Konfigurace ovládacích prvků CMMC úrovně 1
Microsoft Entra ID splňuje požadavky na praxi související s identitou v každé úrovni certifikace modelu kybernetické bezpečnosti (CMMC). Aby byly splněny požadavky v CMMC, je odpovědností společností provádějících spolupráci a jménem oddělení obrany USA (DoD) k dokončení dalších konfigurací nebo procesů. V cmmc úrovně 1 existují tři domény, které mají jeden nebo více postupů souvisejících s identitou:
- Řízení přístupu (AC)
- Identifikace a ověřování (IA)
- Integrita systému a informací (SI)
Další informace:
- Web DoD CMMC - Úřad pod tajemníkem obrany pro získání a udržení certifikace modelu vyspělosti kybernetické bezpečnosti
- Stažení softwaru společnosti Microsoft – Microsoft Product Placemat pro CMMC level 3 (Preview)
Zbytek tohoto obsahu je uspořádaný podle domén a přidružených postupů. Pro každou doménu je tabulka s odkazy na obsah, který obsahuje podrobné pokyny k provedení tohoto postupu.
Doména řízení přístupu
Následující tabulka obsahuje seznam postupů a cílů a pokyny a doporučení společnosti Microsoft Entra, které vám umožní splnit tyto požadavky s ID Microsoft Entra.
| Prohlášení o praktickém prohlášení a cíle CMMC | Microsoft Entra – pokyny a doporučení |
|---|---|
| Střídavý proud. L1-3.1.1 Praktické prohlášení: Omezte přístup k informačnímu systému autorizovaným uživatelům, procesům jménem autorizovaných uživatelů nebo zařízení (včetně jiných informačních systémů). Cíle: Určete, jestli: [a.] jsou identifikováni autorizovaní uživatelé; [b.] jsou identifikovány procesy jménem autorizovaných uživatelů; [c.] jsou identifikována zařízení (a další systémy) autorizovaná k připojení k systému; [d.] přístup k systému je omezen na oprávněné uživatele; [e.] přístup k systému je omezen na procesy jménem autorizovaných uživatelů; a [f.] přístup k systému je omezený na autorizovaná zařízení (včetně jiných systémů). |
Zodpovídáte za nastavení účtů Microsoft Entra, které se provádí z externích systémů personálního oddělení, místní Active Directory nebo přímo v cloudu. Podmíněný přístup nakonfigurujete tak, aby udělovala přístup jenom ze známého (registrovaného nebo spravovaného) zařízení. Kromě toho při udělování oprávnění aplikace použijte koncept nejnižších oprávnění. Pokud je to možné, použijte delegovaná oprávnění. Nastavení uživatelů Nastavení zařízení Konfigurace aplikací Podmíněný přístup |
| Střídavý proud. L1-3.1.2 Praktické prohlášení: Omezte přístup k informačnímu systému na typy transakcí a funkcí, které mají oprávnění uživatelé spouštět. Cíle: Určete, jestli: [a.] jsou definovány typy transakcí a funkcí, které mají oprávnění uživatelé spouštět; a [b.] přístup k systému je omezen na definované typy transakcí a funkcí pro oprávněné uživatele. |
Zodpovídáte za konfiguraci řízení přístupu, jako je řízení přístupu na základě role (RBAC) pomocí předdefinovaných nebo vlastních rolí. Pomocí přiřaditelných skupin rolí můžete spravovat přiřazení rolí pro více uživatelů vyžadujících stejný přístup. Nakonfigurujte řízení přístupu na základě atributů (ABAC) s výchozími nebo vlastními atributy zabezpečení. Cílem je podrobné řízení přístupu k prostředkům chráněným pomocí Microsoft Entra ID. Nastavení RBAC Nastavení ABAC Konfigurace skupin pro přiřazení role |
| Střídavý proud. L1-3.1.20 Praktické prohlášení: Ověřte a kontrolujte a omezte připojení k externím informačním systémům a jejich používání. Cíle: Určete, jestli: [a.] jsou identifikována připojení k externím systémům; [b.] je identifikováno používání externích systémů; [c.] jsou ověřena připojení k externím systémům; [d.] používání externích systémů je ověřeno; [e.] připojení k externím systémům jsou řízena nebo omezena; a [f.] používání externích systémů je řízeno nebo omezeno. |
Zodpovídáte za konfiguraci zásad podmíněného přístupu pomocí ovládacích prvků zařízení a síťových umístění pro řízení a omezení připojení a používání externích systémů. Nakonfigurujte podmínky použití (TOU) pro zaznamenané potvrzení podmínek a ujednání uživatele pro použití externích systémů pro přístup. Nastavení podmíněného přístupu podle potřeby Blokování přístupu pomocí podmíněného přístupu Konfigurace podmínek použití |
| Střídavý proud. L1-3.1.22 Praktické prohlášení: Řízení informací publikovaných nebo zpracovaných na veřejně přístupných informačních systémech. Cíle: Určete, jestli: [a.] jsou identifikováni jednotlivci, kteří mají oprávnění k publikování nebo zpracování informací o veřejně přístupných systémech; [b.] postupy k zajištění toho, aby FCI nebyla publikována nebo zpracována v veřejně přístupných systémech, jsou identifikovány; [c.] před zveřejněním veškerého obsahu do veřejně přístupných systémů je zaveden proces kontroly; a [d.] obsah veřejně přístupných systémů se kontroluje, aby se zajistilo, že neobsahuje informace o federálních kontraktech (FCI). |
Zodpovídáte za konfiguraci privileged Identity Management (PIM) pro správu přístupu k systémům, kde jsou publikované informace veřejně přístupné. Vyžadovat schválení s odůvodněním před přiřazením role v PIM. Nakonfigurujte podmínky použití (TOU) pro systémy, ve kterých jsou publikované informace veřejně přístupné pro zaznamenané potvrzení podmínek a ujednání pro publikování veřejně přístupných informací. Plánování nasazení PIM Konfigurace podmínek použití |
Identifikace a ověřování (IA) doména
Následující tabulka obsahuje seznam postupů a cílů a pokyny a doporučení společnosti Microsoft Entra, které vám umožní splnit tyto požadavky s ID Microsoft Entra.
