Configurare i controlli di accesso alle identità per soddisfare il livello di impatto FedRAMP High
Il controllo di accesso è una parte importante del raggiungimento del funzionamento di un livello di impatto (FedRAMP High) Federal Risk and Authorization Management Program.
L'elenco seguente dei controlli e dei miglioramenti del controllo nella famiglia del controllo degli accessi (AC) potrebbe richiedere la configurazione nel tenant di Microsoft Entra.
| Famiglia del controllo | Descrizione |
|---|---|
| AC-2 | Gestione account |
| AC-6 | Privilegi minimi |
| AC-7 | Tentativi di accesso non riusciti |
| AC-8 | Notifica sull'uso del sistema |
| AC-10 | Controllo delle sessioni simultanee |
| AC-11 | Blocco della sessione |
| AC-12 | Terminazione della sessione |
| AC-20 | Uso di sistemi informatici esterni |
Ogni riga della tabella seguente fornisce indicazioni prescrittive che consentono di sviluppare la risposta dell'organizzazione a eventuali responsabilità condivise per il controllo o il miglioramento del controllo.
Configurazioni
| ID e descrizione del controllo FedRAMP | Indicazioni e consigli per Microsoft Entra |
|---|---|
| GESTIONE DEGLI ACCOUNT AC-2 L’organizzazione (b.) Assegna responsabili degli account per gli account del sistema informatico; (b.) Stabilisce le condizioni per l’adesione ai gruppi e ai ruoli; (d.) Specifica gli utenti autorizzati del sistema informatico, l’adesione ai gruppi e ai ruoli e le autorizzazioni di accesso, ovvero i privilegi, e altri attributi (come richiesto) per ogni account; (e.) Richiede le approvazioni di [Assegnazione: ruoli o personale definiti dall'organizzazione] per le richieste di creazione di account del sistema informatico; (f.) Crea, abilita, modifica, disabilita e rimuove account del sistema informatico in base a [Assegnazione: procedure o condizioni definite dall'organizzazione]; (g.) Monitora l'uso degli account del sistema informatico; (h.) Notifica i responsabili degli account: (i.) Autorizza l'accesso al sistema informatico in base a quanto segue: (j.) Verifica la conformità ai requisiti di gestione degli account [Assegnazione FedRAMP: mensile per l'accesso privilegiato, ogni sei (6) mesi per l'accesso non privilegiato]; e (k.) L'organizzazione stabilisce un processo per la nuova emissione di credenziali degli account condivisi/di gruppo (se distribuite) quando vengono rimossi singoli utenti dal gruppo. |
Implementare la gestione del ciclo di vita degli account per gli account controllati dal cliente. Monitorare l'uso degli account e notificare ai responsabili degli account gli eventi del ciclo di vita degli account. Esaminare gli account per la conformità ai requisiti di gestione degli account ogni mese per l'accesso privilegiato e ogni sei mesi per l'accesso non privilegiato. Usare Microsoft Entra ID per effettuare il provisioning di account da sistemi HR esterni, Active Directory locale o direttamente nel cloud. Tutte le operazioni del ciclo di vita dell'account vengono controllate nei log di controllo di Microsoft Entra. È possibile raccogliere e analizzare i log usando una soluzione Security Information and Event Management (SIEM), ad esempio Microsoft Sentinel. In alternativa, è possibile usare Hub eventi di Azure per integrare i log con soluzioni SIEM di terze parti per abilitare il monitoraggio e la notifica. Usare la gestione entitlement di Microsoft Entra con verifiche di accesso per garantire lo stato di conformità degli account. Provisioning degli account Monitoraggio degli account Revisione degli account Risorse
|
| AC-2(1) L'organizzazione impiega meccanismi automatici per supportare la gestione degli account del sistema informatico. |
