数据观澜网络安全
快捷导航
您的位置:首页>电脑教程>>CISA 发布新的云安全要求 >

CISA 发布新的云安全要求

  发布时间:2025-12-07 20:31:09   作者:玩站小弟   我要评论
12月17日,CISA 发布了今年第一部具有约束力的操作指令《绑定操作指令25-01:实施云服务安全实践》BOD 25-01指令 ),要求美国联邦民事机构实施一系列必需的安全配置基线SCB)以保护其云 。

12月17日,发布CISA 发布了今年第一部具有约束力的云安操作指令《绑定操作指令25-01 :实施云服务安全实践》(BOD 25-01指令 ) ,要求美国联邦民事机构实施一系列必需的全求安全配置基线(SCB)以保护其云环境  。BOD 25-01指令旨在通过强制云服务实施安全措施来减少美国联邦网络的发布攻击面,要求美国联邦机构部署CISA开发的云安自动配置评估工具,与持续监控基础设施集成,全求并纠正与安全配置基线的发布任何偏差 。

CISA表示 “在动态的云安网络安全环境中,高防服务器维护安全配置基线至关重要,全求其中供应商变更、发布软件更新和不断发展的云安安全最佳实践构成了威胁环境 。由于供应商经常发布新更新和补丁以解决漏洞  ,全求安全配置也必须进行调整。发布”

根据BOD 25-01 指令,云安联邦机构和部门必须采取的全求关键行动包括:

在2025年2月21日前,识别并提供指令范围内所有用户的名称及其系统所属机构/组件在4月25日前 ,所有适用范围内的用户部署SCuBA评估工具,免费模板并开始向CISA持续报告在6月20日前 ,实施所有由绑定操作指令25-01所规定的SCuBA强制政策根据“所需配置”网站上规定的时间表,实施所有SCuBA强制政策更新在授权操作前,实施所有SCuBA强制性安全配置基线  ,并开始对新的用户持续监控报告给CISA时 ,识别并解释SCuBA评估工具输出中的偏差

CISA将提供关于如何满足这些要求的支持 ,并向国土安全部长 、管理和预算办公室(OMB)主任和国家网络主任提供机构进展情况的服务器租用状态报告。该指令补充了现有的云安全联邦资源,包括联邦风险和授权管理计划(FedRAMP)、相关的国家标准与技术研究所(NIST)指南以及CISA可信互联网连接(TIC)3.0最佳实践案例。CISA还为其他云产品添加了SCuBA安全配置基线 ,这些产品将自动纳入指令的范围 。

BOD 25-01指令

BOD 25-01指令核心主要有以下几个方面 :

(1) 安全配置基线(SCB)

部署自动配置评估工具 :联邦机构必须部署CISA开发的自动配置评估工具 ,该工具能够识别和纠正与安全配置基线(SCB)的偏差。亿华云这些基线包括Microsoft 365和其他云平台的标准配置。持续监控和纠正 :指令要求联邦机构将评估工具与持续监控基础设施集成,确保实时检测和纠正任何偏离安全基线的行为 。

(2) 云用户识别和保护

确定云用户:联邦机构必须在规定时间内识别其环境中的所有生产或操作云用户 ,并确保每个用户都有明确的安全策略。实施强制性SCB政策:对于每个云用户 ,联邦机构必须实施CISA推荐的强制性安全配置基线政策,并定期更新这些政策以应对新的模板下载威胁和漏洞。持续监控新用户 :联邦机构需要持续监控新的云用户 ,确保它们在加入环境时立即获得适当的安全保护 。

(3) 错误配置和薄弱安全控制的防范

错误配置管理 :指令强调错误配置和薄弱的安全控制可能给攻击者提供未授权访问、数据窃取或破坏服务的机会,因此必须采取相应措施进行防范。定期安全审计:联邦机构必须定期进行安全审计 ,以识别和修复潜在的源码下载安全漏洞 ,确保其云环境的整体安全性。

参考来源 :https://www.infosecurity-magazine.com/news/cloud-security-federal-agencies/

  • Tag:

相关文章

  • 工信部通报55款存在侵害用户权益行为的APP(SDK)

    2023年3月21日,工业和信息化部信息通信管理局正式通报了2023年第2批总第28批)55款存在侵害用户权益行为的APP。通告指出:工业和信息化部高度重视用户权益保护工作,依据《个人信息保护法》《网
    2025-12-07

  • 构建韧性网络,瑞数信息DDR为企业网络安全保驾护航

    “数字化时代,需要打造韧性网络,夯实数字底座,支撑经济社会的可持续高质量发展。”中国工程院院士邬贺铨曾如是说。那什么是“韧性网络”呢?这其实指网络数字系统具备抵御、吸收、适应破坏性事件并快速止损恢复的
    2025-12-07

  • 超越漏洞管理:CVE 体系面临哪些挑战?

    漏洞管理的困境漏洞管理的被动性叠加政策流程的延迟,使安全团队不堪重负。根据我们漏洞运营中心VOC)的数据分析,在68,500个客户资产中发现了1,337,797个独立安全事件,其中32,585个为不同
    2025-12-07

  • 从DeepSeek安全问题看HTTP代理攻击

    奇安信XLab实验室监测发现,对DeepSeek的攻击出现大量的HTTP代理攻击方式。HTTP代理攻击是一种基于应用层的攻击方式,攻击者利用代理服务器作为跳板,对目标服务器发起大量的HTTP请求。这种
    2025-12-07

  • 不要轻信YouTube上关于盗版软件的视频 否则你可能会被黑

    上个月,FortiGuard Labs 发现了一项针对寻找盗版软件的 YouTube 观众进行的正在进行的威胁活动。这些视频是由拥有大量订阅量的验证 YouTube 频道上传的,广告下载“破解”(即盗
    2025-12-07

  • SolarWinds Web Help Desk 漏洞攻击者可访问存储的密码,PoC 已发布

    SolarWinds 的 Web Help Desk 软件中存在一个严重漏洞CVE-2024-28989),攻击者可以通过其 AES-GCM 实现中的加密弱点解密敏感凭据,包括数据库密码和 LDAP/
    2025-12-07

最新评论