美國(guó)商務(wù)部正在征求要求云計(jì)算提供商驗(yàn)證某些用戶的身份，這個(gè)前總統(tǒng)特朗普時(shí)期對(duì)管理網(wǎng)絡(luò)安全行政命令的公共投入。官員們說，行政命令的目標(biāo)是鏟除在國(guó)外經(jīng)營(yíng)并利用美國(guó)技術(shù)的惡意網(wǎng)絡(luò)行為者。

　　13984號(hào)行政命令于1月19日由即將離任的總統(tǒng)特朗普在最后一刻簽署，以及其他關(guān)注國(guó)家安全的任務(wù)。雖然現(xiàn)任總統(tǒng)喬拜登已經(jīng)推翻了特朗普時(shí)代的幾項(xiàng)行動(dòng)，但拜登政府正在尋求對(duì)13984號(hào)行政命令的評(píng)論，以制定圍繞基礎(chǔ)設(shè)施即服務(wù)（稱為IaaS）或允許企業(yè)運(yùn)行軟件的云托管基礎(chǔ)設(shè)施的監(jiān)管政策并將數(shù)據(jù)存儲(chǔ)在服務(wù)器上，而無需負(fù)責(zé)維護(hù)和運(yùn)營(yíng)成本。

　　該命令還概述了云服務(wù)經(jīng)銷商的作用，并跟蹤了過去12個(gè)月內(nèi)發(fā)生的幾起備受矚目的網(wǎng)絡(luò)事件。其中包括SolarWinds攻擊，被懷疑是由俄羅斯政府支持的一個(gè)組織實(shí)施的，其中全球約100個(gè)組織以及幾個(gè)美國(guó)政府機(jī)構(gòu)遭到破壞。在某種程度上，網(wǎng)絡(luò)犯罪分子對(duì)Microsoft云服務(wù)發(fā)起了供應(yīng)鏈攻擊。

　　正在進(jìn)行的網(wǎng)絡(luò)工作

　　對(duì)擬議規(guī)則制定的評(píng)論將于9月24日在聯(lián)邦公報(bào)上公布后的30天內(nèi)提交。這是拜登政府保護(hù)聯(lián)邦網(wǎng)絡(luò)，尤其是軟件供應(yīng)鏈的努力的一部分。

　　5月，拜登發(fā)布了一項(xiàng)關(guān)于網(wǎng)絡(luò)安全的行政命令，要求行政部門機(jī)構(gòu)部署多因素身份驗(yàn)證、端點(diǎn)檢測(cè)和響應(yīng)以及加密。它還呼吁采用“零信任”架構(gòu)和更安全的云服務(wù)。政府官員表示，目標(biāo)是對(duì)政府的IT基礎(chǔ)設(shè)施進(jìn)行現(xiàn)代化改造，同時(shí)制定標(biāo)準(zhǔn)以最大限度地減少網(wǎng)絡(luò)攻擊造成的損害。

　　“在EO13984中，總統(tǒng)決定必須采取額外措施來解決與重大惡意網(wǎng)絡(luò)活動(dòng)相關(guān)的國(guó)家緊急情況”通知指出；它由商務(wù)部負(fù)責(zé)情報(bào)和安全的副助理部長(zhǎng)Trisha B. Anderson撰寫。“[命令]解決了外國(guó)惡意網(wǎng)絡(luò)行為者使用美國(guó)云基礎(chǔ)設(shè)施進(jìn)行惡意網(wǎng)絡(luò)活動(dòng)所構(gòu)成的威脅，包括盜竊敏感數(shù)據(jù)和知識(shí)產(chǎn)權(quán)以及以美國(guó)關(guān)鍵基礎(chǔ)設(shè)施為目標(biāo)?！?/p>

　　通過執(zhí)行行動(dòng)，官員必須確保提供美國(guó)IaaS產(chǎn)品的供應(yīng)商驗(yàn)證獲得IaaS賬戶的人的身份并保留這些交易的記錄，以避免供應(yīng)鏈攻擊美國(guó)利益。

