Configurare i controlli CMMC Level 2 Controllo di accesso (AC)
Microsoft Entra ID consente di soddisfare i requisiti di pratica correlati alle identità in ogni livello di certificazione cmmc (Cybersecurity Maturity Model Certification). Per essere conforme ai requisiti in CMMC V2.0 livello 2, le aziende che svolgono il lavoro, e per conto dell'Ufficio di difesa (DoD) degli Stati Uniti, hanno la responsabilità di completare altre configurazioni o processi.
In CMMC Livello 2 sono presenti 13 domini con una o più procedure correlate all'identità:
- Controllo di accesso (AC)
- Controllo e responsabilità (AU)
- Gestione della configurazione (CM)
- Identificazione e autenticazione (IA)
- Risposta agli eventi imprevisti (IR)
- Manutenzione (MA)
- Protezione dei supporti (MP)
- Sicurezza del personale (PS)
- Protezione fisica (PE)
- Valutazione dei rischi (RA)
- Valutazione della sicurezza (CA)
- Protezione dei sistemi e delle comunicazioni (SC)
- Integrità del sistema e delle informazioni (SI)
La parte restante di questo articolo fornisce indicazioni per il dominio di Controllo di accesso (AC). È disponibile una tabella con collegamenti al contenuto che fornisce indicazioni dettagliate per eseguire la procedura.
Controllo di accesso (AC)
Nella tabella seguente è riportato un elenco di obiettivi e istruzioni sulle procedure e indicazioni di Microsoft Entra per consentire di soddisfare questi requisiti con Microsoft Entra ID.
| Obiettivi e istruzioni sulle procedure CMMC | Indicazioni e consigli per Microsoft Entra |
|---|---|
| AC.L2-3.1.3 Istruzione procedurale:Controllare il flusso di CUI in conformità alle autorizzazioni approvate. Obiettivi: Determinare se: [a.] vengono definiti i criteri di controllo del flusso di informazioni; [b.] sono definiti metodi e meccanismi di imposizione per il controllo del flusso di CUI; [c.] vengono identificate le origini e le destinazioni designate (ad esempio, reti, individui e dispositivi) per CUI all'interno del sistema e tra sistemi intercfeetonneced; [d.] sono definite le autorizzazioni per il controllo del flusso di CUI; e [e.] vengono applicate le autorizzazioni approvate per il controllo del flusso di CUI. |
Configurare i criteri di accesso condizionale per controllare il flusso di CUI da posizioni attendibili, dispositivi attendibili, applicazioni approvate e richiedere criteri di protezione delle app. Per un'autorizzazione più granulare per CUI, configurare restrizioni applicate dall'app (Exchange/SharePoint Online), Controllo app (con app Microsoft Defender per il cloud), Contesto di autenticazione. Implementare l’application proxy per Microsoft Entra per fornire accesso sicuro alle applicazioni locali. Condizione della posizione nell'accesso condizionale di Microsoft Entra Controlli di concessione nel criterio di accesso condizionale - Richiedere che il dispositivo sia contrassegnato come conforme Concedere controlli nei criteri di accesso condizionale - Richiedere un dispositivo aggiunto a Microsoft Entra ibrido Controlli di concessione nei criteri di accesso condizionale - Richiedere l'app client approvata Controlli di concessione nei criteri di accesso condizionale - Richiedere il criterio di protezione delle app Controlli sessione nei criteri di accesso condizionale - Restrizioni applicate dall'applicazione Protezione con Controllo app per l'accesso condizionale di Microsoft Defender for Cloud Apps App cloud, azioni e contesto di autenticazione nei criteri di accesso condizionale Accesso remoto alle applicazioni locali con l’application proxy di Microsoft Entra Contesto di autenticazione Configurazione del contesto di autenticazione e assegnazione ai criteri di accesso condizionale Protezione delle informazioni Conoscere e proteggere i dati; aiutare a prevenire la perdita di dati. Proteggere i dati sensibili con Microsoft Purview Accesso condizionale Accesso condizionale per Azure Information Protection (AIP) Proxy dell'applicazione Accesso remoto alle applicazioni locali con l’application proxy di Microsoft Entra |
