进一步完善了美军关于发展军用云的指导思想、总体设计和体系建设。早在2009年，美国国防部就提出了覆盖陆地、海上、空中和太空的数据共享概念。2012年，《国防部云计算战略》自上而下地指导了各军种如何将存储设施、计算平台和软件服务转移到云环境中。为了使这一战略在美国陆军中落地，同时也为了追赶率先发展出“作战云”（Combat Cloud）的美国空军，美国陆军于2015年制定了《陆军云计算战略》，以便对陆军信息技术（IT）基础设施、系统软件、应用平台、数据资产、业务流程和惯例向云环境的转移进行总体布局。在向云环境转移的过程中，美国陆军逐渐意识到数据的重要意义，于是又在2019年发布了《陆军数据计划》，专门指导陆军如何通过安全且弹性的混合云解决方案来管理、分析和利用数据，同时也为今年的“云计划”奠定了基础。

　　基于此，“云计划”取代了2015年的《陆军云计算战略》，成为美国陆军关于云环境建设的最新总体指导文件。与《陆军云计算战略》相比，“云计划”结合美国陆军近年来的实践经验，提出了实施集中式云管理以及开发、安全与运行（DevSecOps）协作机制等更加具体的举措。

　　二、主要内容

　　“云计划”探讨了美国陆军数字化转型过程中的诸多问题，其中涉及到架构、服务、数据、试点、管理、运营、采办和人事等方面，并重点关注了云架构的构建、立足于云的快捷数字服务以及安全环境下的数据互通。

　　2.1 明确云战略目标，推动数字服务便利化

　　为使美国陆军适应不断变化的数字环境，并借助云技术来巩固其在网络空间内的优势地位，“云计划”提出了以下六大战略目标：加快数据驱动型决策，缩短软件部署时间，优化安全认证流程，将云设计、软件开发和数据工程作为核心能力，设计软件以适应难以捉摸的世界，以及提升IT资产／成本的透明度和问责水平。提出这些目标的核心思路是推动数字服务便利化，以便通过更加灵活、快速且廉价的数字服务，来提升美国陆军在数字领域的安全性、适应性、敏捷性和经济性。在“云计划”看来，美国陆军不能将这些目标视作一劳永逸的短期任务，而是应视作需要长期坚持不懈的远景方针。

　　2.2 建立统一架构，形成多密级环境

　　“云计划”指出，美国陆军设立的企业云管理办公室（ECMO）将在陆军范围内建立统一的标准化云架构。这种云架构将首先用于非保密级（即影响等级（IL）2、4和5的信息）环境，成熟后再用于保密级（如秘密级／IL 6的信息，以及绝密级／敏感限定信息（SCI））环境。按照美国陆军的设想，这种云架构既适用于陆军的通用云cARMY，也适用于“软件即服务”（SaaS）服务（如“国防企业办公室解决方案”）和“基础设施即服务”（IaaS）服务（如milCloud 2.0）所需的专设云。此外为了吸纳“基础设施即代码”（IaC）、“配置即代码”（CaC）、“软件定义型网络”（SDN）和自动缩放等新颖理念，整个云架构都将广泛采用自动化技术。云架构中还将设置供租用者使用的公共云组件，以畅通数据操作、安全认证、软件开发和云使用环节。

　　就具体的云而言，cARMY已获准提供IL 2、IL 4和IL 5的公共服务，并将在2021财年初获准提供IL 6的公共服务。而按照陆军情报副参谋长（G2）的授权，“军事情报计划”（MIP）和“国家情报计划”（NIP）范围内的应用程序和系统则将采用“陆军机器学习商业云服务提供商”（AC2SP）提供的环境。目前AC2SP已提供绝密级数据环境，到2020财年年底时还将提供非保密级和秘密级数据环境。

　　2.3 优化网络结构，拓展战术云范围

　　“云计划”指出，虽然围绕cARMY的现代化转型工作将立足于美国本土，但美国陆军仍需将网络覆盖范围从军内机构延伸到一线士兵。首先，美国陆军将扩充云服务提供商（CSP）的产品和由本地混合云提供的IaaS和“平台即服务”（PaaS）解决方案，并在美国本土以外建立云环境、战术云环境和边缘云环境，而作战任务区域的责任方则将对这些环境进行监管。为加快数据驱动型决策，陆军未来司令部（AFC）将与项目执行办公室战术指挥、控制与通信官（PEO C3T）和陆军部队司令部（FORSCOM）开展合作，以提供各种集成式战术云解决方案，从而在扩充企业级资源的同时，让军用云适应延迟或断连、间歇连通和低带宽（DIL）的受限网络环境。

　　同时，美国陆军还将用更加开放的集成式服务和数据来取代复杂而孤立的旧式网络架构。新的网络架构一方面可以降低国防部信息网络（DoDIN）内各种网络配置的复杂程度，从而减少不同网络配置发生冲突的频率，另一方面将改善美国陆军观测和预测网络利用率的能力，从而强化美国陆军网络的可用性、安全性和弹性。

　　2.4 贯彻零信任原则，加强数据保护

　　“云计划”提出，美国陆军需采用现代化的安全范式、控制措施和框架，以确保始终在VAUTIS环境中产生和使用数据。为此美国陆军必须在云环境中贯彻零信任原则。零信任原则预先假设网络既不可信也不受控，并据此实行严格的身份与访问管理，且只按授权用户的具体需求给予其最小范围的权限，因此非常适合于用户众多且来源复杂的云环境。