　　官員補(bǔ)充說，更健全的記錄保存做法以及用戶識(shí)別和驗(yàn)證標(biāo)準(zhǔn)將更好地協(xié)助調(diào)查工作。同樣，根據(jù)授權(quán)，商務(wù)部長(zhǎng)可以選擇豁免證明安全合規(guī)性的美國(guó)IaaS提供商。擬議的法規(guī)還可能使提供商能夠采取“特殊措施”，例如禁止或針對(duì)外國(guó)司法管轄區(qū)或被證明從事有害網(wǎng)絡(luò)活動(dòng)的個(gè)人采取特定條件。

　　公共問題

　　在其他特定領(lǐng)域中，商務(wù)部尋求以下方面的意見：

　　實(shí)現(xiàn)這些要求的方法；

　　記錄請(qǐng)求與 IaaS 提供商已經(jīng)存儲(chǔ)的數(shù)據(jù)不同的方式；

　　提供商是否具有“通過額外的非技術(shù)審查（第三方個(gè)人/實(shí)體擔(dān)保）來增強(qiáng)技術(shù)身份驗(yàn)證（例如 2FA）的能力或能力”；

　　當(dāng)前用于檢測(cè)入侵服務(wù)條款的分析類型；

　　限制IaaS提供商在實(shí)施該命令時(shí)的潛在負(fù)擔(dān)的方法；

　　歐盟通用數(shù)據(jù)保護(hù)條例（GDPR）；加州消費(fèi)者隱私法，或 CCPA；或其他數(shù)據(jù)保護(hù)和安全法規(guī)會(huì)影響提供商滿足記錄保存要求的能力；

　　合規(guī)和執(zhí)行的最佳實(shí)踐；

　　合規(guī)供應(yīng)商豁免指南；

　　對(duì)有問題的賬戶或司法管轄區(qū)施加條件的方法；

　　是否有現(xiàn)有的欺詐預(yù)防方案可以一致地發(fā)現(xiàn)用于創(chuàng)建IaaS帳戶的虛假姓名、政府文件和其他身份記錄。

　　推出延遲

　　在1月19日就行政命令致國(guó)會(huì)的一封信中，時(shí)任總統(tǒng)的特朗普說：“外國(guó)行為者使用 [IaaS] 來執(zhí)行惡意網(wǎng)絡(luò)活動(dòng)的各種任務(wù)，這使得美國(guó)官員極難在這些外國(guó)行為者過渡到替代基礎(chǔ)設(shè)施并銷毀其先前活動(dòng)的證據(jù)之前，通過法律程序跟蹤和獲取信息?！?/p>

　　1月20日，新任白宮辦公廳主任Ron Klain發(fā)布了一份備忘錄，指示各機(jī)構(gòu)凍結(jié)或推遲實(shí)施特朗普政府下懸而未決的監(jiān)管行動(dòng)。這意味著13984號(hào)行政命令的推出可能會(huì)延遲。

　　“重大影響？”

　　根據(jù)Baker McKenzie公司的律師的說法，最初的行政命令“引起了人們對(duì)實(shí)施保障措施以減少惡意外國(guó)行為者在美國(guó)使用IaaS產(chǎn)品和服務(wù)的重要擔(dān)憂?！?/p>

　　在一篇博客文章中，他們繼續(xù)說道：“鑒于IaaS產(chǎn)品的廣泛定義，擬議法規(guī)中將涉及的標(biāo)準(zhǔn)可能會(huì)對(duì)在美國(guó)運(yùn)營(yíng)的許多企業(yè)產(chǎn)生重大影響?！?/p>

　　律師指出，“[正如所寫的] EO13984沒有解決可能提出的關(guān)于可以采取哪些措施來尊重個(gè)人隱私權(quán)的任何擔(dān)憂，也沒有解決可以采取哪些措施來最大限度地減少要求公司存儲(chǔ)和維護(hù)某些類別的敏感個(gè)人數(shù)據(jù)的潛在額外責(zé)任?！?/p>

　　在其最新通知和評(píng)論請(qǐng)求中，美國(guó)商務(wù)部似乎正在解決這些隱私和/或管轄權(quán)問題。

　　小編理解就是一句話：玩美主機(jī)的注意了。