12月17日，CISA 发布了今年第一部具有约束力的操作指令《绑定操作指令25-01：实施云服务安全实践》（BOD 25-01指令 ），要求美国联邦民事机构实施一系列必需的安全配置基线（SCB）以保护其云环境。BOD 25-01指令旨在通过强制云服务实施安全措施来减少美国联邦网络的攻击面，要求美国联邦机构部署CISA开发的自动配置评估工具，与持续监控基础设施集成，并纠正与安全配置基线的任何偏差。

CISA表示 “在动态的网络安全环境中，维护安全配置基线至关重要，其中供应商变更、软件更新和不断发展的安全最佳实践构成了威胁环境。由于供应商经常发布新更新和补丁以解决漏洞，安全配置也必须进行调整。”

根据BOD 25-01 指令，联邦机构和部门必须采取的关键行动包括：

• 在2025年2月21日前，识别并提供指令范围内所有用户的名称及其系统所属机构/组件
• 在4月25日前，所有适用范围内的用户部署SCuBA评估工具，并开始向CISA持续报告
• 在6月20日前，实施所有由绑定操作指令25-01所规定的SCuBA强制政策
• 根据“所需配置”网站上规定的时间表，实施所有SCuBA强制政策更新
• 在授权操作前，实施所有SCuBA强制性安全配置基线，并开始对新的用户持续监控
• 报告给CISA时，识别并解释SCuBA评估工具输出中的偏差

CISA将提供关于如何满足这些要求的支持，并向国土安全部长、管理和预算办公室（OMB）主任和国家网络主任提供机构进展情况的状态报告。该指令补充了现有的云安全联邦资源，包括联邦风险和授权管理计划（FedRAMP）、相关的国家标准与技术研究所（NIST）指南以及CISA可信互联网连接（TIC）3.0最佳实践案例。CISA还为其他云产品添加了SCuBA安全配置基线，这些产品将自动纳入指令的范围。

BOD 25-01指令

BOD 25-01指令核心主要有以下几个方面：

安全配置基线（SCB）

1. 部署自动配置评估工具：联邦机构必须部署CISA开发的自动配置评估工具，该工具能够识别和纠正与安全配置基线（SCB）的偏差。这些基线包括Microsoft 365和其他云平台的标准配置。
2. 持续监控和纠正：指令要求联邦机构将评估工具与持续监控基础设施集成，确保实时检测和纠正任何偏离安全基线的行为。

云用户识别和保护

1. 确定云用户：联邦机构必须在规定时间内识别其环境中的所有生产或操作云用户，并确保每个用户都有明确的安全策略。
2. 实施强制性SCB政策：对于每个云用户，联邦机构必须实施CISA推荐的强制性安全配置基线政策，并定期更新这些政策以应对新的威胁和漏洞。
3. 持续监控新用户：联邦机构需要持续监控新的云用户，确保它们在加入环境时立即获得适当的安全保护。

错误配置和薄弱安全控制的防范

1. 错误配置管理：指令强调错误配置和薄弱的安全控制可能给攻击者提供未授权访问、数据窃取或破坏服务的机会，因此必须采取相应措施进行防范。
2. 定期安全审计：联邦机构必须定期进行安全审计，以识别和修复潜在的安全漏洞，确保其云环境的整体安全性。

参考来源：https://www.infosecurity-magazine.com/news/cloud-security-federal-agencies/