| AC.L2-3.1.4 Istruzione procedurale:Separare i compiti di singoli utenti per ridurre il rischio di attività nocive senza collusione. Obiettivi: Determinare se: [a.] sono definiti i compiti degli individui che richiedono la separazione; [b.] le responsabilità per i compiti che richiedono la separazione vengono assegnate a individui separati; e [c.] privilegi di accesso che consentono agli utenti di esercitare i compiti che richiedono la separazione vengono concessi a individui separati. |
Garantire una separazione adeguata dei compiti definendo l'ambito dell'accesso appropriato. Configurare i pacchetti di accesso di Entitlement Management per gestire l'accesso alle applicazioni, ai gruppi, ai siti di Teams e SharePoint. Configurare i controlli di separazione dei compiti all'interno dei pacchetti di accesso per evitare che un utente ottenga un accesso eccessivo. Nella gestione entitlement di Microsoft Entra è possibile configurare più criteri, con impostazioni diverse per ogni community di utenti che dovrà accedere tramite un pacchetto di accesso. Questa configurazione include restrizioni in modo che a un utente di un determinato gruppo o già assegnato un pacchetto di accesso diverso non siano assegnati altri pacchetti di accesso, in base ai criteri. Configurare le unità amministrative in Microsoft Entra ID per definire l'ambito dei privilegi amministrativi in modo che gli amministratori con ruoli con privilegi abbiano tali privilegi solo per un set limitato di oggetti directory (utenti, gruppi, dispositivi). Informazioni su Gestione entitlement Che cosa sono i pacchetti di accesso e quali risorse consentono di gestire? Configurare la separazione dei compiti per un pacchetto di accesso nella gestione entitlement di Microsoft Entra Unità amministrative in Microsoft Entra ID |
| AC.L2-3.1.5 Istruzione procedurale:Avvalersi del principio dei privilegi minimi, anche per funzioni di sicurezza specifiche e account privilegiati. Obiettivi: Determinare se: [a.] gli account con privilegi vengono identificati; [b.] l'accesso agli account con privilegi è autorizzato in conformità al principio dei privilegi minimi; [c.] vengono identificate le funzioni di sicurezza; e [d.] l'accesso alle funzioni di sicurezza è autorizzato in conformità al principio dei privilegi minimi. |
L'utente è responsabile dell'implementazione e dell'applicazione della regola dei privilegi minimi. Questa azione può essere eseguita con Privileged Identity Management per configurare l'imposizione, il monitoraggio e gli avvisi. Impostare requisiti e condizioni per l'appartenenza ai ruoli. Dopo aver identificato e gestito gli account con privilegi, usare Entitlement Lifecycle Management e verifiche di accesso per impostare, gestire e controllare un accesso adeguato. Usare l'API Microsoft Graph per individuare e monitorare i ruoli della directory. Assegnazione di ruoli Assegnare i ruoli di Microsoft Entra in PIM Assegnare i ruoli delle risorse di Azure in Privileged Identity Management Assegnare l'idoneità per l'appartenenza o la proprietà di PIM per i gruppi Configurare le impostazioni dei ruoli Configurare le impostazioni dei ruoli di Microsoft Entra in PIM Configurare le impostazioni dei ruoli delle risorse di Azure in PIM Configurare PIM per le impostazioni dei gruppi in PIM Impostare gli avvisi in Application Insights Avvisi di sicurezza per i ruoli di Microsoft Entra in PIM Configurare gli avvisi di sicurezza per i ruoli delle risorse di Azure in Privileged Identity Management |
| AC.L2-3.1.6 Istruzioni procedurali:Usare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza. Obiettivi: Determinare se: [a.] vengono identificate funzioni non di sicurezza; e [b.] gli utenti devono utilizzare account o ruoli non privilegiati quando accedono a funzioni non di sicurezza. AC.L2-3.1.7 Istruzioni procedurali: Impedire agli utenti non privilegiati di eseguire funzioni con privilegi e acquisire l'esecuzione di tali funzioni nei log di controllo. Obiettivi: Determinare se: [a.] le funzioni privilegiate sono definite; [b.] gli utenti senza privilegi sono definiti; [c.] impedire agli utenti senza privilegi di eseguire funzioni con privilegi, e [d.] l'esecuzione di funzioni con privilegi viene acquisita nei log di controllo. |
