白宮推動雲端身分安全強化,NIST與CISA發布身分權杖防護指引草案
行政命令背景與目標
美國白宮於2025年6月發布行政命令,警告網路攻擊者已大量竊取並濫用合法身分憑證,繞過帳密與多因素驗證機制,取得長時間存取權限,對雲端服務與政府系統構成實質風險。
身分權杖防護指引草案重點
IR 8587草案旨在協助聯邦機關與雲端服務供應商(CSP)防範身分權杖(token)與身分聲明(assertion)遭到偽造、竊取與誤用,降低雲端身分被冒用所帶來的資安風險。
相關政策與架構
- 該行政命令要求美國聯邦政府提升軟體及雲端服務供應者的責任,強化聯邦通訊與身分管理系統的安全。
- 推動新興科技在網路安全領域的應用,並建立「規則即代碼」方法的試點項目,由美國商務部、國土安全部及白宮行政管理與預算局(OMB)共同執行。
- 所有聯邦機構的網路安全策略應於未來兩年內採用「零信任」架構,以抵禦當前威脅並加強防禦。
來源與延伸閱讀
相關資訊可參考美國國家資安局(NIST)與國家資訊安全局(CISA)發布的指引文件,以及美國白宮2023年國家網路安全戰略。