《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 玩美國主機的注意了!

玩美國主機的注意了!

2021-09-28
來源:紅數(shù)位
關(guān)鍵詞: 主機 惡意網(wǎng)絡(luò)

  美國商務(wù)部正在征求要求云計算提供商驗證某些用戶的身份,這個前總統(tǒng)特朗普時期對管理網(wǎng)絡(luò)安全行政命令的公共投入。官員們說,行政命令的目標(biāo)是鏟除在國外經(jīng)營并利用美國技術(shù)的惡意網(wǎng)絡(luò)行為者。

  13984號行政命令于1月19日由即將離任的總統(tǒng)特朗普在最后一刻簽署,以及其他關(guān)注國家安全的任務(wù)。雖然現(xiàn)任總統(tǒng)喬拜登已經(jīng)推翻了特朗普時代的幾項行動,但拜登政府正在尋求對13984號行政命令的評論,以制定圍繞基礎(chǔ)設(shè)施即服務(wù)(稱為IaaS)或允許企業(yè)運行軟件的云托管基礎(chǔ)設(shè)施的監(jiān)管政策并將數(shù)據(jù)存儲在服務(wù)器上,而無需負(fù)責(zé)維護(hù)和運營成本。

  該命令還概述了云服務(wù)經(jīng)銷商的作用,并跟蹤了過去12個月內(nèi)發(fā)生的幾起備受矚目的網(wǎng)絡(luò)事件。其中包括SolarWinds攻擊,被懷疑是由俄羅斯政府支持的一個組織實施的,其中全球約100個組織以及幾個美國政府機構(gòu)遭到破壞。在某種程度上,網(wǎng)絡(luò)犯罪分子對Microsoft云服務(wù)發(fā)起了供應(yīng)鏈攻擊。

  正在進(jìn)行的網(wǎng)絡(luò)工作

  對擬議規(guī)則制定的評論將于9月24日在聯(lián)邦公報上公布后的30天內(nèi)提交。這是拜登政府保護(hù)聯(lián)邦網(wǎng)絡(luò),尤其是軟件供應(yīng)鏈的努力的一部分。

  5月,拜登發(fā)布了一項關(guān)于網(wǎng)絡(luò)安全的行政命令,要求行政部門機構(gòu)部署多因素身份驗證、端點檢測和響應(yīng)以及加密。它還呼吁采用“零信任”架構(gòu)和更安全的云服務(wù)。政府官員表示,目標(biāo)是對政府的IT基礎(chǔ)設(shè)施進(jìn)行現(xiàn)代化改造,同時制定標(biāo)準(zhǔn)以最大限度地減少網(wǎng)絡(luò)攻擊造成的損害。

  “在EO13984中,總統(tǒng)決定必須采取額外措施來解決與重大惡意網(wǎng)絡(luò)活動相關(guān)的國家緊急情況”通知指出;它由商務(wù)部負(fù)責(zé)情報和安全的副助理部長Trisha B. Anderson撰寫?!癧命令]解決了外國惡意網(wǎng)絡(luò)行為者使用美國云基礎(chǔ)設(shè)施進(jìn)行惡意網(wǎng)絡(luò)活動所構(gòu)成的威脅,包括盜竊敏感數(shù)據(jù)和知識產(chǎn)權(quán)以及以美國關(guān)鍵基礎(chǔ)設(shè)施為目標(biāo)?!?/p>

  通過執(zhí)行行動,官員必須確保提供美國IaaS產(chǎn)品的供應(yīng)商驗證獲得IaaS賬戶的人的身份并保留這些交易的記錄,以避免供應(yīng)鏈攻擊美國利益。

  官員補充說,更健全的記錄保存做法以及用戶識別和驗證標(biāo)準(zhǔn)將更好地協(xié)助調(diào)查工作。同樣,根據(jù)授權(quán),商務(wù)部長可以選擇豁免證明安全合規(guī)性的美國IaaS提供商。擬議的法規(guī)還可能使提供商能夠采取“特殊措施”,例如禁止或針對外國司法管轄區(qū)或被證明從事有害網(wǎng)絡(luò)活動的個人采取特定條件。

  公共問題

  在其他特定領(lǐng)域中,商務(wù)部尋求以下方面的意見:

  實現(xiàn)這些要求的方法;

  記錄請求與 IaaS 提供商已經(jīng)存儲的數(shù)據(jù)不同的方式;

  提供商是否具有“通過額外的非技術(shù)審查(第三方個人/實體擔(dān)保)來增強技術(shù)身份驗證(例如 2FA)的能力或能力”;

  當(dāng)前用于檢測入侵服務(wù)條款的分析類型;

  限制IaaS提供商在實施該命令時的潛在負(fù)擔(dān)的方法;

  歐盟通用數(shù)據(jù)保護(hù)條例(GDPR);加州消費者隱私法,或 CCPA;或其他數(shù)據(jù)保護(hù)和安全法規(guī)會影響提供商滿足記錄保存要求的能力;

  合規(guī)和執(zhí)行的最佳實踐;

  合規(guī)供應(yīng)商豁免指南;

  對有問題的賬戶或司法管轄區(qū)施加條件的方法;

  是否有現(xiàn)有的欺詐預(yù)防方案可以一致地發(fā)現(xiàn)用于創(chuàng)建IaaS帳戶的虛假姓名、政府文件和其他身份記錄。

  推出延遲

  在1月19日就行政命令致國會的一封信中,時任總統(tǒng)的特朗普說:“外國行為者使用 [IaaS] 來執(zhí)行惡意網(wǎng)絡(luò)活動的各種任務(wù),這使得美國官員極難在這些外國行為者過渡到替代基礎(chǔ)設(shè)施并銷毀其先前活動的證據(jù)之前,通過法律程序跟蹤和獲取信息?!?/p>

  1月20日,新任白宮辦公廳主任Ron Klain發(fā)布了一份備忘錄,指示各機構(gòu)凍結(jié)或推遲實施特朗普政府下懸而未決的監(jiān)管行動。這意味著13984號行政命令的推出可能會延遲。

  “重大影響?”

  根據(jù)Baker McKenzie公司的律師的說法,最初的行政命令“引起了人們對實施保障措施以減少惡意外國行為者在美國使用IaaS產(chǎn)品和服務(wù)的重要擔(dān)憂?!?/p>

  在一篇博客文章中,他們繼續(xù)說道:“鑒于IaaS產(chǎn)品的廣泛定義,擬議法規(guī)中將涉及的標(biāo)準(zhǔn)可能會對在美國運營的許多企業(yè)產(chǎn)生重大影響。”

  律師指出,“[正如所寫的] EO13984沒有解決可能提出的關(guān)于可以采取哪些措施來尊重個人隱私權(quán)的任何擔(dān)憂,也沒有解決可以采取哪些措施來最大限度地減少要求公司存儲和維護(hù)某些類別的敏感個人數(shù)據(jù)的潛在額外責(zé)任。”

  在其最新通知和評論請求中,美國商務(wù)部似乎正在解決這些隱私和/或管轄權(quán)問題。

  小編理解就是一句話:玩美主機的注意了。




本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。