Configuración de controles de nivel 1 de CMMC
Microsoft Entra ID cumple con los requisitos de prácticas relacionadas con identidades en cada nivel de certificación del modelo de madurez de ciberseguridad (CMMC). Para cumplir con los requisitos de CMMC, las empresas que trabajan con el Departamento de Defensa (DoD) de EE. UU., y en nombre de este, tienen la responsabilidad de completar otras configuraciones o procesos. En CMMC de nivel 1, hay tres dominios que tienen una o varias prácticas relacionadas con la identidad:
- Control de acceso (CA)
- Identificación y autenticación (IA)
- Integridad de la información y del sistema
Más información:
- Sitio web de CMMC de DoD: Oficina del secretario de Defensa adjunto para la certificación del modelo de madurez de la ciberseguridad de la adquisición y el sostenimiento
- Centro de descarga de Microsoft: Microsoft Product Placemat for CMMC Level 3 (versión preliminar)
El resto de este contenido está organizado por dominio y prácticas asociadas. Para cada dominio, hay una tabla con vínculos a contenido que proporciona instrucciones paso a paso a fin de llevar a cabo la práctica.
Dominio de control de acceso
En la tabla siguiente se proporciona una lista de objetivos e instrucciones de práctica, junto con indicaciones y recomendaciones de Microsoft Entra para que cumpla estos requisitos con Microsoft Entra ID.
| Instrucción y objetivos de práctica de CMMC | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| AC.L1-3.1.1 Instrucción de práctica: Limita el acceso del sistema de información a los usuarios autorizados, a los procesos que actúan en nombre de los usuarios autorizados o a los dispositivos (incluidos otros sistemas de información). Objetivos: Determinar si: [a.] se identifican los usuarios autorizados; [b.] se identifican los procesos que actúan en nombre de los usuarios autorizados; [c.] se identifican los dispositivos (y otros sistemas) autorizados para conectarse al sistema; [d.] el acceso del sistema está limitado a los usuarios autorizados; [e.] el acceso al sistema está limitado a los procesos que actúan en nombre de los usuarios autorizados; y [f.] el acceso del sistema está limitado a dispositivos autorizados (incluidos otros sistemas). |
Es responsable de configurar cuentas de Microsoft Entra, que se realizan desde sistemas externos de RR.HH., Active Directory local o directamente en la nube. El acceso condicional solo se configura para conceder acceso desde un dispositivo conocido (registrado o administrado). Además, aplique el concepto de privilegios mínimos al conceder permisos de aplicación. Siempre que sea posible, use el permiso delegado. Configuración de usuarios Configuración de dispositivos Configuración de aplicaciones Acceso condicional |
| AC.L1-3.1.2 Instrucción de práctica: Limita el acceso del sistema de información a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar. Objetivos: Determinar si: [a.] se definen los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar; y [b.] el acceso del sistema se limita a los tipos definidos de transacciones y funciones para los usuarios autorizados. |
Usted es responsable de configurar controles de acceso, como controles de acceso basados en roles (RBAC) con roles integrados o personalizados. Use grupos a los que se puedan asignar roles a fin de administrar las asignaciones de roles para varios usuarios que requieran el mismo acceso. Configure controles de acceso basados en atributos (ABAC) con atributos de seguridad predeterminados o personalizados. El objetivo es controlar de forma granular el acceso a los recursos protegidos con Microsoft Entra ID. Configurar RBAC Configuración de ABAC Configure los grupos para la asignación de roles |
| AC.L1-3.1.20 Instrucción de práctica: Verifica, controla y limita las conexiones a sistemas de información externos y el uso de estos. Objetivos: Determinar si: [a.] se identifican las conexiones a sistemas externos; [b.] se identifica el uso de sistemas externos; [c.] se verifican las conexiones a sistemas externos; [d.] se verifica el uso de sistemas externos; [e.] las conexiones a sistemas externos se controlan o limitan; y [f.] el uso de sistemas externos se controla o limita. |
Usted es responsable de configurar directivas de acceso condicional mediante controles de dispositivo o ubicaciones de red para controlar o limitar las conexiones y el uso de sistemas externos. Configure las Condiciones de uso (TOU) para la confirmación de los términos y condiciones de usuarios registrados para el uso de sistemas externos para el acceso. Configuración del acceso condicional según sea necesario Uso del acceso condicional para bloquear el acceso Configuración de las condiciones de uso |
| AC.L1-3.1.22 Información de práctica: Información de control publicada o procesada en sistemas de información de acceso público. Objetivos: Determinar si: [a.] se identifican personas autorizadas para publicar o procesar información sobre sistemas accesibles públicamente; [b.] se identifican los procedimientos para garantizar que la FCI no se publique o procese en sistemas accesibles públicamente; [c.] un proceso de revisión está en vigor antes de la publicación de cualquier contenido en sistemas accesibles públicamente; y [d.] El contenido de los sistemas accesibles públicamente se revisa para asegurarse de que no incluye información de contrato federal (FCI). |
Usted es responsable de configurar Privileged Identity Management (PIM) para administrar el acceso a los sistemas en los que la información publicada es accesible públicamente. Exija aprobaciones con justificación antes de la asignación de roles en PIM. Configure las Condiciones de uso (TOU) para los sistemas en los que la información publicada sea accesible públicamente para la confirmación registrada de los términos y condiciones para la publicación de información de acceso público. Planificación de la implementación de PIM Configuración de las condiciones de uso |
Dominio de identificación y autenticación (IA)
En la tabla siguiente se proporciona una lista de objetivos e instrucciones de práctica, junto con indicaciones y recomendaciones de Microsoft Entra para que cumpla estos requisitos con Microsoft Entra ID.
