Splňte požadavky na identitu podle memoranda 22-09 s Microsoft Entra ID
Výkonný řád pro zlepšení kybernetické bezpečnosti národu (14028) směruje federální agentury k posílení bezpečnostních opatření, která výrazně snižují riziko úspěšných kybernetických útoků proti federální vládní digitální infrastruktuře. Dne 26. ledna 2022, na podporu výkonného nařízení (EO) 14028, Úřad řízení a rozpočtu (OMB) vydal federální strategii Zero Trust v M 22-09, v memorandu pro vedoucí výkonných oddělení a agentur.
Tato série článků obsahuje pokyny k použití Microsoft Entra ID jako centralizovaného systému správy identit při implementaci principů nulové důvěryhodnosti, jak je popsáno v memo 22-09.
Memo 22-09 podporuje iniciativy nulové důvěry ve federálních agenturách. Obsahuje regulační pokyny pro federální kybernetickou bezpečnost a zákony o ochraně osobních údajů. Poznámka cituje referenční architekturu amerického ministerstva obrany (DoD) nulové důvěry:
"Základní tenet modelu nulové důvěryhodnosti je, že žádný aktér, systém, síť nebo služba provozující mimo nebo v rámci hraniční sítě zabezpečení je důvěryhodný. Místo toho musíme ověřit cokoli a všechno, co se pokouší o navázání přístupu. Je to dramatický posun paradigmatu v filozofie, jak zabezpečujeme naši infrastrukturu, sítě a data, od ověření najednou v hraniční síti až po neustálé ověřování jednotlivých uživatelů, zařízení, aplikací a transakcí."
Tato zpráva identifikuje pět základních cílů pro dosažení federálních agentur uspořádaných s modelem vyspělosti informačních systémů kybernetické bezpečnosti (CISA). Model CISA Zero Trust popisuje pět doplňkových oblastí úsilí nebo pilířů:
- Identita
- Zařízení
- Sítě
- Aplikace a úlohy
- Údaje
Pilíře se protínají s:
- Viditelnost
- Analytika
- Automatizace
- Orchestrace
- Vládnutí
Rozsah pokynů
Pomocí řady článků můžete vytvořit plán, který bude splňovat požadavky na poznámky. Předpokládá použití produktů Microsoftu 365 a tenanta Microsoft Entra.
Další informace: Rychlý start: Vytvoření nového tenanta v Microsoft Entra ID.
Pokyny k sérii článků obsahují investice agentury do technologií Microsoftu, které odpovídají akcím souvisejícím s identitou memoranda.
- Pro uživatele agentury využívají agentury centralizované systémy správy identit, které lze integrovat s aplikacemi a běžnými platformami.
- Agentury používají podnikové silné vícefaktorové ověřování (MFA)
- Vícefaktorové ověřování se vynucuje na aplikační vrstvě, ne na síťové vrstvě.
- Pro zaměstnance agentury, dodavatele a partnery se vyžaduje vícefaktorové ověřování odolné proti útokům phishing.
- Pro veřejné uživatele je možné použít vícefaktorové ověřování odolné proti útokům phishing.
- Zásady hesel nevyžadují speciální znaky ani pravidelnou obměnu.
- Když agentury autorizují přístup uživatelů k prostředkům, zvažují alespoň jeden signál na úrovni zařízení s informacemi o identitě ověřeného uživatele.
Další kroky
- systému pro správu identit na podnikové úrovni
- Splnění požadavků na vícefaktorové ověřování podle memoranda 22-09
- Splnění požadavků na autorizaci dle memoranda 22-09
- Ostatní oblasti nulové důvěry, které jsou adresovány v memorandu 22-09
- Zabezpečení identity podle principu Zero Trust (model nulové důvěryhodnosti)