2024年12月17日,美国网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency,CISA)发布了关于云服务安全实践实施的指导意见后,联邦机构迎来了一系列新的网络相关要求。
CISA的第25-01号强制性操作指令(Binding Operational Directive,BOD)要求各联邦机构识别其所有云实例并实施评估工具,同时确保其云环境与网络安全局的“安全云业务应用”(Secure Cloud Business Applications,SCuBA)配置基线保持一致。
恶意威胁者日益将云环境作为攻击目标,并演变出更多战术以获得对云的初步访问。在最近的网络安全事件中,云环境中安全控制配置不当带来了重大风险,并导致了实际的安全漏洞。为应对这些威胁,网络安全与基础设施安全局(CISA)启动了安全云业务应用(SCuBA)项目。通过SCuBA项目,CISA开发了安全配置基线,提供了一致且易于管理的云安全配置和评估工具,使各机构和CISA能够改善联邦民用行政部门(FCEB)资产在云环境中的安全性。强制性操作指令(BOD)25-01要求各机构为广泛使用的特定软件即服务(SaaS)产品实施一套SCuBA安全配置基线,部署CISA开发的自动化配置评估工具以衡量是否符合所需基线,与CISA的持续监控基础设施集成,并纠正与安全配置基线的偏差。这些步骤降低了最近对手活动所突显的风险,并增强了FCEB机构应对网络威胁的韧性。
BOD 25-01适用于所有生产或运营云租户(在或作为联邦信息系统运行),这些租户拥有CISA发布的最终SCuBA安全配置基线。在BOD 25-01发布时,CISA发布了针对Microsoft Office 365的最终SCuBA安全云配置基线。未来,CISA可能会为其他云产品发布额外的SCuBA安全配置基线。在适用基线发布后,这些产品将纳入本指令的范围。任何一年内未更新的基线将自动超出范围,并从SCuBA安全配置基线目录中删除,该目录通过“强制性操作指令25-01所需配置”网站链接。
BOD 25-01的要求仅适用于SCuBA安全配置基线中引用的强制性政策,标记为“应”行动。所有此类强制性政策均在“强制性操作指令25-01所需配置”网站上发布。SCuBA安全配置基线既指定了由机构自行决定是否实施的推荐政策(在基线中标记为“应”行动),也指定了根据本指令要求必须实施的强制性SCuBA政策(在基线中标记为“应”行动)。
CISA局长珍·伊斯特利(Jen Easterly)在一份声明中表示,该指令中提出的行动是“迈向降低联邦民用企业风险的重要一步”,尽管“每个领域”都存在着威胁。
“恶意威胁行为者越来越频繁地瞄准云环境,并不断演变其战术以获得初始云访问权限,”伊斯特利说道。“我们敦促所有组织采纳这一指导意见。在减少网络风险和确保韧性方面,我们每个人都有责任。”
CISA网络安全事务副执行助理主任马特·哈特曼(Matt Hartman)在12月7日与记者的通话中表示,虽然该指令“并非针对”任何“特定的近期威胁”,但它“是对近期威胁活动的回应”,也是SolarWinds事件后旨在创建“一种集中且一致的联邦云配置安全方法”行动的一部分。
哈特曼补充说,该指令所防范的战术“既被老练且资金充足的威胁行为者使用,也被普通网络罪犯使用”。
近年来,CISA一直优先制定SCuBA指南,一年前发布了关于机构使用Google Workspace的指令,2022年10月又发布了关于机构使用Microsoft 365的标准。这些举措被认为是对一个中国黑客组织窃取Microsoft签名密钥并用其访问美国高级官员电子邮件这一事件的回应。
哈特曼在周二的通话中重申,新指令的发布时间并未与任何特定事件挂钩,而只是“认识到SCuBA计划在过去几年里已经显著成熟。我们已经与一系列广泛的联邦民用机构完成了多个试点实施。”
CISA官员表示,他们从参与这些试点的13个机构那里收到了大量关于指令可行性和控制政策的反馈。与此同时,哈特曼表示,CISA在指令发布前就与首席信息官(CIOs)和首席信息安全官(CISOs)进行了“积极且有针对性的沟通”。
根据指令中关于Microsoft 365的特定要求,各机构须在2025年2月21日前向CISA提供每个实例的实例名称和系统所属机构或组件。该清单必须根据CISA的报告指示,在每年第一季度进行更新。
所有在范围内的云实例的SCuBA评估工具必须在2025年4月25日前部署完毕,并启动对要求的持续报告。指令中要求的所有SCuBA政策应在2025年6月20日前实施。
“在联邦政府机构实施这一指令的过程中,CISA将监督并支持机构的遵守情况,并根据需要提供额外资源,”该机构在一份声明中表示。“CISA致力于利用其网络安全职权,提高可见性,并推动联邦政府机构及时降低风险。”
https://www.cisa.gov/news-events/directives/bod-25-01-implementation-guidance-implementing-secure-practices-cloud-services
声明:本文来自清华大学智能法治研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。