12月17日，CISA 發(fā)布了今年第一部具有約束力的操作指令《綁定操作指令25-01：實施云服務(wù)安全實踐》（BOD 25-01指令 ），要求美國聯(lián)邦民事機構(gòu)實施一系列必需的安全配置基線（SCB）以保護(hù)其云環(huán)境。BOD 25-01指令旨在通過強制云服務(wù)實施安全措施來減少美國聯(lián)邦網(wǎng)絡(luò)的攻擊面，要求美國聯(lián)邦機構(gòu)部署CISA開發(fā)的自動配置評估工具，與持續(xù)監(jiān)控基礎(chǔ)設(shè)施集成，并糾正與安全配置基線的任何偏差。

CISA表示 “在動態(tài)的網(wǎng)絡(luò)安全環(huán)境中，維護(hù)安全配置基線至關(guān)重要，其中供應(yīng)商變更、軟件更新和不斷發(fā)展的安全最佳實踐構(gòu)成了威脅環(huán)境。由于供應(yīng)商經(jīng)常發(fā)布新更新和補丁以解決漏洞，安全配置也必須進(jìn)行調(diào)整。”

根據(jù)BOD 25-01 指令，聯(lián)邦機構(gòu)和部門必須采取的關(guān)鍵行動包括：

• 在2025年2月21日前，識別并提供指令范圍內(nèi)所有用戶的名稱及其系統(tǒng)所屬機構(gòu)/組件
• 在4月25日前，所有適用范圍內(nèi)的用戶部署SCuBA評估工具，并開始向CISA持續(xù)報告
• 在6月20日前，實施所有由綁定操作指令25-01所規(guī)定的SCuBA強制政策
• 根據(jù)“所需配置”網(wǎng)站上規(guī)定的時間表，實施所有SCuBA強制政策更新
• 在授權(quán)操作前，實施所有SCuBA強制性安全配置基線，并開始對新的用戶持續(xù)監(jiān)控
• 報告給CISA時，識別并解釋SCuBA評估工具輸出中的偏差

CISA將提供關(guān)于如何滿足這些要求的支持，并向國土安全部長、管理和預(yù)算辦公室（OMB）主任和國家網(wǎng)絡(luò)主任提供機構(gòu)進(jìn)展情況的狀態(tài)報告。該指令補充了現(xiàn)有的云安全聯(lián)邦資源，包括聯(lián)邦風(fēng)險和授權(quán)管理計劃（FedRAMP）、相關(guān)的國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）指南以及CISA可信互聯(lián)網(wǎng)連接（TIC）3.0最佳實踐案例。CISA還為其他云產(chǎn)品添加了SCuBA安全配置基線，這些產(chǎn)品將自動納入指令的范圍。

BOD 25-01指令

BOD 25-01指令核心主要有以下幾個方面：

(1) 安全配置基線（SCB）

• 部署自動配置評估工具：聯(lián)邦機構(gòu)必須部署CISA開發(fā)的自動配置評估工具，該工具能夠識別和糾正與安全配置基線（SCB）的偏差。這些基線包括Microsoft 365和其他云平臺的標(biāo)準(zhǔn)配置。
• 持續(xù)監(jiān)控和糾正：指令要求聯(lián)邦機構(gòu)將評估工具與持續(xù)監(jiān)控基礎(chǔ)設(shè)施集成，確保實時檢測和糾正任何偏離安全基線的行為。

(2) 云用戶識別和保護(hù)

• 確定云用戶：聯(lián)邦機構(gòu)必須在規(guī)定時間內(nèi)識別其環(huán)境中的所有生產(chǎn)或操作云用戶，并確保每個用戶都有明確的安全策略。
• 實施強制性SCB政策：對于每個云用戶，聯(lián)邦機構(gòu)必須實施CISA推薦的強制性安全配置基線政策，并定期更新這些政策以應(yīng)對新的威脅和漏洞。
• 持續(xù)監(jiān)控新用戶：聯(lián)邦機構(gòu)需要持續(xù)監(jiān)控新的云用戶，確保它們在加入環(huán)境時立即獲得適當(dāng)?shù)陌踩Ｗo(hù)。

(3) 錯誤配置和薄弱安全控制的防范

• 錯誤配置管理：指令強調(diào)錯誤配置和薄弱的安全控制可能給攻擊者提供未授權(quán)訪問、數(shù)據(jù)竊取或破壞服務(wù)的機會，因此必須采取相應(yīng)措施進(jìn)行防范。
• 定期安全審計：聯(lián)邦機構(gòu)必須定期進(jìn)行安全審計，以識別和修復(fù)潛在的安全漏洞，確保其云環(huán)境的整體安全性。

參考來源：https://www.infosecurity-magazine.com/news/cloud-security-federal-agencies/