Usare meccanismi automatizzati per supportare la gestione degli account controllati dai clienti. Configurare il provisioning automatizzato degli account controllati dai clienti da sistemi HR esterni o Active Directory locale. Per le applicazioni che supportano il provisioning di applicazioni, configurare Microsoft Entra ID per creare automaticamente identità e ruoli utente in applicazioni cloud Software as a solution (SaaS) a cui gli utenti devono accedere. Oltre a creare le identità utente, il provisioning automatico include la manutenzione e la rimozione delle identità utente quando lo stato o i ruoli cambiano. Per semplificare il monitoraggio dell'utilizzo degli account, è possibile trasmettere i log di Microsoft Entra ID Protection, che mostrano utenti a rischio, accessi a rischio, rilevamenti dei rischi e log di controllo direttamente in Microsoft Sentinel o Hub eventi. Provisioning Monitoraggio e controllo |
| AC-2(2) Il sistema informatico [Selezione FedRAMP: disabilita] gli account temporanei e di emergenza dopo [Assegnazione FedRAMP: 24 ore dall'ultimo utilizzo]. AC-02(3) AC-2 (3) Requisiti e indicazioni aggiuntivi di FedRAMP: |
Usare meccanismi automatizzati per supportare la rimozione o la disabilitazione automatica degli account temporanei e di emergenza dopo 24 ore dall'ultimo utilizzo e tutti gli account controllati dai clienti dopo 35 giorni di inattività. Implementare l'automazione della gestione degli account con Microsoft Graph e Microsoft Graph PowerShell. Usare Microsoft Graph per monitorare l'attività di accesso e Microsoft Graph PowerShell per intervenire sugli account nell'intervallo di tempo necessario. Determinare l'inattività Rimuovere o disabilitare gli account Usare i dispositivi in Microsoft Graph Consulta la documentazione di PowerShell di Microsoft Graph |
| AC-2(4) Il sistema informatico controlla automaticamente creazione, modifica, abilitazione, disabilitazione e rimozione di azioni degli account e invia una notifica ad [Assegnazione FedRAMP: organizzazione e/o proprietario del sistema del provider di servizi]. |
Implementare un sistema di controllo e notifica automatizzato per il ciclo di vita della gestione degli account controllati dai clienti. Tutte le operazioni del ciclo di vita degli account, ad esempio la creazione, la modifica, l'abilitazione, la disabilitazione e la rimozione delle azioni degli account vengono controllate all'interno dei log di controllo di Azure. È possibile trasmettere i log direttamente a Microsoft Sentinel o a Hub eventi per facilitare la notifica. Controllo Notifica |
| AC-2(5) L'organizzazione richiede che gli utenti si disconnettano quando [Assegnazione FedRAMP: è previsto che l'inattività superi quindici (15) minuti]. AC-2 (5) Requisiti e indicazioni aggiuntivi di FedRAMP: |
Implementare la disconnessione del dispositivo dopo un periodo di inattività di 15 minuti. Implementare il blocco del dispositivo usando criteri di accesso condizionale che limitano l'accesso ai dispositivi conformi. Configurare le impostazioni dei criteri nel dispositivo per applicare il blocco del dispositivo a livello di sistema operativo con soluzioni di gestione di dispositivi mobili (MDM), ad esempio Intune. Endpoint manager o gli oggetti Criteri di gruppo possono essere considerati anche nelle distribuzioni ibride. Per i dispositivi non gestiti, configurare l'impostazione Frequenza di accesso per forzare l'autenticazione degli utenti. Accesso condizionale Criteri MDM |
| AC-2(7) L’organizzazione: |
Gestire e monitorare le assegnazioni di ruolo con privilegi seguendo uno schema di accesso basato sui ruoli per gli account controllati dai clienti. Disabilitare o revocare l'accesso privilegiato per gli account quando non sono più appropriati. Implementare Privileged Identity Management di Microsoft Entra con verifiche di accesso per i ruoli con privilegi in Microsoft Entra ID per monitorare le assegnazioni di ruolo e rimuovere le assegnazioni di ruolo quando non sono più appropriate. È possibile trasmettere i log di controllo direttamente in Microsoft Sentinel o in Hub eventi per facilitare il monitoraggio. Gestione Monitoraggio |