| Prohlášení o praktickém prohlášení a cíle CMMC | Microsoft Entra – pokyny a doporučení |
|---|---|
| IA. L1-3.5.1 Praktické prohlášení: Identifikujte uživatele informačního systému, procesy jménem uživatelů nebo zařízení. Cíle: Určete, jestli: [a.] jsou identifikováni uživatelé systému; [b.] jsou identifikovány procesy jménem uživatelů; a [c.] jsou identifikována zařízení, která přistupují k systému. |
ID Microsoft Entra jednoznačně identifikuje uživatele, procesy (identity instančního objektu nebo úlohy) a zařízení prostřednictvím vlastnosti ID příslušných objektů adresáře. Pomocí následujících odkazů můžete filtrovat soubory protokolu, které vám pomůžou s posouzením. Ke splnění cílů posouzení použijte následující odkaz. Filtrování protokolů podle vlastností uživatele Filtrování protokolů podle vlastností služby Filtrování protokolů podle vlastností zařízení |
| IA. L1-3.5.2 Praktické prohlášení: Ověřte (nebo ověřte) identity těchto uživatelů, procesů nebo zařízení jako předpoklad pro povolení přístupu k informačním systémům organizace. Cíle: Určete, jestli: [a.] identita každého uživatele je ověřena nebo ověřena jako předpoklad pro přístup k systému; [b.] identita každého procesu jménem uživatele je ověřena nebo ověřena jako předpoklad pro přístup k systému; a [c.] identita každého zařízení, které přistupuje k systému nebo se k němu připojuje, se ověřuje nebo ověřuje jako předpoklad pro přístup k systému. |
ID Microsoft Entra jednoznačně ověřuje nebo ověřuje každého uživatele, zpracovává jménem uživatele nebo zařízení jako předpoklad pro přístup k systému. Ke splnění cílů posouzení použijte následující odkaz. Nastavení uživatelských účtů Konfigurace ID Microsoft Entra pro splnění úrovní záruky authenticatoru NIST Nastavení účtů instančního objektu Nastavení účtů zařízení |
Doména SI (System and Information Integrity)
Následující tabulka obsahuje seznam postupů a cílů a pokyny a doporučení společnosti Microsoft Entra, které vám umožní splnit tyto požadavky s ID Microsoft Entra.
| Příkaz pro praktickou rutinu CMMC | Microsoft Entra – pokyny a doporučení |
|---|---|
| SI. L1-3.14.1 - Včas identifikovat, hlásit a opravit informace a chyby informačního systému. SI. L1-3.14.2 – Poskytuje ochranu před škodlivým kódem na příslušných místech v informačních systémech organizace. SI. L1-3.14.4 – Aktualizujte mechanismy ochrany škodlivého kódu, když jsou k dispozici nové verze. SI. L1-3.14.5 - Proveďte pravidelné kontroly informačního systému a kontroly souborů z externích zdrojů v reálném čase při stahování, otevření nebo spuštění souborů. |
Konsolidované pokyny pro starší spravovaná zařízení Nakonfigurujte podmíněný přístup tak, aby vyžadoval hybridní zařízení připojené k Microsoft Entra. U zařízení připojených k místní službě AD se předpokládá, že se řízení těchto zařízení vynucuje pomocí řešení pro správu, jako je Configuration Manager nebo zásady skupiny (GP). Vzhledem k tomu, že neexistuje žádná metoda pro Microsoft Entra ID k určení, jestli se některé z těchto metod použily na zařízení, vyžaduje, aby zařízení připojené k hybridnímu připojení Microsoft Entra bylo relativně slabý mechanismus, který vyžaduje spravované zařízení. Správce posuzuje, jestli jsou metody použité na místních zařízeních připojených k doméně dostatečně silné, aby představovalo spravované zařízení, pokud se jedná o zařízení připojené k hybridnímu zařízení Microsoft Entra. Konsolidované pokyny pro zařízení spravovaná v cloudu (nebo spoluspráva) Nakonfigurujte podmíněný přístup tak, aby vyžadoval označení zařízení jako vyhovující, což je nejsilnější formulář pro vyžádání spravovaného zařízení. Tato možnost vyžaduje registraci zařízení s ID Microsoft Entra a je označená jako kompatibilní s Intune nebo systémem správy mobilních zařízení (MDM) třetích stran, který spravuje zařízení s Windows 10 prostřednictvím integrace Microsoft Entra. |