Requisiti in AC. L2-3.1.6 e AC. L2-3.1.7 si integrano tra loro. Richiedere account separati per l'uso con privilegi e senza privilegi. Configurare Privileged Identity Management (PIM) per l'accesso con privilegi JIT (Just-In-Time) e rimuovere l'accesso permanente. Configurare i criteri di accesso condizionale basati sui ruoli per limitare l'accesso all'applicazione di produttività per gli utenti con privilegi. Per gli utenti con privilegi elevati, proteggere i dispositivi come parte della storia di accesso con privilegi. Tutte le azioni con privilegi vengono acquisite nei log di controllo di Microsoft Entra. Protezione delle informazioni generali dell'accesso con privilegi Configurare le impostazioni dei ruoli di Microsoft Entra in PIM Utenti e gruppi nei criteri di accesso condizionale Perché i dispositivi con accesso privilegiato sono importanti |
| AC.L2-3.1.8 Istruzione procedurale: limitare i tentativi di accesso non riusciti. Obiettivi: Determinare se: [a.] viene definito il mezzo per limitare i tentativi di accesso non riusciti; e [b.] vengono implementati i mezzi definiti per limitare i tentativi di accesso non riusciti. |
Abilitare le impostazioni personalizzate di blocco intelligente. Configurare la soglia di blocco e la durata del blocco in secondi per implementare questi requisiti. Proteggere gli account utente da attacchi con il blocco intelligente di Microsoft Entra Gestire i valori di blocco intelligente di Microsoft Entra |
| AC.L2-3.1.9 Informativa sulle procedure: fornire avvisi sulla privacy e sulla sicurezza coerenti con le regole CUI applicabili. Obiettivi: Determinare se: [a.] le comunicazioni sulla privacy e sulla sicurezza richieste dalle regole specificate da CUI sono identificate, coerenti e associate alla categoria DI CUI specifica; e [b.] vengono visualizzate le comunicazioni sulla privacy e sulla sicurezza. |
Con Microsoft Entra ID è possibile recapitare messaggi di notifica o banner per tutte le app che richiedono e registrano l’accettazione prima di concedere l'accesso. È possibile applicare in modo granulare questi criteri per le condizioni per l'utilizzo a utenti specifici (membro o guest). È anche possibile personalizzarli per ogni applicazione tramite i criteri di accesso condizionale. Accesso condizionale Che cos'è l'accesso condizionale in Microsoft Entra ID? Condizioni per l'utilizzo Condizioni per l'utilizzo di Microsoft Entra Visualizzare il report degli utenti che hanno accettato e rifiutato |
| AC.L2-3.1.10 Istruzione pratica: usare il blocco di sessione con le visualizzazioni nascoste dal criterio per impedire l'accesso e la visualizzazione dei dati dopo un periodo di inattività. Obiettivi: Determinare se: [a.] il periodo di inattività dopo il quale il sistema avvia un blocco di sessione è definito; [b.] l'accesso al sistema e alla visualizzazione dei dati viene impedito avviando un blocco di sessione dopo il periodo di inattività definito; e [c.] le informazioni visibili in precedenza vengono nascoste tramite una visualizzazione nascosta da pattern dopo il periodo di inattività definito. |
Implementare il blocco del dispositivo usando un criterio di accesso condizionale per limitare l'accesso ai dispositivi conformi o ibridi aggiunti a Microsoft Entra. Configurare le impostazioni dei criteri nel dispositivo per applicare il blocco del dispositivo a livello di sistema operativo con soluzioni MDM come Intune. Microsoft Intune, Configuration Manager od oggetti Criteri di gruppo possono essere considerati anche nelle distribuzioni ibride. Per i dispositivi non gestiti, configurare l'impostazione Frequenza di accesso per forzare l'autenticazione degli utenti. Richiedere che il dispositivo sia contrassegnato come conforme Concedere controlli nei criteri di accesso condizionale - Richiedere un dispositivo aggiunto a Microsoft Entra ibrido Frequenza di accesso utente Configurare i dispositivi per un massimo di minuti di inattività fino al blocco dello schermo (Android, iOS, Windows 10). |
| AC.L2-3.1.11 Istruzione procedurale: Terminare (automaticamente) una sessione utente dopo una condizione definita. Obiettivi: Determinare se: [a.] sono definite condizioni che richiedono la chiusura di una sessione utente; e [b.] una sessione utente viene terminata automaticamente dopo che si verifica una delle condizioni definite. |
