玩美国主机的注意了!
2021-09-28
来源:红数位
美国商务部正在征求要求云计算提供商验证某些用户的身份,这个前总统特朗普时期对管理网络安全行政命令的公共投入。官员们说,行政命令的目标是铲除在国外经营并利用美国技术的恶意网络行为者。
13984号行政命令于1月19日由即将离任的总统特朗普在最后一刻签署,以及其他关注国家安全的任务。虽然现任总统乔拜登已经推翻了特朗普时代的几项行动,但拜登政府正在寻求对13984号行政命令的评论,以制定围绕基础设施即服务(称为IaaS)或允许企业运行软件的云托管基础设施的监管政策并将数据存储在服务器上,而无需负责维护和运营成本。
该命令还概述了云服务经销商的作用,并跟踪了过去12个月内发生的几起备受瞩目的网络事件。其中包括SolarWinds攻击,被怀疑是由俄罗斯政府支持的一个组织实施的,其中全球约100个组织以及几个美国政府机构遭到破坏。在某种程度上,网络犯罪分子对Microsoft云服务发起了供应链攻击。
正在进行的网络工作
对拟议规则制定的评论将于9月24日在联邦公报上公布后的30天内提交。这是拜登政府保护联邦网络,尤其是软件供应链的努力的一部分。
5月,拜登发布了一项关于网络安全的行政命令,要求行政部门机构部署多因素身份验证、端点检测和响应以及加密。它还呼吁采用“零信任”架构和更安全的云服务。政府官员表示,目标是对政府的IT基础设施进行现代化改造,同时制定标准以最大限度地减少网络攻击造成的损害。
“在EO13984中,总统决定必须采取额外措施来解决与重大恶意网络活动相关的国家紧急情况”通知指出;它由商务部负责情报和安全的副助理部长Trisha B. Anderson撰写。“[命令]解决了外国恶意网络行为者使用美国云基础设施进行恶意网络活动所构成的威胁,包括盗窃敏感数据和知识产权以及以美国关键基础设施为目标。”
通过执行行动,官员必须确保提供美国IaaS产品的供应商验证获得IaaS账户的人的身份并保留这些交易的记录,以避免供应链攻击美国利益。
官员补充说,更健全的记录保存做法以及用户识别和验证标准将更好地协助调查工作。同样,根据授权,商务部长可以选择豁免证明安全合规性的美国IaaS提供商。拟议的法规还可能使提供商能够采取“特殊措施”,例如禁止或针对外国司法管辖区或被证明从事有害网络活动的个人采取特定条件。
公共问题
在其他特定领域中,商务部寻求以下方面的意见:
实现这些要求的方法;
记录请求与 IaaS 提供商已经存储的数据不同的方式;
提供商是否具有“通过额外的非技术审查(第三方个人/实体担保)来增强技术身份验证(例如 2FA)的能力或能力”;
当前用于检测入侵服务条款的分析类型;
限制IaaS提供商在实施该命令时的潜在负担的方法;
欧盟通用数据保护条例(GDPR);加州消费者隐私法,或 CCPA;或其他数据保护和安全法规会影响提供商满足记录保存要求的能力;
合规和执行的最佳实践;
合规供应商豁免指南;
对有问题的账户或司法管辖区施加条件的方法;
是否有现有的欺诈预防方案可以一致地发现用于创建IaaS帐户的虚假姓名、政府文件和其他身份记录。
推出延迟
在1月19日就行政命令致国会的一封信中,时任总统的特朗普说:“外国行为者使用 [IaaS] 来执行恶意网络活动的各种任务,这使得美国官员极难在这些外国行为者过渡到替代基础设施并销毁其先前活动的证据之前,通过法律程序跟踪和获取信息。”
1月20日,新任白宫办公厅主任Ron Klain发布了一份备忘录,指示各机构冻结或推迟实施特朗普政府下悬而未决的监管行动。这意味着13984号行政命令的推出可能会延迟。
“重大影响?”
根据Baker McKenzie公司的律师的说法,最初的行政命令“引起了人们对实施保障措施以减少恶意外国行为者在美国使用IaaS产品和服务的重要担忧。”
在一篇博客文章中,他们继续说道:“鉴于IaaS产品的广泛定义,拟议法规中将涉及的标准可能会对在美国运营的许多企业产生重大影响。”
律师指出,“[正如所写的] EO13984没有解决可能提出的关于可以采取哪些措施来尊重个人隐私权的任何担忧,也没有解决可以采取哪些措施来最大限度地减少要求公司存储和维护某些类别的敏感个人数据的潜在额外责任。”
在其最新通知和评论请求中,美国商务部似乎正在解决这些隐私和/或管辖权问题。
小编理解就是一句话:玩美主机的注意了。