美國商務(wù)部正在征求要求云計(jì)算提供商驗(yàn)證某些用戶的身份,這個(gè)前總統(tǒng)特朗普時(shí)期對(duì)管理網(wǎng)絡(luò)安全行政命令的公共投入。官員們說,行政命令的目標(biāo)是鏟除在國外經(jīng)營并利用美國技術(shù)的惡意網(wǎng)絡(luò)行為者。
13984號(hào)行政命令于1月19日由即將離任的總統(tǒng)特朗普在最后一刻簽署,以及其他關(guān)注國家安全的任務(wù)。雖然現(xiàn)任總統(tǒng)喬拜登已經(jīng)推翻了特朗普時(shí)代的幾項(xiàng)行動(dòng),但拜登政府正在尋求對(duì)13984號(hào)行政命令的評(píng)論,以制定圍繞基礎(chǔ)設(shè)施即服務(wù)(稱為IaaS)或允許企業(yè)運(yùn)行軟件的云托管基礎(chǔ)設(shè)施的監(jiān)管政策并將數(shù)據(jù)存儲(chǔ)在服務(wù)器上,而無需負(fù)責(zé)維護(hù)和運(yùn)營成本。
該命令還概述了云服務(wù)經(jīng)銷商的作用,并跟蹤了過去12個(gè)月內(nèi)發(fā)生的幾起備受矚目的網(wǎng)絡(luò)事件。其中包括SolarWinds攻擊,被懷疑是由俄羅斯政府支持的一個(gè)組織實(shí)施的,其中全球約100個(gè)組織以及幾個(gè)美國政府機(jī)構(gòu)遭到破壞。在某種程度上,網(wǎng)絡(luò)犯罪分子對(duì)Microsoft云服務(wù)發(fā)起了供應(yīng)鏈攻擊。
正在進(jìn)行的網(wǎng)絡(luò)工作
對(duì)擬議規(guī)則制定的評(píng)論將于9月24日在聯(lián)邦公報(bào)上公布后的30天內(nèi)提交。這是拜登政府保護(hù)聯(lián)邦網(wǎng)絡(luò),尤其是軟件供應(yīng)鏈的努力的一部分。
5月,拜登發(fā)布了一項(xiàng)關(guān)于網(wǎng)絡(luò)安全的行政命令,要求行政部門機(jī)構(gòu)部署多因素身份驗(yàn)證、端點(diǎn)檢測和響應(yīng)以及加密。它還呼吁采用“零信任”架構(gòu)和更安全的云服務(wù)。政府官員表示,目標(biāo)是對(duì)政府的IT基礎(chǔ)設(shè)施進(jìn)行現(xiàn)代化改造,同時(shí)制定標(biāo)準(zhǔn)以最大限度地減少網(wǎng)絡(luò)攻擊造成的損害。
“在EO13984中,總統(tǒng)決定必須采取額外措施來解決與重大惡意網(wǎng)絡(luò)活動(dòng)相關(guān)的國家緊急情況”通知指出;它由商務(wù)部負(fù)責(zé)情報(bào)和安全的副助理部長Trisha B. Anderson撰寫?!癧命令]解決了外國惡意網(wǎng)絡(luò)行為者使用美國云基礎(chǔ)設(shè)施進(jìn)行惡意網(wǎng)絡(luò)活動(dòng)所構(gòu)成的威脅,包括盜竊敏感數(shù)據(jù)和知識(shí)產(chǎn)權(quán)以及以美國關(guān)鍵基礎(chǔ)設(shè)施為目標(biāo)?!?/p>
通過執(zhí)行行動(dòng),官員必須確保提供美國IaaS產(chǎn)品的供應(yīng)商驗(yàn)證獲得IaaS賬戶的人的身份并保留這些交易的記錄,以避免供應(yīng)鏈攻擊美國利益。
