Cumplir los requisitos de identidad del memorándum 22-09 con el identificador de Entra de Microsoft
La Orden Ejecutiva sobre la Mejora de la Ciberseguridad de la Nación (14028), dirige a las agencias federales para avanzar las medidas de seguridad que reducen significativamente el riesgo de ataques cibernéticos exitosos contra la infraestructura digital del gobierno federal. El 26 de enero de 2022, en apoyo de la Orden Ejecutiva (EO) 14028, la Oficina de Gestión y Presupuesto (OMB) publicó la estrategia federal de Confianza Cero en M 22-09 Memorándum para Jefes de Departamentos Ejecutivos y Agencias.
En esta serie de artículos se proporcionan instrucciones para emplear Microsoft Entra ID como un sistema de administración de identidades centralizado al implementar principios de confianza cero, tal como se describe en Memo 22-09.
Memo 22-09 apoya iniciativas de Confianza Cero en agencias federales. Tiene instrucciones normativas para la ciberseguridad federal y las leyes de privacidad de datos. El memo cita el arquitectura de referencia de confianza cero (DoD) del Departamento de Defensa de Estados Unidos (DoD):
"El principio fundamental del modelo de confianza cero es que ningún actor, sistema, red o servicio que funcione fuera o dentro del perímetro de seguridad sea de confianza. En su lugar, debemos comprobar todo y todo lo que intenta establecer el acceso. Es un cambio de paradigma dramático en la filosofía de cómo protegemos nuestra infraestructura, redes y datos, desde comprobar una vez en el perímetro hasta la verificación continua de cada usuario, dispositivo, aplicación y transacción."
El memo identifica cinco objetivos principales para que las agencias federales alcancen, organizadas con el modelo de madurez de arquitectura de sistemas de información de ciberseguridad (CISA). El modelo de confianza cero de CISA describe cinco áreas complementarias de esfuerzo o pilares:
- Identidad
- Dispositivos
- Redes
- Aplicaciones y cargas de trabajo
- Datos
Los pilares se intersecan con:
- Visibilidad
- Análisis de datos
- Automatización
- Orquestación
- Gobernanza
Ámbito de la guía
Use la serie de artículos para crear un plan para cumplir los requisitos de memo. Asume el uso de productos de Microsoft 365 y un inquilino de Microsoft Entra.
Más información: Inicio rápido: Creación de un nuevo inquilino en microsoft Entra ID.
Las instrucciones de la serie de artículos abarcan las inversiones de las agencias en tecnologías de Microsoft que se alinean con las acciones relacionadas con la identidad según el memo.
- Para los usuarios de agencias, las agencias emplean sistemas centralizados de administración de identidades que se pueden integrar con aplicaciones y plataformas comunes
- Las agencias usan la autenticación multifactor sólida (MFA) para toda la empresa
- MFA se aplica en la capa de aplicación, no en la capa de red.
- Para el personal de la agencia, contratistas y asociados, se requiere MFA resistente a la suplantación de identidad (phishing)
- Para los usuarios públicos, MFA resistente a la suplantación de identidad (phishing) es una opción
- Las directivas de contraseña no requieren caracteres especiales ni rotación regular
- Cuando las agencias autorizan el acceso de los usuarios a los recursos, consideran al menos una señal de nivel de dispositivo, con información de identidad sobre el usuario autenticado.