【国际视野】美国云安全工作组发布安全策略文件《云安全工作组建议路线图》

“

天极按

近日，由MITRE、云安全联盟、先进技术学术研究中心和 IT 采购咨询委员会四个非营利组织组成的云安全工作组发布了安全策略建议文件《云安全工作组建议路线图》，向国会、白宫、联邦机构和行业提出建议施行措施，以提高政府云安全性。

最近对美国政府云IT基础设施的攻击通常是由国家行为者实施的，这些攻击导致了大规模的数据泄露，影响了数百万条记录，同时也引发了人们对在国家安全和其他关键政府业务中使用云解决方案的担忧。随着越来越多的数据迁移到云中，攻击也随之升级，引起了人们对网络复原力和操作卫生方面缺陷的关注，特别是在认证流程和处理已知漏洞方面。

2023年 9月，MITRE、云安全联盟(CSA)、先进技术学术研究中心(ATARC) 和 IT采购咨询委员会 (IT-AAC)在内的四家非营利性公司发起成立了云安全特别工作组，以审查政府云基础设施，并提供应对威胁的解决方案。该工作组于12月举行了首次活动，与行业和政府参与者共同讨论政策建议，以确保国家关键云托管数字基础设施的安全。本文总结了这些专家为改进标准、实践和政策而提出的主要建议。右图从整个政府的角度总结了这些建议。

当前安全采用云计算所面临的挑战

在加强联邦政府云计算安全方面存在重大机遇。政府和行业利益相关者都认为：

政府认证流程耗时过长、成本过高，"进入成本"是中小型企业的主要障碍。
已认证云环境的重新授权过程既费钱又费时，阻碍了已认证产品的更新和更好的安全保护。云服务行业的安全控制框架之间不存在互惠性。
认证计划中使用的第三方独立评估机构评估需要更多信心和信任。
行业需要激励措施来提高透明度（如云材料清单、漏洞披露）和运营绩效。
需要加强威胁和薄弱环节的信息共享。
需要更好的衡量标准，包括实时监控的结果。
在整个认证和监控过程中，应充分利用自动化和人工智能（AI）。

针对国会、白宫、各机构和行业的建议路线图

如果不采取合作的方式来解决云安全的这些改进问题，我们的国家将继续面临重大攻击，给我们的国家安全和关键政府任务带来不必要的风险。特别工作组认识到业界、管理和预算办公室(OMB)、总务管理局(GSA)、国防部(DoD)、国土安全部(DHS)、国家标准和技术研究院(NIST)等机构迄今为止在提供和保护政府云环境安全方面所做的重要工作。特别工作组向国会、白宫、联邦机构和行业提出了本建议路线图。

国会

引入安全云采用立法，解决以下问题：

共同承担责任（激励行业发现、预防和披露其系统和服务面临的威胁和漏洞）
提高各认证项目之间的互惠性，可能包括建立一个国家授权运行(ATO) 存储库
通过日常安全测试加强人工智能持续监控，以提高威胁检测能力
提高认证和事件响应的自动化程度
改进衡量标准
责任保护
加强对第三方独立评估机构的监督
监管协调
中小企业进入壁垒
利用一致的标准建立和实施实践的组织。

在国家网络安全总监办公室和联邦首席信息安全官的协助下，制定网络安全记分卡，其中包括实时指标，并利用行业的云安全衡量标准。

总统执行办公室(EOP)/OMB

将 "云智能"指南更新为"云安全"指南。这应反映上述立法中涉及的许多主题，并包括实施指南，其中包括与最新政府建议的方法（如零信任）一致的安全实践，并要求NIST制定多云环境安全的互操作性标准。该总体指南应要求行政部门更新其他政策，包括《联邦信息处理标准》（FIPS）第200 号出版物，以反映现代安全实践和要求。
加强网络衡量标准，纳入实时指标，利用行业最佳实践和现有的NIST 指导。这些增强的指标应明确包括若干云安全指标，并与FISMA 和performance.gov 相关的现有网络指标报告要求保持一致。
建立公私合作伙伴关系，利用人工智能威胁检测加强信息共享。该实体将由总统执行办公室(EOP) 监管，并将作为所有行业网络安全互动的前门。

机构