欢迎来到公海710 CISA 刚刚提高了云安全标准

云安全配置错误仍然是受监管环境中最常见且可预防的风险来源之一。网络安全和基础设施安全局 (CISA) 针对安全云业务应用程序 (SCuBA) 和绑定操作指令 (BOD) 25-01 的最新举措明确表示，Microsoft 365 (M365) 和其他云平台不再接受“一劳永逸”的做法。

这不仅仅是另一份联邦备忘录。这是关于如何随着时间的推移管理、衡量和拥有云配置安全性的实用蓝图。

核心问题：云配置错误和漂移

如果您从事医疗保健、金融服务、能源或任何其他受监管行业，那么这适合您。

联邦空间中发生的事情不仅仅是联邦的故事；也是联邦的故事。这是我们其他人接下来会发生什么的预览。云配置错误仍然是受监管环境中最常见且可预防的安全漏洞之一。这并不是因为疏忽或缺乏投资；而是因为。这是因为云平台不会坐以待毙。随着时间的推移，功能不断发展，许可发生变化，出现新的工作负载，管理权限不断扩展，并且小的配置更改也会不断累积。

您去年获得的 M365 租户与您今天运行的租户不同。许多组织仍然将云安全视为一个项目。他们强化它，审查它，然后继续前进。但漂移不会自行显现。它静静地建造。联邦监管机构刚刚明确表示，“设置好后就忘记它”不再被接受。

CISA 做了什么：SCuBA 和 BOD 25-01

为了解决这个问题，CISA 通过其 SCuBA 计划正式制定了一种结构化的云配置安全方法。 SCuBA 定义了 M365 等云平台的安全性。它通过与联邦风险优先级一致的安全配置基线 (SCB) 建立最低安全期望。简单来说，它定义了“好”的样子。然而，仅仅定义标准还不够。

这就是 BOD 25-01 的用武之地。根据该指令，联邦民事机构必须实施这些基准，使用自动化工具对其进行衡量，找出不足之处，并不断弥补这些差距。最后一个词很关键：持续。实际上，云安全不再是“尽力而为”。它是可衡量的、可执行的，并且预计将持续下去。

联邦政府的指示长期以来一直成为行业期望。

为什么配置错误不断出现

云配置错误仍然是最常见的安全漏洞之一。通常是因为以下原因：

• 没有一致的基准，或者基准没有得到一致执行。
• 验证是手动或定期的。
• 差距不会被追踪到关闭。
• 执行领导层缺乏对配置风险的了解。

安全性变得被动，因为差距往往会在审核期间或事件发生后浮出水面，而不是通过持续验证及早发现。

CISA 在这里所做的是通过定义标准、衡量标准、跟踪偏差和确定修复措施来强制流程成熟。冲洗，然后重复。进展变得可见，责任变得真实！

评估层：将基线转化为行动

但是未经验证的基线只是一个文档。这就是评估层的用武之地。ScubaGear 等工具可根据 SCuBA 基线来衡量您的实际环境。这是验证层。它可以识别差距并显示发生配置问题的位置。 SCuBA 和 ScubaGear 共同创建结构、衡量和问责制。

为什么这一切很重要？虽然 BOD 25-01 在技术上适用于联邦民事机构，但它通常为受监管行业定下基调。如果您从事医疗保健、金融、能源或关键基础设施业务，这不是其他人的任务。这是监管预期走向的明确信号。

无论哪个行业，领导者都应该能够回答一些简单的问题：

• 我们是否清楚了解当前的 M365 安全状况？
• 当某些东西偏离平衡时，谁拥有它？
• 是否跟踪和衡量补救措施？
• 执行领导层是否了解配置随时间变化带来的风险？
• 我们是依赖时间点强化还是持续验证？

如果这些答案不明确，那么风险就是真实存在的。漂移不会自行显现；它静静地积累。

对于联邦民事机构来说，前进的道路是直接的。部署更新版本，根据当前基线进行验证，检查输出，并正式确定如何跟踪和修复偏差。

对于联邦空间之外的受监管行业，该指令可能不是强制性的，但其模式值得关注：

• 定义基线。
• 自动验证。
• 跟踪修复情况。
• 向上报告。

重要要点：操作纪律，而不仅仅是工具

最大的收获 - 此更新强化了工具讨论中经常被忽视的内容。安全性与安装工具无关。这是关于建立操作纪律。 SCuBA 定义了该标准。 ScubaGear 是一种机制。 BOD 25-01 是一项强制规定。但真正的目标是运营成熟度。

当今的云安全需要标准化、自动化、持续验证、所有权明确且在执行层可见。这就是可持续治理的样子。云环境将不断变化，功能将不断发展，团队将不断做出调整。漂移将会发生。跟上步伐的唯一方法是将安全视为一门持续的学科，随着时间的推移不断测量、纠正和验证。

将 CISA 指南转变为云安全计划

将联邦政府的期望转化为适用于您的 M365 环境的实用、持续的云安全计划。 欢迎来到公海710, LLC（“Alchemy”）提供云安全策划，为您的团队提供一种结构化的方法，使基线、验证和修复与现有架构保持一致，使配置风险随着时间的推移变得可见、拥有和管理。

安排策划会议。

参考文献

• SCuBA 项目：https://www.cisa.gov/resources-tools/services/secure-cloud-business-applications-scuba-project
• BOD 25-01：实施云服务安全实践：https://www.cisa.gov/news-events/directives/bod-25-01-implementing-secure-practices-cloud-services
• BOD 25-01：针对云服务所需配置实施安全实践：https://www.cisa.gov/resources-tools/services/bod-25-01-implementing-secure-practices-cloud-services-required-configurations