　　为贯彻零信任原则，美国陆军必须实行严格的访问控制，不默认信任任何人或任何系统（包括内部网络中的人或系统）。美国陆军需要为辖下的所有人员和设备建立唯一且明确的端到端身份，并将所有用户活动都与这种数字身份进行绑定，以确保任何用户都必须经过严格认证、只能访问获得授权的资源并接受全过程监控。具体而言，美国陆军将采用数据标记，实行集中式验证与授权，以及通过加密在存、在传和在用数据的方式来管理密钥。此外美国陆军还要对应用程序接口（API）进行管理并执行相关策略，以保证对数据使用位点实施访问控制。

　　2.5 制定统一接口，改善系统互操作性

　　“云计划”指出，美国陆军过去采用的点对点接口难以实现可互操作、可访问且可见的服务，然而协调复杂的作战行动时却需要在不同系统之间传输大量详细数据。为解决这一矛盾，今后部署到云架构中的新服务将一律采用定义明确的接口和条理分明的接口规范，以使原本不兼容的系统之间能共享数据。此外为了将现有的服务转移到开放式的可扩展云架构上，美国陆军将为各种旧式系统创建OpenAPI规范等开放式服务代理工具。陆军数据委员会（ADB）和任务区数据官（MADO）将与各个陆军司令部（ACOM）、陆军下属司令部（ASCC）、和直接报告单位（DRU）共同决定未来使用的数据标准和接口规范。

　　三、几点认识

　　3.1 商用混合多云是开发军用云的上佳选择

　　军用云环境需要提供诸多服务，比如操作系统漏洞扫描、密钥管理、网络基础设施管理与监控、补丁管理、联邦机构接入管理、远程特权访问、端点监控和代码库等等。然而很少有一家提供商能提供部队所需的一切服务，即使能够提供，其中某些服务往往也存在短板。若采用多云环境，则可将各提供商的拳头产品汇集到同一平台上，从而为部队提供最完善的全方位服务。另外军用云会涉及多种密级的信息，或是连入情报界和任务合作方等非军方的网络环境，甚至延伸到本国领土之外，因此为了在便利与安全之间保持平衡，军用云必须采用私有云和公有云相混合的云架构模式。除此之外，出于计算与存储效益上的考虑，军用云应尽量采用成熟的商业云方案，并尽可能融合军内不同机构的云环境。举例来说，美国陆军就打算将提供SaaS、PaaS和IaaS能力的商业云服务与“陆军企业数据中心”（AEDC）整合，从而简化相应的开发与测试流程，并在不同系统之间实现信息共享。

　　3.2 适应性流程是向云环境过渡的必经之路

　　云环境建设不能一蹴而就，而是一个漫长的过程，因此需要从小处着手，以敏捷的方式学习、适应、改变和发展云环境。从美国陆军的经验来看，全面铺开云环境并非上策，而是应先在少数作战单位试点建设云环境，利用云计算来增强这些单位的战备水平和杀伤力，然后云治理机构再根据这些单位持续提供的反馈，来持续摸索最佳的工具、方法、组织架构和领导层，进而调整云环境的使用方式。不过这种快节奏的适应性流程必然会产生技术债务，而为了减轻此类债务，部队需要根据近期和远期需求来确定战略和战术上的优先顺序，然后根据此类顺序来调整改革的程度和速度。

　　3.3 云原生设计是云环境建设的安身之策

　　当前，各国采用军用云的动机之一，就是“云计划”第二项战略目标所述的软件快速部署能力。若采用传统方式更新应用程序，再上传至云中，可能需要耗时数日甚至数月之久，这显然会严重降低云环境的使用效率，甚至因无法及时修复漏洞而危及网络安全。而若改用云原生设计，那么凭借其固有的自动化、微服务和持续交付能力，程序的更新时间可以缩短到几小时以内。同时云原生设计还具备更强的可视化能力、故障隔离能力和容错能力，有助于提升网络安全水平。军用云的原生设计应侧重于任务所需的应用层和数据层，并重点关注应用程序的安全性、弹性和成本。此外为保障云原生软件的供应链，也为管控混合云架构的规模和复杂度，部队还需要用持续整合／交付工具来对各种变化和配置进行自动化的集中管理。按照美国陆军的经验，若优先采用SaaS和PaaS模式（含容器技术）而非IaaS，则可减少维护IT系统的工作量和开支，从而使部队专注于软件的创新和设计，而非疲于开展软件维护。

　　3.4 军民网络互连是云环境发展的安全短板

　　过去各国部队的信息安全措施主要侧重于周界防护，即从物理和逻辑上将军用网络与外部网络隔开；如今的军用云则依托于成熟的民用云方案，从云服务提供商到用户（如军事设施的现场数据中心）的诸多网络节点均需远程访问，并共享彼此的数据。举例来说，由GDIT公司开发的milCloud 2.0允许美国国防部下属机构在提交订单后的48小时内获得云服务，鉴于商业公司不可能让大量开发设计人员及其设备在与外界隔绝的军用网络中随时待命，美国国防部的军用网络必然要以某种方式接入该公司的民用网络。由此可见，这些商用云环境模糊了军用与民用网络之间的界限，进而提高了敌方通过民用节点渗透到军用云中的可能性。

　　要想解决这一问题，就需要把网络安全重心从周界防护转向数据与服务保护，其中的重中之重就在于贯彻零信任原则。具体来说，可以对人员和机器采用强身份验证，本地处理和传输过程中均采用安全加密机制，以及使用防篡改的安全事件加密日志来开展审计跟踪。另外云服务提供商也需要监视其云基础设施，并对军方用户进行安全培训。