NIST和CISA发布关于防止令牌与断言遭篡改、盗窃和滥用的跨机构报告草案以供公众评论

发布日期：2025年12月22日

网络安全和基础设施安全局（CISA）和国家标准与技术研究院（NIST）已发布《跨机构报告（IR）8597：防止令牌与断言遭伪造、盗窃和滥用》的初始草案，公众评论期截至2026年1月30日。本报告是对《持续加强国家网络安全的部分努力》以及修订第13694号和第14144号行政命令的回应，旨在提供实施指南，帮助联邦机构和云服务提供商保护身份令牌和断言免遭伪造、盗窃和滥用。

近期主要云服务提供商的网络安全事件，焦点在于窃取、修改或伪造身份令牌与断言，以获取对受保护资源的访问权限。本报告涵盖了依赖数字签名断言和令牌进行访问决策的身份与访问管理系统的控制措施。报告讨论了云服务提供商和云消费者（包括政府机构）如何更好地定义各自在云环境中管理IAM控制措施的角色和责任。它为云服务提供商和云消费者确立了原则，呼吁云服务提供商应用"安全设计"最佳实践，并优先考虑透明度、可配置性和互操作性，使消费者能够更好地保护其多样化的环境。报告还呼吁联邦机构了解其采购的云服务提供商的架构和部署模型，以确保与风险状况和威胁环境适当对应。

对本报告的评论可提交至 iam@list.nist.gov。请访问NIST网站了解更多信息。

本产品提供受此通知和此隐私与使用政策的约束。

标签 受众： 联邦政府， 行业 主题： 网络安全最佳实践