Niveles de garantía del autenticador
El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) desarrolla los requisitos técnicos de las agencias federales de Estados Unidos que implementan soluciones de identidad. NIST SP 800-63B tiene las directrices técnicas para la implementación de la autenticación digital, mediante un marco de niveles de garantía del autenticador (AAL). Dichos niveles caracterizan la solidez de la autenticación de una identidad digital. También puede obtener información sobre la administración del ciclo de vida del autenticador, incluida la revocación.
El estándar incluye los requisitos de AAL para las siguientes categorías:
Tipos de autenticadores permitidos
Nivel de verificación de estándares federales de procesamiento de información 140 (FIPS 140). Los requisitos de FIPS 140 se cumplen mediante FIPS 140-2 o revisiones más recientes.
Reautenticación
Controles de seguridad
Resistencia de tipo "man in the middle" (MitM)
Resistencia a la suplantación del comprobador (resistencia a la suplantación de identidad [phishing])
Resistencia al riesgo del comprobador
Resistencia de reproducción
Intención de autenticación
Directiva de retención de registros
Controles de privacidad
AAL de NIST en su entorno
En general, no se recomienda el nivel AAL 1 porque acepta soluciones de solo contraseña, la forma de autenticación más fácil de poner en peligro. Para obtener más información, lea la entrada de blog Su contra$eña no importa.
Aunque NIST no requiere resistencia a la suplantación del comprobador (suplantación de credenciales) hasta el nivel AAL 3, se recomienda abordar esta amenaza en todos los niveles. Puede seleccionar autenticadores que proporcionen resistencia a la suplantación del comprobador, como requerir que los dispositivos estén unidos a Microsoft Entra ID o a Microsoft Entra ID híbrido. Si usa Office 365, puede usar la Protección contra amenazas avanzada de Office 365 y sus directivas de protección contra suplantación de identidad (anti-phishing).
Cuando evalúe el nivel AAL de NIST necesario para su organización, considere si toda la organización debe cumplir los estándares de NIST. Si hay grupos de usuarios y recursos específicos que se pueden segregar, puede aplicar configuraciones de AAL de NIST a esos grupos de usuarios y recursos.
Sugerencia
Se recomienda cumplir al menos el nivel AAL2 + resistencia a la suplantación de identidad (phishing). Si es necesario, cumpla el nivel AAL3 por motivos empresariales, estándares del sector o requisitos de cumplimiento normativo.
Controles de seguridad, controles de privacidad y directiva de retención de registros
Azure y Azure Government han obtenido una autorización provisional para operar (P-ATO) en el nivel Alto impacto de la publicación especial NIST SP 800-53 de la Junta de Autorización Conjunta. Esta acreditación FedRAMP autoriza a Azure y Azure Government a procesar datos altamente confidenciales.
Importante
Las certificaciones de Azure y Azure Government cumplen los controles de seguridad, los controles de privacidad y los requisitos de directivas de retención de registros para los niveles AAL1, AAL2 y AAL3.
La auditoría de FedRAMP para Azure y Azure Government ha incluido el sistema de administración de seguridad de la información para la infraestructura, el desarrollo, las operaciones, la administración y la compatibilidad con servicios dentro del ámbito. Cuando se concede una autorización provisional P-ATO, un proveedor de servicios en la nube necesita aún una autorización (ATO) de cualquier organismo público con el que trabaje. Una agencia gubernamental, o las organizaciones, pueden usar la aprobación P-ATO de Azure en su proceso de autorización de seguridad y usarla como la base para emitir una autorización ATO de agencia que cumpla los requisitos de FedRAMP.
Azure admite varios servicios de FedRAMP High Impact. FedRAMP High en la nube pública de Azure satisface las necesidades de muchos clientes de la Administración pública estadounidense; sin embargo, los organismos que tienen requisitos más estrictos confían en Azure Government. Las medidas de protección de Azure Government incluyen un mayor control del personal. En Azure Government, Microsoft enumera los servicios públicos de Azure disponibles, hasta el límite de FedRAMP High, y los servicios del año actual.
Además, Microsoft está comprometido con proteger y administrar los datos de los clientes mediante directivas de retención de registros establecidas con claridad. Microsoft cuenta con una amplia cartera de productos para el cumplimiento normativo. Para obtener más información, vaya a Ofertas de cumplimiento de Microsoft.
Pasos siguientes
Conceptos básicos sobre autenticación
Tipos de autenticadores de NIST
Lograr NIST AAL1 con Microsoft Entra ID