白宮推動雲端身分安全強化，NIST與CISA發布身分權杖防護指引草案

美國白宮於2025年6月發布行政命令，警告網路攻擊者已大量竊取並濫用合法身分憑證，繞過帳密與多因素驗證機制，取得長時間存取權限，對雲端服務與政府系統構成實質風險。

在此背景下，白宮要求主管機關提出可具體實踐的技術與治理指引，以因應雲端環境中身分識別與存取管理（Identity and Access Management，IAM）風險持續升高的情況。

NIST與CISA發布IR 8587初版草案，聚焦身分權杖與身分聲明的防護

為回應政策要求，2025年12月22日，美國國家標準暨技術研究院（NIST）與美國網路安全暨基礎設施安全局（CISA）發布跨機關報告《Protecting Tokens and Assertions from Forgery, Theft, and Misuse》，即NIST IR 8587初版草案（Initial Public Draft），並開放徵詢意見至2026年1月30日。

IR 8587草案旨在協助聯邦機關與雲端服務供應商（CSP）防範身分權杖（token）與身分聲明（assertion）遭到偽造、竊取與誤用，降低雲端身分被冒用所帶來的資安風險。

建立於資安控制標準NIST SP 800-53之上，補足雲端IAM實務指引

NIST指出，IR 8587草案建立於既有的NIST SP 800-53資安控制標準之上。SP 800-53長期作為美國聯邦政府的核心資安控制依據，涵蓋身分驗證、存取控制、金鑰管理與稽核等要求，也是FedRAMP雲端安全評估的重要基礎。

IR 8587草案進一步聚焦雲端與身分同盟架構，針對身分權杖與身分聲明在實際部署與營運過程當中，容易遭到濫用的風險情境，補足既有IAM控制在雲端實務上的落差。

身分權杖成為高價值目標，IAM​責任需重新界定

NIST指出，在單一登入、身分同盟與API存取架構中，系統高度仰賴身分權杖與身分聲明作為存取控制依據。一旦攻擊者取得合法身分權杖，即可能不需再次驗證帳密，便可持續冒用身分存取雲端服務與敏感資料。

因此，IR 8587將身分權杖與身分聲明視為高價值資產，並強調其防護已不只是技術問題，而是涉及責任分工、可視性與風險承擔的整體IAM治理議題。

要求雲端服務供應商落實Secure by Design

另一方面，IR 8587對於雲端IAM的應用，重新界定雲端服務供應商與雲端使用者的責任分工。NIST呼籲雲端服務供應商落實設計即安全（Secure by Design）原則，強化透明性、可組態性與互通性，讓使用者得以掌握身分權杖與身分聲明的發行、驗證、撤銷與記錄方式。

從政策到實務，身分權杖治理成為雲端安全重要指標

整體而言，NIST IR 8587承接白宮政策與SP 800-53資安控制框架，將保護身分權杖與身分聲明正式納入雲端IAM治理的一環。隨著雲端與身分同盟架構持續普及，相關防護能力與治理透明度，預期將成為政府機關與企業評估雲端服務安全性的重要指標。