CISA 发布新指令以加强云环境安全

关键要点

• CISA 于 12 月 17 日发布了 BOD 25-01，指示联邦机构实施安全云实践
• 要求联邦机构识别特定云租户，并按照 CISA 的 SCuBA 安全配置基准进行操作
• 建议于 2025 年前完成所有微软云产品的相关工具部署和政策实施
• 政府指导标准有助于影响私营部门，但实施仍面临诸多挑战

CISA（网络安全与基础设施安全局）在 12 月 17 日发布了，要求联邦民用机构为 Microsoft 365 环境实施 CISA 的安全云实践。

BOD 25-01 要求各联邦机构识别特定的云租户，使用 CISA 的评估工具，并将云环境与
安全配置基准对齐。

目前，CISA 仅对 Microsoft 365 云产品完成了相关建议，预计明年将扩展到其他云工具。例如，针对 的建议预计将在 2025 年前半段发布。

根据昨日的 BOD，机构必须在 2025 年 2 月 21 日之前识别所有的微软云租户，在 2025 年 4 月 25 日之前部署所有 SCuBA评估工具，并在 2025 年 6 月 20 日之前实施所有 SCuBA 政策。这些 SCuBA 工具为以下 Microsoft 365产品提供了详细的安全建议：、Entra ID、Exchange Online、SharePoint 和
OneDrive for Business、Power BI、Power Platform 以及 Teams。

CISA 表示发布 BOD 25-01是因为近期的网络安全事件突出表明，错误配置和薄弱的安全控制在云环境中带来了重大风险。该机构指出，攻击者可以利用这些安全漏洞获得未经授权的访问、进行数据外泄或干扰服务。

目标 ：进一步减少联邦政府云网络的攻击面。

CISA 的指令强调了已知的云风险，并指出错误配置的系统使机构面临威胁，Sectigo 的高级研究员 Jason Soroko 说。Soroko还补充说，设定基线并严格执行可以减少攻击面。

尽管许多安全专家普遍认为私营公司会遵循这些重要的 CISA 指令，但 Soroko指出，对于典型的中型企业而言，实施类似的控制措施代价高昂，工具、顾问和培训都会给预算带来压力。

“这些企业通常只拥有希望维持运营的 IT 通才，而不愿仔细检查配置。”Soroko 说。

尽管政府指南通常会影响较大的私营部门公司，Soroko 表示，实施进展依然缓慢。

“许多公司由于成本和复杂性而抵制。”Soroko说。“尽管如此，明确的政府标准可以慢慢地改变行业规范，但这通常只有在强制要求那些同时向政府出售合同的供应商时才会奏效。”

IONIX 的现场首席技术官 Billy Hoffman认为这些步骤清晰合理，不仅向政府机构，还向私营企业展示了如何保障其云环境安全。霍夫曼表示，第一步是清点所有云租户及其资产，并确定所有者。

“虽然概念上简单，但由于其规模和复杂性，这个过程可能具有挑战性。”霍夫曼说。“我经常与大型公司沟通，他们发现了一些自己不知道的云账户。这可能是由于收购、影子
IT 或合作伙伴和承包商造成的。政府机构通常拥有更集中的 IT 组织，以及对预算和支出的更严格控制，因此他们的影子 IT 较少。”

CISA 的新 BOD 要求联邦机构改善支持其需求的云托管服务的 IT 卫生，Saviynt 的首席信托官 Jim Routh 表示。Routh强调，云计算中的配置管理要求