Abilitare la valutazione dell'accesso continuo (CAE) per tutte le applicazioni supportate. Per l'applicazione che non supporta CAE o per le condizioni non applicabili a CAE, implementare i criteri in Microsoft Defender per il cloud App per terminare automaticamente le sessioni quando si verificano condizioni. Configurare anche Microsoft Entra ID Protection per valutare l'utente e il rischio di accesso. Usare l'accesso condizionale con Microsoft Entra ID Protection per consentire all'utente di correggere automaticamente i rischi. Valutazione continua dell'accesso in Microsoft Entra ID Controllare l'utilizzo delle app cloud creando criteri Cos'è Microsoft Entra ID Protection? |
| AC.L2-3.1.12 Istruzione procedurale: Monitorare e controllare le sessioni di accesso remoto. Obiettivi: Determinare se: [a.] le sessioni di accesso remoto sono consentite; [b.] vengono identificati i tipi di accesso remoto consentito; [c.] le sessioni di accesso remoto sono controllate; e [d.] le sessioni di accesso remoto vengono monitorate. |
Nel mondo attuale, gli utenti accedono alle applicazioni basate sul cloud quasi esclusivamente in remoto da reti sconosciute o non attendibili. È fondamentale proteggere questo modello di accesso per adottare entità di attendibilità zero. Per soddisfare questi requisiti di controllo in un mondo cloud moderno, è necessario verificare in modo esplicito ogni richiesta di accesso, implementare privilegi minimi e presupporre violazioni. Configurare percorsi denominati per delineare le reti interne e esterne. Configurare il controllo delle app per l'accesso condizionale per instradare l'accesso tramite app Microsoft Defender per il cloud. Configurare Defender per il cloud App per controllare e monitorare tutte le sessioni. Guida alla distribuzione Zero Trust per Microsoft Entra ID Condizione della posizione nell'accesso condizionale di Microsoft Entra Implementare il controllo app per l'accesso condizionale di Cloud App Security per le app di Microsoft Entra Che cos'è Microsoft Defender for Cloud Apps? Avvisi di monitoraggio generati in Microsoft Defender per il cloud |
| AC.L2-3.1.13 Istruzione procedurale:Usare meccanismi di crittografia per proteggere la riservatezza delle sessioni di accesso remoto. Obiettivi: Determinare se: [a.] meccanismi di crittografia per proteggere la riservatezza delle sessioni di accesso remoto; e [b.] meccanismi di crittografia per proteggere la riservatezza delle sessioni di accesso remoto sono implementati. |
Tutti i servizi Web rivolti ai clienti Di Microsoft Entra sono protetti con il protocollo TLS (Transport Layer Security) e vengono implementati tramite la crittografia convalidata DA FIPS. Considerazioni sulla sicurezza dei dati di Microsoft Entra (microsoft.com) |
| AC.L2-3.1.14 Istruzione procedurale:Instradare l'accesso remoto tramite punti di controllo di accesso gestito. Obiettivi: Determinare se: [a.] i punti di controllo di accesso gestiti vengono identificati e implementati; e [b.] l'accesso remoto viene instradato tramite punti di controllo di accesso di rete gestiti. |
Configurare percorsi denominati per delineare le reti interne e esterne. Configurare il controllo delle app per l'accesso condizionale per instradare l'accesso tramite app Microsoft Defender per il cloud. Configurare Defender per il cloud App per controllare e monitorare tutte le sessioni. Proteggere i dispositivi usati dagli account con privilegi come parte della storia di accesso con privilegi. Condizione della posizione nell'accesso condizionale di Microsoft Entra Controlli di accesso in criteri di accesso condizionale Protezione delle informazioni generali dell'accesso con privilegi |
| AC.L2-3.1.15 Istruzione procedurale:Autorizzare l'esecuzione remota di comandi privilegiati e l'accesso remoto a informazioni rilevanti per la sicurezza. Obiettivi: Determinare se: [a.] vengono identificati i comandi con privilegi autorizzati per l'esecuzione remota; [b.] vengono identificate le informazioni rilevanti per la sicurezza autorizzate ad accedere in remoto; [c.] l'esecuzione dei comandi con privilegi identificati tramite accesso remoto è autorizzata; e [d.] l'accesso alle informazioni rilevanti per la sicurezza identificate tramite accesso remoto è autorizzato. |
