12月17日，发布CISA 发布了今年第一部具有约束力的云安操作指令《绑定操作指令25-01
 ：实施云服务安全实践》（BOD 25-01指令 ） ，要求美国联邦民事机构实施一系列必需的全求安全配置基线（SCB）以保护其云环境。BOD 25-01指令旨在通过强制云服务实施安全措施来减少美国联邦网络的发布攻击面，要求美国联邦机构部署CISA开发的云安自动配置评估工具，与持续监控基础设施集成
，全求并纠正与安全配置基线的发布任何偏差。

CISA表示 “在动态的云安网络安全环境中，建站模板维护安全配置基线至关重要 ，全求其中供应商变更、发布软件更新和不断发展的云安安全最佳实践构成了威胁环境 。由于供应商经常发布新更新和补丁以解决漏洞
，全求安全配置也必须进行调整
。发布”

根据BOD 25-01 指令
，云安联邦机构和部门必须采取的全求关键行动包括
：

CISA将提供关于如何满足这些要求的支持，并向国土安全部长 、管理和预算办公室（OMB）主任和国家网络主任提供机构进展情况的高防服务器状态报告。该指令补充了现有的云安全联邦资源
，包括联邦风险和授权管理计划（FedRAMP）、相关的国家标准与技术研究所（NIST）指南以及CISA可信互联网连接（TIC）3.0最佳实践案例。CISA还为其他云产品添加了SCuBA安全配置基线
，这些产品将自动纳入指令的范围
。

BOD 25-01指令核心主要有以下几个方面：

(1) 安全配置基线（SCB）

(2) 云用户识别和保护

(3) 错误配置和薄弱安全控制的防范

参考来源：https://www.infosecurity-magazine.com/news/cloud-security-federal-agencies/