美國商務部正在征求要求云計算提供商驗證某些用戶的身份,這個前總統(tǒng)特朗普時期對管理網(wǎng)絡安全行政命令的公共投入。官員們說,行政命令的目標是鏟除在國外經(jīng)營并利用美國技術的惡意網(wǎng)絡行為者。
13984號行政命令于1月19日由即將離任的總統(tǒng)特朗普在最后一刻簽署,以及其他關注國家安全的任務。雖然現(xiàn)任總統(tǒng)喬拜登已經(jīng)推翻了特朗普時代的幾項行動,但拜登政府正在尋求對13984號行政命令的評論,以制定圍繞基礎設施即服務(稱為IaaS)或允許企業(yè)運行軟件的云托管基礎設施的監(jiān)管政策并將數(shù)據(jù)存儲在服務器上,而無需負責維護和運營成本。
該命令還概述了云服務經(jīng)銷商的作用,并跟蹤了過去12個月內(nèi)發(fā)生的幾起備受矚目的網(wǎng)絡事件。其中包括SolarWinds攻擊,被懷疑是由俄羅斯政府支持的一個組織實施的,其中全球約100個組織以及幾個美國政府機構遭到破壞。在某種程度上,網(wǎng)絡犯罪分子對Microsoft云服務發(fā)起了供應鏈攻擊。
正在進行的網(wǎng)絡工作
對擬議規(guī)則制定的評論將于9月24日在聯(lián)邦公報上公布后的30天內(nèi)提交。這是拜登政府保護聯(lián)邦網(wǎng)絡,尤其是軟件供應鏈的努力的一部分。
5月,拜登發(fā)布了一項關于網(wǎng)絡安全的行政命令,要求行政部門機構部署多因素身份驗證、端點檢測和響應以及加密。它還呼吁采用“零信任”架構和更安全的云服務。政府官員表示,目標是對政府的IT基礎設施進行現(xiàn)代化改造,同時制定標準以最大限度地減少網(wǎng)絡攻擊造成的損害。
“在EO13984中,總統(tǒng)決定必須采取額外措施來解決與重大惡意網(wǎng)絡活動相關的國家緊急情況”通知指出;它由商務部負責情報和安全的副助理部長Trisha B. Anderson撰寫。“[命令]解決了外國惡意網(wǎng)絡行為者使用美國云基礎設施進行惡意網(wǎng)絡活動所構成的威脅,包括盜竊敏感數(shù)據(jù)和知識產(chǎn)權以及以美國關鍵基礎設施為目標?!?/p>
通過執(zhí)行行動,官員必須確保提供美國IaaS產(chǎn)品的供應商驗證獲得IaaS賬戶的人的身份并保留這些交易的記錄,以避免供應鏈攻擊美國利益。
官員補充說,更健全的記錄保存做法以及用戶識別和驗證標準將更好地協(xié)助調(diào)查工作。同樣,根據(jù)授權,商務部長可以選擇豁免證明安全合規(guī)性的美國IaaS提供商。擬議的法規(guī)還可能使提供商能夠采取“特殊措施”,例如禁止或針對外國司法管轄區(qū)或被證明從事有害網(wǎng)絡活動的個人采取特定條件。
公共問題
在其他特定領域中,商務部尋求以下方面的意見:
實現(xiàn)這些要求的方法;
記錄請求與 IaaS 提供商已經(jīng)存儲的數(shù)據(jù)不同的方式;
提供商是否具有“通過額外的非技術審查(第三方個人/實體擔保)來增強技術身份驗證(例如 2FA)的能力或能力”;
當前用于檢測入侵服務條款的分析類型;
限制IaaS提供商在實施該命令時的潛在負擔的方法;
歐盟通用數(shù)據(jù)保護條例(GDPR);加州消費者隱私法,或 CCPA;或其他數(shù)據(jù)保護和安全法規(guī)會影響提供商滿足記錄保存要求的能力;
合規(guī)和執(zhí)行的最佳實踐;
合規(guī)供應商豁免指南;
對有問題的賬戶或司法管轄區(qū)施加條件的方法;
是否有現(xiàn)有的欺詐預防方案可以一致地發(fā)現(xiàn)用于創(chuàng)建IaaS帳戶的虛假姓名、政府文件和其他身份記錄。
推出延遲
在1月19日就行政命令致國會的一封信中,時任總統(tǒng)的特朗普說:“外國行為者使用 [IaaS] 來執(zhí)行惡意網(wǎng)絡活動的各種任務,這使得美國官員極難在這些外國行為者過渡到替代基礎設施并銷毀其先前活動的證據(jù)之前,通過法律程序跟蹤和獲取信息?!?/p>
1月20日,新任白宮辦公廳主任Ron Klain發(fā)布了一份備忘錄,指示各機構凍結(jié)或推遲實施特朗普政府下懸而未決的監(jiān)管行動。這意味著13984號行政命令的推出可能會延遲。
“重大影響?”
根據(jù)Baker McKenzie公司的律師的說法,最初的行政命令“引起了人們對實施保障措施以減少惡意外國行為者在美國使用IaaS產(chǎn)品和服務的重要擔憂?!?/p>
在一篇博客文章中,他們繼續(xù)說道:“鑒于IaaS產(chǎn)品的廣泛定義,擬議法規(guī)中將涉及的標準可能會對在美國運營的許多企業(yè)產(chǎn)生重大影響。”
律師指出,“[正如所寫的] EO13984沒有解決可能提出的關于可以采取哪些措施來尊重個人隱私權的任何擔憂,也沒有解決可以采取哪些措施來最大限度地減少要求公司存儲和維護某些類別的敏感個人數(shù)據(jù)的潛在額外責任?!?/p>
在其最新通知和評論請求中,美國商務部似乎正在解決這些隱私和/或管轄權問題。
小編理解就是一句話:玩美主機的注意了。