12月17日，CISA 發布了今年第一部具有約束力的操作指令《綁定操作指令25-01：實施云服務安全實踐》（BOD 25-01指令 ），要求美國聯邦民事機構實施一系列必需的安全配置基線（SCB）以保護其云環境。BOD 25-01指令旨在通過強制云服務實施安全措施來減少美國聯邦網絡的攻擊面，要求美國聯邦機構部署CISA開發的自動配置評估工具，與持續監控基礎設施集成，并糾正與安全配置基線的任何偏差。

CISA表示 “在動態的網絡安全環境中，維護安全配置基線至關重要，其中供應商變更、軟件更新和不斷發展的安全最佳實踐構成了威脅環境。由于供應商經常發布新更新和補丁以解決漏洞，安全配置也必須進行調整。”

根據BOD 25-01 指令，聯邦機構和部門必須采取的關鍵行動包括：

• 在2025年2月21日前，識別并提供指令范圍內所有用戶的名稱及其系統所屬機構/組件
• 在4月25日前，所有適用范圍內的用戶部署SCuBA評估工具，并開始向CISA持續報告
• 在6月20日前，實施所有由綁定操作指令25-01所規定的SCuBA強制政策
• 根據“所需配置”網站上規定的時間表，實施所有SCuBA強制政策更新
• 在授權操作前，實施所有SCuBA強制性安全配置基線，并開始對新的用戶持續監控
• 報告給CISA時，識別并解釋SCuBA評估工具輸出中的偏差

CISA將提供關于如何滿足這些要求的支持，并向國土安全部長、管理和預算辦公室（OMB）主任和國家網絡主任提供機構進展情況的狀態報告。該指令補充了現有的云安全聯邦資源，包括聯邦風險和授權管理計劃（FedRAMP）、相關的國家標準與技術研究所（NIST）指南以及CISA可信互聯網連接（TIC）3.0最佳實踐案例。CISA還為其他云產品添加了SCuBA安全配置基線，這些產品將自動納入指令的范圍。

BOD 25-01指令

BOD 25-01指令核心主要有以下幾個方面：

(1) 安全配置基線（SCB）

• 部署自動配置評估工具：聯邦機構必須部署CISA開發的自動配置評估工具，該工具能夠識別和糾正與安全配置基線（SCB）的偏差。這些基線包括Microsoft 365和其他云平臺的標準配置。
• 持續監控和糾正：指令要求聯邦機構將評估工具與持續監控基礎設施集成，確保實時檢測和糾正任何偏離安全基線的行為。

(2) 云用戶識別和保護

• 確定云用戶：聯邦機構必須在規定時間內識別其環境中的所有生產或操作云用戶，并確保每個用戶都有明確的安全策略。
• 實施強制性SCB政策：對于每個云用戶，聯邦機構必須實施CISA推薦的強制性安全配置基線政策，并定期更新這些政策以應對新的威脅和漏洞。
• 持續監控新用戶：聯邦機構需要持續監控新的云用戶，確保它們在加入環境時立即獲得適當的安全保護。

(3) 錯誤配置和薄弱安全控制的防范

• 錯誤配置管理：指令強調錯誤配置和薄弱的安全控制可能給攻擊者提供未授權訪問、數據竊取或破壞服務的機會，因此必須采取相應措施進行防范。
• 定期安全審計：聯邦機構必須定期進行安全審計，以識別和修復潛在的安全漏洞，確保其云環境的整體安全性。

參考來源：https://www.infosecurity-magazine.com/news/cloud-security-federal-agencies/