官員補(bǔ)充說,更健全的記錄保存做法以及用戶識(shí)別和驗(yàn)證標(biāo)準(zhǔn)將更好地協(xié)助調(diào)查工作。同樣,根據(jù)授權(quán),商務(wù)部長可以選擇豁免證明安全合規(guī)性的美國IaaS提供商。擬議的法規(guī)還可能使提供商能夠采取“特殊措施”,例如禁止或針對(duì)外國司法管轄區(qū)或被證明從事有害網(wǎng)絡(luò)活動(dòng)的個(gè)人采取特定條件。
公共問題
在其他特定領(lǐng)域中,商務(wù)部尋求以下方面的意見:
實(shí)現(xiàn)這些要求的方法;
記錄請求與 IaaS 提供商已經(jīng)存儲(chǔ)的數(shù)據(jù)不同的方式;
提供商是否具有“通過額外的非技術(shù)審查(第三方個(gè)人/實(shí)體擔(dān)保)來增強(qiáng)技術(shù)身份驗(yàn)證(例如 2FA)的能力或能力”;
當(dāng)前用于檢測入侵服務(wù)條款的分析類型;
限制IaaS提供商在實(shí)施該命令時(shí)的潛在負(fù)擔(dān)的方法;
歐盟通用數(shù)據(jù)保護(hù)條例(GDPR);加州消費(fèi)者隱私法,或 CCPA;或其他數(shù)據(jù)保護(hù)和安全法規(guī)會(huì)影響提供商滿足記錄保存要求的能力;
合規(guī)和執(zhí)行的最佳實(shí)踐;
合規(guī)供應(yīng)商豁免指南;
對(duì)有問題的賬戶或司法管轄區(qū)施加條件的方法;
是否有現(xiàn)有的欺詐預(yù)防方案可以一致地發(fā)現(xiàn)用于創(chuàng)建IaaS帳戶的虛假姓名、政府文件和其他身份記錄。
推出延遲
在1月19日就行政命令致國會(huì)的一封信中,時(shí)任總統(tǒng)的特朗普說:“外國行為者使用 [IaaS] 來執(zhí)行惡意網(wǎng)絡(luò)活動(dòng)的各種任務(wù),這使得美國官員極難在這些外國行為者過渡到替代基礎(chǔ)設(shè)施并銷毀其先前活動(dòng)的證據(jù)之前,通過法律程序跟蹤和獲取信息?!?/p>
1月20日,新任白宮辦公廳主任Ron Klain發(fā)布了一份備忘錄,指示各機(jī)構(gòu)凍結(jié)或推遲實(shí)施特朗普政府下懸而未決的監(jiān)管行動(dòng)。這意味著13984號(hào)行政命令的推出可能會(huì)延遲。
“重大影響?”
根據(jù)Baker McKenzie公司的律師的說法,最初的行政命令“引起了人們對(duì)實(shí)施保障措施以減少惡意外國行為者在美國使用IaaS產(chǎn)品和服務(wù)的重要擔(dān)憂?!?/p>
在一篇博客文章中,他們繼續(xù)說道:“鑒于IaaS產(chǎn)品的廣泛定義,擬議法規(guī)中將涉及的標(biāo)準(zhǔn)可能會(huì)對(duì)在美國運(yùn)營的許多企業(yè)產(chǎn)生重大影響?!?/p>
律師指出,“[正如所寫的] EO13984沒有解決可能提出的關(guān)于可以采取哪些措施來尊重個(gè)人隱私權(quán)的任何擔(dān)憂,也沒有解決可以采取哪些措施來最大限度地減少要求公司存儲(chǔ)和維護(hù)某些類別的敏感個(gè)人數(shù)據(jù)的潛在額外責(zé)任?!?/p>
在其最新通知和評(píng)論請求中,美國商務(wù)部似乎正在解決這些隱私和/或管轄權(quán)問題。
小編理解就是一句話:玩美主機(jī)的注意了。