Erfüllen der Identitätsanforderungen von Memorandum 22-09 mit Microsoft Entra ID

Die Exekutivordnung zur Verbesserung der Cybersicherheit der Nation (14028) leitet Bundesbehörden an, Sicherheitsmaßnahmen voranzutreiben, die das Risiko erfolgreicher Cyberangriffe gegen die digitale Infrastruktur der Bundesregierung erheblich reduzieren. Am 26. Januar 2022, zur Unterstützung der Executive Order (EO) 14028, veröffentlichte das Office of Management and Budget (OMB) die federal Zero Trust Strategie in M 22-09 Memorandum for Heads of Executive Departments and Agencies.

Diese Artikelreihe enthält Anleitungen zur Verwendung von Microsoft Entra ID als zentrales Identitätsverwaltungssystem bei der Implementierung von Zero Trust-Prinzipien, wie in Memo 22-09 beschrieben.

Memo 22-09 unterstützt Zero Trust-Initiativen in Bundesbehörden. Es verfügt über behördliche Anleitungen für bundesrechtliche Cybersicherheits- und Datenschutzgesetze. In den Memos wird die US Department of Defense (DoD) Zero Trust Reference Architecturezitiert:

"Der grundlegende Tenet des Zero Trust-Modells ist, dass kein Akteur, system, Netzwerk oder Dienst außerhalb oder innerhalb des Sicherheitsperimeters vertrauenswürdig ist. Stattdessen müssen wir alles und alles überprüfen, was versucht, den Zugriff herzustellen. Es ist ein dramatischer Paradigmenwechsel in der Philosophie, wie wir unsere Infrastruktur, Netzwerke und Daten sichern, von der Überprüfung einmal im Umkreis bis hin zur kontinuierlichen Überprüfung der einzelnen Benutzer, Geräte, Anwendungen und Transaktionen."

Das Memo identifiziert fünf Kernziele für Bundesbehörden, die mit dem Fälligkeitsmodell für Cybersicherheitsinformationssysteme (Cybersecurity Information Systems Architecture, CISA) organisiert werden sollen. Das CISA Zero Trust-Modell beschreibt fünf ergänzende Leistungsbereiche oder Säulen:

• Identität
• Geräte
• Netzwerke
• Anwendungen und Workloads
• Daten

Die Säulen kreuzen sich mit:

• Sichtbarkeit
• Analytik
• Automatisierung
• Orchestrierung
• Verwaltung

Leitfadenbereich

Verwenden Sie die Artikelreihe, um einen Plan zu erstellen, um Memoanforderungen zu erfüllen. Es wird davon ausgegangen, dass Microsoft 365-Produkte und ein Microsoft Entra-Mandant verwendet werden.

Weitere Informationen: Schnellstart: Erstellen eines neuen Mandanten in Microsoft Entra ID.

Die Anweisungen der Artikelreihe umfassen Agenturinvestitionen in Microsoft-Technologien, die den identitätsbezogenen Aktionen des Memos entsprechen.

• Für Agenturbenutzer verwenden Agenturen zentrale Identitätsverwaltungssysteme, die in Anwendungen und gängige Plattformen integriert werden können
• Agenturen verwenden unternehmensweite, starke mehrstufige Authentifizierung (MFA)
  • MFA wird auf der Anwendungsschicht erzwungen, nicht auf der Netzwerkebene
  • Für Agenturmitarbeiter, Auftragnehmer und Partner ist phishingsichere MFA erforderlich.
  • Für öffentliche Benutzer ist phishingsichere MFA eine Option.
  • Kennwortrichtlinien erfordern keine Sonderzeichen oder regelmäßige Drehung
• Wenn Agenturen den Benutzerzugriff auf Ressourcen autorisieren, berücksichtigen sie mindestens ein Signal auf Geräteebene mit Identitätsinformationen zum authentifizierten Benutzer.

Nächste Schritte

• ein unternehmensweites Identitätsverwaltungssystem
• Erfüllung der multifaktoriellen Authentifizierungsanforderungen des Memorandums 22-09
• Erfüllen der Befugnisanforderungen des Memorandums 22-09
• Weitere Bereiche des Zero Trust im Memorandum 22-09
• Sichern der Identität mit Zero Trust-