美國商務部正在征求要求云計算提供商驗證某些用戶的身份，這個前總統特朗普時期對管理網絡安全行政命令的公共投入。官員們說，行政命令的目標是鏟除在國外經營并利用美國技術的惡意網絡行為者。

　　13984號行政命令于1月19日由即將離任的總統特朗普在最后一刻簽署，以及其他關注國家安全的任務。雖然現任總統喬拜登已經推翻了特朗普時代的幾項行動，但拜登政府正在尋求對13984號行政命令的評論，以制定圍繞基礎設施即服務（稱為IaaS）或允許企業運行軟件的云托管基礎設施的監管政策并將數據存儲在服務器上，而無需負責維護和運營成本。

　　該命令還概述了云服務經銷商的作用，并跟蹤了過去12個月內發生的幾起備受矚目的網絡事件。其中包括SolarWinds攻擊，被懷疑是由俄羅斯政府支持的一個組織實施的，其中全球約100個組織以及幾個美國政府機構遭到破壞。在某種程度上，網絡犯罪分子對Microsoft云服務發起了供應鏈攻擊。

　　正在進行的網絡工作

　　對擬議規則制定的評論將于9月24日在聯邦公報上公布后的30天內提交。這是拜登政府保護聯邦網絡，尤其是軟件供應鏈的努力的一部分。

　　5月，拜登發布了一項關于網絡安全的行政命令，要求行政部門機構部署多因素身份驗證、端點檢測和響應以及加密。它還呼吁采用“零信任”架構和更安全的云服務。政府官員表示，目標是對政府的IT基礎設施進行現代化改造，同時制定標準以最大限度地減少網絡攻擊造成的損害。

　　“在EO13984中，總統決定必須采取額外措施來解決與重大惡意網絡活動相關的國家緊急情況”通知指出；它由商務部負責情報和安全的副助理部長Trisha B. Anderson撰寫。“[命令]解決了外國惡意網絡行為者使用美國云基礎設施進行惡意網絡活動所構成的威脅，包括盜竊敏感數據和知識產權以及以美國關鍵基礎設施為目標。”

　　通過執行行動，官員必須確保提供美國IaaS產品的供應商驗證獲得IaaS賬戶的人的身份并保留這些交易的記錄，以避免供應鏈攻擊美國利益。

　　官員補充說，更健全的記錄保存做法以及用戶識別和驗證標準將更好地協助調查工作。同樣，根據授權，商務部長可以選擇豁免證明安全合規性的美國IaaS提供商。擬議的法規還可能使提供商能夠采取“特殊措施”，例如禁止或針對外國司法管轄區或被證明從事有害網絡活動的個人采取特定條件。

　　公共問題

　　在其他特定領域中，商務部尋求以下方面的意見：

　　實現這些要求的方法；

　　記錄請求與 IaaS 提供商已經存儲的數據不同的方式；

　　提供商是否具有“通過額外的非技術審查（第三方個人/實體擔保）來增強技術身份驗證（例如 2FA）的能力或能力”；

　　當前用于檢測入侵服務條款的分析類型；

　　限制IaaS提供商在實施該命令時的潛在負擔的方法；

　　歐盟通用數據保護條例（GDPR）；加州消費者隱私法，或 CCPA；或其他數據保護和安全法規會影響提供商滿足記錄保存要求的能力；

　　合規和執行的最佳實踐；

　　合規供應商豁免指南；

　　對有問題的賬戶或司法管轄區施加條件的方法；

　　是否有現有的欺詐預防方案可以一致地發現用于創建IaaS帳戶的虛假姓名、政府文件和其他身份記錄。

　　推出延遲

　　在1月19日就行政命令致國會的一封信中，時任總統的特朗普說：“外國行為者使用 [IaaS] 來執行惡意網絡活動的各種任務，這使得美國官員極難在這些外國行為者過渡到替代基礎設施并銷毀其先前活動的證據之前，通過法律程序跟蹤和獲取信息。”

　　1月20日，新任白宮辦公廳主任Ron Klain發布了一份備忘錄，指示各機構凍結或推遲實施特朗普政府下懸而未決的監管行動。這意味著13984號行政命令的推出可能會延遲。

　　“重大影響？”

　　根據Baker McKenzie公司的律師的說法，最初的行政命令“引起了人們對實施保障措施以減少惡意外國行為者在美國使用IaaS產品和服務的重要擔憂。”

　　在一篇博客文章中，他們繼續說道：“鑒于IaaS產品的廣泛定義，擬議法規中將涉及的標準可能會對在美國運營的許多企業產生重大影響。”

　　律師指出，“[正如所寫的] EO13984沒有解決可能提出的關于可以采取哪些措施來尊重個人隱私權的任何擔憂，也沒有解決可以采取哪些措施來最大限度地減少要求公司存儲和維護某些類別的敏感個人數據的潛在額外責任。”

　　在其最新通知和評論請求中，美國商務部似乎正在解決這些隱私和/或管轄權問題。

　　小編理解就是一句話：玩美主機的注意了。