川普最后行政命令，要求美国IaaS业者验证外国客户身份

就在下台前夕，美国前任总统川普昨（20）日签署最后一波行政命令，要求美国云端业者应详细确认及纪录外国客户的身份纪录，以防范外国骇客的网络攻击。

这份名为《因应重大恶意网络活动采取进一步措施以解决国家紧急事件》的行政命令，由路透社率先报导，是以2015年奥巴马-签署的行政命令为基础修改而成。虽然是在川普任内最后一天才签署，不过可望会获得保留，除非遭新上任的总统拜登废止。

这项行政命令赋予美国商务部权力制订相关规定，以确保美国云端业者不会被用于网络威胁。根据这项命令，商务部在应在180天内制订规定，要求基础架构即服务（Infrastructure-as-a-service，IaaS）供应商验证所有外国客户的身份，维护特定纪录，而在平台遭恶意使用时应采取行动。

此外，商务部长也应决定，是否或哪些国家或个人不得采用所有美国IaaS的服务。商务部长并可在咨询美国国防长、法务长、国土安全部长及国家情报总监决定可免于本命令的美国IaaS业者或账号。

川普同时也致信美国众议院议长Nancy Pelosi及参议院主席／前任副总统彭斯（Mike Pence）指出，外国份子利用美国各种任务的IaaS产品进行恶意网络活动，令美国官员难以透过合法程序追踪并在其移转到其他服务，销毁活动证据前取得这些资讯，而美国IaaS产品的外国经销商也让外国份子得以使用这些产品来躲避侦测。

川普指出，为了防范外国恶意网络人士利用美国IaaS产品，并协助调查涉及外国恶意人士的交易，美国-应确定IaaS供应商验证IaaS账号持有者个人的身份，维护交易纪录，并在必要情况下，应限制外国份子存取美国IaaS产品同时应鼓励IaaS供应商合作，包括共享资讯以打击恶意网络活动。

这项行政命令类似金融业以反洗钱为目的“认识你的客户” （Know Your Customer）政策，要求服务供应商协助防范犯罪。

或许这道行政命令是因应SolarWinds事件中，外国骇客攻击美国-及多家企业而制定。不过安全界部分人士却对此诸多疑虑。首先，验证客户身份和保留交易资料对小型IaaS业者是一大沉重成本，可能迫使他们将此外包大型业者如AWS或Google，愈发巩固大型业者的独大地位。若是为防范网络骇客则更不可能，因为骇客往往是劫持合法的账号来发动攻击，而非自己申请一个IaaS账号。

最后，SCMagazine引述业者指出，该行政命令若是为了建立一组被管制的服务，则欠缺法源基础。如果是想防止被禁运国家使用IaaS，也是叠床架屋的命令，还可能碰上与欧盟标准扞格而窒碍难行。因此业者判断有可能无需采取任何行动。