| Instrucción y objetivos de práctica de CMMC | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| IA.L1-3.5.1 Instrucción de práctica: Identifique a los usuarios del sistema de información, los procesos que actúan en nombre de los usuarios o los dispositivos. Objetivos: Determinar si: [a.] se identifican los usuarios del sistema; [b.] se identifican los procesos que actúan en nombre de los usuarios autorizados; [c.] se identifican los dispositivos que acceden al sistema. |
Microsoft Entra ID identifica de forma única usuarios, procesos (identidades de entidad de servicio o de carga de trabajo) y dispositivos mediante la propiedad ID en los objetos de directorio respectivos. Puede filtrar los archivos de registro para ayudarle con la evaluación mediante los vínculos siguientes. Utilice la referencia siguiente para cumplir los objetivos de evaluación. Filtrado de registros por propiedades de usuario Filtrado de registros por propiedades del servicio Filtrado de registros por propiedades del dispositivo |
| IA.L1-3.5.2 Información de práctica: Autentica (o comprueba) las identidades de los usuarios, procesos o dispositivos, como requisito previo, para permitir el acceso a los sistemas de información de la organización. Objetivos: Determinar si: [a.] la identidad de cada usuario se autentica o comprueba como requisito previo para el acceso al sistema; [b.] la identidad de cada proceso que actúa en nombre de un usuario se autentica o comprueba como requisito previo para el acceso al sistema; y [c.] la identidad de cada dispositivo que accede o se conecta al sistema se autentica o comprueba como requisito previo para el acceso al sistema. |
Microsoft Entra ID autentica o comprueba de forma única a cada usuario, cada proceso que actúa en nombre del usuario o cada dispositivo como requisito previo para el acceso al sistema. Utilice la referencia siguiente para cumplir los objetivos de evaluación. Configurar cuentas de usuario Configuración del identificador de Microsoft Entra ID para cumplir los niveles de garantía del autenticador de NIST Configuración de cuentas de entidad de servicio Configuración de cuentas de dispositivo |
Dominio de integridad de la información y del sistema (SI)
En la tabla siguiente se proporciona una lista de objetivos e instrucciones de práctica, junto con indicaciones y recomendaciones de Microsoft Entra para que cumpla estos requisitos con Microsoft Entra ID.
| Instrucción de práctica de CMMC | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| SI.L1-3.14.1: Identifica, notifica y corrige la información y los errores del sistema de información en el momento oportuno. SI.L1-3.14.2: Proporciona protección frente a código malintencionado en las ubicaciones correspondientes de los sistemas de información la organización. SI.L1-3.14.4: Actualiza los mecanismos de protección de código malintencionado cuando hay nuevas versiones disponibles. SI.L1-3.14.5: Realiza exámenes periódicos del sistema de información y exámenes en tiempo real de los archivos procedentes de orígenes externos cuando se descargan, se abren o se ejecutan. |
Guía consolidada para dispositivos administrados heredados Configuración del acceso condicional para requerir el dispositivo unido híbrido de Microsoft Entra. Para los dispositivos unidos a una instancia de AD local, se supone que el control de estos dispositivos se ejerce mediante soluciones de administración, como Configuration Manager o la directiva de grupo (GP). Dado que no hay ningún método para que Microsoft Entra ID determine si alguno de estos métodos se ha aplicado a un dispositivo, requerir un dispositivo unido a Microsoft Entra es un mecanismo relativamente débil para requerir un dispositivo administrado. El administrador juzga si los métodos que se aplican a sus dispositivos locales unidos a un dominio son lo suficientemente estrictos para constituir un dispositivo administrado, si el dispositivo también es un dispositivo unido a Microsoft Entra. Guía consolidada para dispositivos administrados en la nube (o con administración conjunta) Configure el acceso condicional para requerir que un dispositivo esté marcado como compatible; es la forma más eficaz de solicitar un dispositivo administrado. Esta opción requiere el registro del dispositivo en Microsoft Entra ID, e indicado como conforme por Intune o un sistema administrado de dispositivos móviles (MDM) de terceros que administra los dispositivos de Windows 10 a través de la integración de Microsoft Entra. |