12月17日，CISA 發(fā)布了今年第一部具有約束力的操作指令《綁定操作指令25-01：實(shí)施云服務(wù)安全實(shí)踐》（BOD 25-01指令 ），要求美國(guó)聯(lián)邦民事機(jī)構(gòu)實(shí)施一系列必需的安全配置基線（SCB）以保護(hù)其云環(huán)境。BOD 25-01指令旨在通過(guò)強(qiáng)制云服務(wù)實(shí)施安全措施來(lái)減少美國(guó)聯(lián)邦網(wǎng)絡(luò)的攻擊面，要求美國(guó)聯(lián)邦機(jī)構(gòu)部署CISA開(kāi)發(fā)的自動(dòng)配置評(píng)估工具，與持續(xù)監(jiān)控基礎(chǔ)設(shè)施集成，并糾正與安全配置基線的任何偏差。

CISA表示 “在動(dòng)態(tài)的網(wǎng)絡(luò)安全環(huán)境中，維護(hù)安全配置基線至關(guān)重要，其中供應(yīng)商變更、軟件更新和不斷發(fā)展的安全最佳實(shí)踐構(gòu)成了威脅環(huán)境。由于供應(yīng)商經(jīng)常發(fā)布新更新和補(bǔ)丁以解決漏洞，安全配置也必須進(jìn)行調(diào)整。”

根據(jù)BOD 25-01 指令，聯(lián)邦機(jī)構(gòu)和部門必須采取的關(guān)鍵行動(dòng)包括：

• 在2025年2月21日前，識(shí)別并提供指令范圍內(nèi)所有用戶的名稱及其系統(tǒng)所屬機(jī)構(gòu)/組件
• 在4月25日前，所有適用范圍內(nèi)的用戶部署SCuBA評(píng)估工具，并開(kāi)始向CISA持續(xù)報(bào)告
• 在6月20日前，實(shí)施所有由綁定操作指令25-01所規(guī)定的SCuBA強(qiáng)制政策
• 根據(jù)“所需配置”網(wǎng)站上規(guī)定的時(shí)間表，實(shí)施所有SCuBA強(qiáng)制政策更新
• 在授權(quán)操作前，實(shí)施所有SCuBA強(qiáng)制性安全配置基線，并開(kāi)始對(duì)新的用戶持續(xù)監(jiān)控
• 報(bào)告給CISA時(shí)，識(shí)別并解釋SCuBA評(píng)估工具輸出中的偏差

CISA將提供關(guān)于如何滿足這些要求的支持，并向國(guó)土安全部長(zhǎng)、管理和預(yù)算辦公室（OMB）主任和國(guó)家網(wǎng)絡(luò)主任提供機(jī)構(gòu)進(jìn)展情況的狀態(tài)報(bào)告。該指令補(bǔ)充了現(xiàn)有的云安全聯(lián)邦資源，包括聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃（FedRAMP）、相關(guān)的國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）指南以及CISA可信互聯(lián)網(wǎng)連接（TIC）3.0最佳實(shí)踐案例。CISA還為其他云產(chǎn)品添加了SCuBA安全配置基線，這些產(chǎn)品將自動(dòng)納入指令的范圍。

BOD 25-01指令

BOD 25-01指令核心主要有以下幾個(gè)方面：

(1) 安全配置基線（SCB）

• 部署自動(dòng)配置評(píng)估工具：聯(lián)邦機(jī)構(gòu)必須部署CISA開(kāi)發(fā)的自動(dòng)配置評(píng)估工具，該工具能夠識(shí)別和糾正與安全配置基線（SCB）的偏差。這些基線包括Microsoft 365和其他云平臺(tái)的標(biāo)準(zhǔn)配置。
• 持續(xù)監(jiān)控和糾正：指令要求聯(lián)邦機(jī)構(gòu)將評(píng)估工具與持續(xù)監(jiān)控基礎(chǔ)設(shè)施集成，確保實(shí)時(shí)檢測(cè)和糾正任何偏離安全基線的行為。

(2) 云用戶識(shí)別和保護(hù)

• 確定云用戶：聯(lián)邦機(jī)構(gòu)必須在規(guī)定時(shí)間內(nèi)識(shí)別其環(huán)境中的所有生產(chǎn)或操作云用戶，并確保每個(gè)用戶都有明確的安全策略。
• 實(shí)施強(qiáng)制性SCB政策：對(duì)于每個(gè)云用戶，聯(lián)邦機(jī)構(gòu)必須實(shí)施CISA推薦的強(qiáng)制性安全配置基線政策，并定期更新這些政策以應(yīng)對(duì)新的威脅和漏洞。
• 持續(xù)監(jiān)控新用戶：聯(lián)邦機(jī)構(gòu)需要持續(xù)監(jiān)控新的云用戶，確保它們?cè)诩尤氕h(huán)境時(shí)立即獲得適當(dāng)?shù)陌踩Ｗo(hù)。

(3) 錯(cuò)誤配置和薄弱安全控制的防范

• 錯(cuò)誤配置管理：指令強(qiáng)調(diào)錯(cuò)誤配置和薄弱的安全控制可能給攻擊者提供未授權(quán)訪問(wèn)、數(shù)據(jù)竊取或破壞服務(wù)的機(jī)會(huì)，因此必須采取相應(yīng)措施進(jìn)行防范。
• 定期安全審計(jì)：聯(lián)邦機(jī)構(gòu)必須定期進(jìn)行安全審計(jì)，以識(shí)別和修復(fù)潛在的安全漏洞，確保其云環(huán)境的整體安全性。

參考來(lái)源：https://www.infosecurity-magazine.com/news/cloud-security-federal-agencies/