L'accesso condizionale è il piano di controllo Zero Trust per impostare come destinazione i criteri per l'accesso alle app in combinazione con il contesto di autenticazione. È possibile applicare criteri diversi in tali app. Proteggere i dispositivi usati dagli account con privilegi come parte della storia di accesso con privilegi. Configurare i criteri di accesso condizionale per richiedere l'uso di questi dispositivi protetti dagli utenti con privilegi durante l'esecuzione di comandi con privilegi. App cloud, azioni e contesto di autenticazione nei criteri di accesso condizionale Protezione delle informazioni generali dell'accesso con privilegi Creazione di un filtro per il dispositivo nelle condizioni dei criteri di accesso condizionale |
| AC.L2-3.1.18 Istruzione procedurale: controllare la connessione dei dispositivi mobili. Obiettivi: Determinare se: [a.] i dispositivi mobili che elaborano, archiviano o trasmettono cui sono identificati; [b.] le connessioni di dispositivi mobili sono autorizzate; e [c.] le connessioni dei dispositivi mobili vengono monitorate e registrate. |
Configurare i criteri di gestione dei dispositivi tramite MDM (ad esempio Microsoft Intune), Configuration Manager o oggetti Criteri di gruppo per applicare la configurazione e il profilo di connessione dei dispositivi mobili. Configurare i criteri di accesso condizionale per la conformità dei dispositivi. Accesso condizionale Richiedere che il dispositivo sia contrassegnato come conforme Richiedere un dispositivo aggiunto a Microsoft Entra ibrido InTune Criteri di conformità dei dispositivi in Microsoft Intune Informazioni sulla gestione delle app in Microsoft Intune |
| AC.L2-3.1.19 Istruzione procedurale: Crittografare CUI nei dispositivi mobili e nelle piattaforme di mobile computing Obiettivi: Determinare se: [a.] i dispositivi mobili e le piattaforme informatiche mobile che elaborano, archiviano o trasmettono CUI sono identificati; e [b.] la crittografia viene usata per proteggere CUI nei dispositivi mobili identificati e nelle piattaforme di mobile computing. |
Dispositivo gestito Configurare i criteri di accesso condizionale per applicare un dispositivo aggiunto ibrido o conforme a Microsoft Entra e per garantire che i dispositivi gestiti siano configurati in modo appropriato tramite la soluzione di gestione dei dispositivi per crittografare CUI. Dispositivi non gestiti Configurare i criteri di accesso condizionale per richiedere criteri di protezione delle app. Controlli di concessione nel criterio di accesso condizionale - Richiedere che il dispositivo sia contrassegnato come conforme Concedere controlli nei criteri di accesso condizionale - Richiedere un dispositivo aggiunto a Microsoft Entra ibrido Controlli di concessione nei criteri di accesso condizionale - Richiedere il criterio di protezione delle app |
| AC.L2-3.1.21 Istruzione procedurale: Limitare l'uso di dispositivi di archiviazione portatili su sistemi esterni. Obiettivi: Determinare se: [a.] l'uso di dispositivi di archiviazione portatili contenenti CUI su sistemi esterni è identificato e documentato; [b.] vengono definiti limiti all'uso di dispositivi di archiviazione portatili contenenti CUI in sistemi esterni; e [c.] l'uso di dispositivi di archiviazione portatili contenenti CUI su sistemi esterni è limitato come stabilito. |
Configurare i criteri di gestione dei dispositivi tramite MDM (ad esempio Microsoft Intune), Configuration Manager o oggetti Criteri di gruppo per controllare l'uso di dispositivi di archiviazione portatili nei sistemi. Configurare le impostazioni dei criteri nel dispositivo Windows per impedire completamente o limitare l'uso dell'archiviazione portabile a livello di sistema operativo. Per tutti gli altri dispositivi in cui potrebbe non essere possibile controllare in modo granulare l'accesso al download di blocchi di archiviazione portabile interamente con app Microsoft Defender per il cloud. Configurare i criteri di accesso condizionale per la conformità dei dispositivi. Accesso condizionale Richiedere che il dispositivo sia contrassegnato come conforme Richiedere un dispositivo aggiunto a Microsoft Entra ibrido Configurare la gestione delle sessioni di autenticazione Intune Criteri di conformità dei dispositivi in Microsoft Intune Limitare i dispositivi USB usando modelli amministrativi in Microsoft Intune Microsoft Defender for Cloud Apps Creare criteri sessione nelle app Defender per il cloud |