美国官方保护|美国CISA发布安全云业务应用(SCuBA)指导文件

近年来,美国联邦政府已经将基于云的软件和平台服务作为提高容量和可访问性以及良好财务管理的一种手段。然而,如果安全性不是第一优先,迁移到云可能会引入新的风险类型。正如网络安全管理软件产品供应链入侵和相关网络活动所证明的那样,持续的威胁行为者已被证明并继续发展复杂的功能,这将在传统和基于云的环境中破坏联邦政府网络。

作为美国国家网络防御机构,网络安全和基础设施安全局(CISA)在实施拜登总统第14028号行政命令中发挥着核心作用。该行政命令促进了联邦政府网络安全的重大改善,包括提高网络安全威胁的可见性,促进安全实践的改进,并为采用云技术提供了方向。

为此,CISA最近启动了安全云业务应用(SCuBA)项目,该项目由2021年美国救援计划法案资助。该项目旨在开发一致、有效、现代和可管理的安全配置,这将有助于保护存储在云环境中的机构信息资产。通过与行业和政府利益相关方的持续对话和合作,CISA制定了两份初步指导文件,作为SCuBA项目的一部分,这两份文件将共同帮助机构在使用云服务时采用必要的安全性和灵活性实践。

SCuBA技术参考框架(TRA)是一个安全指南,机构可以使用它来采用云部署、自适应解决方案、安全架构和零信任框架的技术。

扩展可见性参考框架(eVRF)概述了eVRF框架,使组织能够识别可用于缓解威胁的可见性数据,了解特定产品和服务提供该可见性数据的程度,并识别潜在的可见性差距。

CISA正在就这两种产品征求公众意见,以确保该指南能够实现最佳灵活性,跟上不断发展的技术和能力,并保护联邦企业。本指南的目的是妥善解决基于云的业务应用中的网络安全和可见性差距,这些差距长期以来阻碍了政府全面了解和管理整个联邦和IT企业的网络风险的集体能力。此外,CISA正在努力为未来几个月可能发布的选定产品制定推荐的网络安全配置指南。

虽然这些文件主要由联邦机构使用,但CISA建议所有使用云服务的组织审查SCuBA TRA和eVRF指南,并在适当的时候实施他们的实践。

美国官方保护|美国CISA发布安全云业务应用(SCuBA)指导文件插图

美国官方保护|美国CISA发布安全云业务应用(SCuBA)指导文件插图

标签