Sdílet prostřednictvím


Úrovně záruky authenticatoru

National Institute of Standards and Technology (NIST) vyvíjí technické požadavky pro federální agentury USA implementovaných řešení identit. NIST SP 800-63B má technické pokyny pro implementaci digitálního ověřování s využitím architektury AALs (Authenticator Assurance Levels). AALs charakterizuje sílu ověřování digitální identity. Můžete se také dozvědět o správě životního cyklu authenticatoru, včetně odvolání.

Standard zahrnuje požadavky AAL pro následující kategorie:

  • Povolené typy authenticatoru

  • Úroveň ověření standardu FIPS 140 (Federal Information Processing Standards 140). Požadavky FIPS 140 jsou splněny funkcí FIPS 140-2 nebo novějšími revizemi.

  • Opětovné ověření

  • Ovládací prvky zabezpečení

  • Odolnost man-in-the-middle (MitM)

  • Odolnost proti zosobnění zosobnění (útok phishing)

  • Ověřitierova kompromisní odolnost

  • Replay odpor

  • Záměr ověřování

  • Zásady uchovávání záznamů

  • Řízení ochrany osobních údajů

Seznamy AALS NIST ve vašem prostředí

Obecně se AAL1 nedoporučuje, protože přijímá řešení jen pro hesla, což je nejsnápadnější ohrožení zabezpečení. Další informace najdete v blogovém příspěvku, váš Pa$$word nezáleží.

I když NIST nevyžaduje odolnost proti zosobnění ověřovatele (phishing přihlašovacích údajů), dokud AAL3, doporučujeme, abyste tuto hrozbu vyřešili na všech úrovních. Můžete vybrat ověřovací objekty, které poskytují ověřitelní odolnost proti zosobnění, jako je například vyžadování připojení zařízení k Microsoft Entra ID nebo hybridnímu ID Microsoft Entra. Pokud používáte Office 365, můžete použít Office 365 Advanced Threat Protection a jeho anti-phishingové zásady.

Při vyhodnocování potřebné technologie NIST AAL pro vaši organizaci zvažte, jestli musí celá organizace splňovat standardy NIST. Pokud existují konkrétní skupiny uživatelů a prostředky, které je možné oddělit, můžete pro tyto skupiny a prostředky použít konfigurace AAL NIST.

Tip

Doporučujeme splnit alespoň AAL2 + phishingový odpor. V případě potřeby splňovat AAL3 z obchodních důvodů, oborových standardů nebo požadavků na dodržování předpisů.

Kontrolní mechanismy zabezpečení, řízení ochrany osobních údajů, zásady uchovávání záznamů

Z společné autorizační rady mají Azure a Azure Government prozatímní pravomoc provozovat (P-ATO) na úrovni NIST SP 800-53 s vysokým dopadem . Tato akreditace FedRAMP autorizuje Azure a Azure Government ke zpracování vysoce citlivých dat.

Důležité

Certifikace Azure a Azure Government splňují požadavky na zásady uchovávání informací o zabezpečení, řízení ochrany osobních údajů a záznamy pro AAL1, AAL2 a AAL3.

Audit FedRAMP pro Azure a Azure Government zahrnoval systém správy zabezpečení informací pro infrastrukturu, vývoj, provoz, správu a podporu služeb v oboru. Když se udělí P-ATO, poskytovatel cloudových služeb vyžaduje autorizaci (ATO) od úřadů státní správy, se kterými pracuje. Vládní agentury nebo organizace můžou ve svém procesu autorizace zabezpečení používat Azure P-ATO a používat ho jako základ pro vydávání ATO agentury, která splňuje požadavky FedRAMP.

podpora Azure více služeb v FedRAMP High Impact. FedRAMP High ve veřejném cloudu Azure splňuje potřeby zákazníků státní správy USA, ale agentury s přísnějšími požadavky používají Azure Government. Mezi záruky Azure Government patří zvýšená kontrola personálu. Microsoft v Azure Government uvádí dostupné veřejné služby Azure až do hranici FedRAMP High a služeb pro aktuální rok.

Společnost Microsoft se navíc zavazuje chránit a spravovat zákaznická data pomocí jasně uvedených zásad uchovávání záznamů. Microsoft má velké portfolio dodržování předpisů. Další informace najdete v nabídkách Microsoftu pro dodržování předpisů.

Další kroky

Přehled NIST

Další informace o AALs

Základy ověřování

Typy ověřovacího programu NIST

Dosažení AAL1 NIST s Microsoft Entra ID

Dosažení AAL2 NIST s Microsoft Entra ID

Dosažení AAL3 NIST s Microsoft Entra ID