| AC-2(11) Il sistema informatico applica [Assegnazione: condizioni di utilizzo e/o circostanze definite dall'organizzazione] per [Assegnazione: account del sistema informatico definiti dall'organizzazione]. |
Applicare l'utilizzo di account controllati dal cliente per soddisfare condizioni o circostanze definite dal cliente. Creare criteri di accesso condizionale per applicare decisioni di controllo di accesso tra utenti e dispositivi. Accesso condizionale |
| AC-2(12) L’organizzazione: AC-2 (12) (a) e AC-2 (12) (b) Requisiti e indicazioni aggiuntivi per FedRAMP: |
Monitorare e segnalare gli account controllati dai clienti con accesso privilegiato per l'utilizzo atipico. Per informazioni sul monitoraggio dell'utilizzo atipico, è possibile trasmettere i log di Microsoft Entra ID Protection, che mostrano utenti a rischio, accessi a rischio e rilevamenti dei rischi e log di controllo, che contribuiscono alla correlazione con l'assegnazione dei privilegi, direttamente in una soluzione SIEM come Microsoft Sentinel. È anche possibile usare Hub eventi per integrare i log con soluzioni SIEM di terze parti. Protezione ID Monitoraggio degli account |
| AC-2(13) L'organizzazione disabilita gli account degli utenti che presentano un rischio significativo in [Assegnazione FedRAMP: un’ora (1)] di individuazione del rischio. |
Disabilitare gli account controllati dai clienti degli utenti che rappresentano un rischio significativo in un'ora. In Microsoft Entra ID Protection, configurare e abilitare un criterio di rischio utente con la soglia impostata su Alto. Creare criteri di accesso condizionale per bloccare l'accesso per gli utenti a rischio e gli accessi a rischio. Configurare i criteri di rischio per consentire agli utenti di autocorreggere e sbloccare i tentativi di accesso successivi. Protezione ID Accesso condizionale |
| AC-6(7) L’organizzazione: |
Esaminare e convalidare tutti gli utenti con accesso privilegiato ogni anno. Assicurarsi che i privilegi vengano riassegnati (o rimossi, se necessario) per allinearsi ai requisiti aziendali e alla mission dell’organizzazione. Usare la gestione entitlement di Microsoft Entra con verifiche di accesso per gli utenti con privilegi per verificare se è necessario l'accesso privilegiato. Verifiche di accesso |
| AC-7 Tentativi di accesso non riusciti L’organizzazione: |
Applicare un limite di non più di tre tentativi di accesso consecutivi non riusciti nelle risorse implementate dal cliente entro un periodo di 15 minuti. Bloccare l'account per almeno tre ore o fino a quando non viene sbloccato da un amministratore. Abilitare le impostazioni di blocco intelligente personalizzate. Configurare la soglia di blocco e la durata del blocco in secondi per implementare questi requisiti. Blocco intelligente |
| AC-8 Notifica sull’uso del sistema Il sistema informatico: (b.) Mantiene il banner o il messaggio di notifica sullo schermo finché gli utenti non confermano di aver letto le condizioni di utilizzo e intraprendono azioni esplicite per connettersi o accedere al sistema informatico; e (c.) Per i sistemi accessibili pubblicamente: Ac-8 requisiti e linee guida aggiuntivi per FedRAMP: |
Visualizzare e richiedere l'accettazione da parte dell'utente in merito alle comunicazioni sulla privacy e sulla sicurezza prima di concedere l'accesso ai sistemi informatici. Con Microsoft Entra ID è possibile recapitare messaggi di notifica o banner per tutte le app che richiedono e registrano l’accettazione prima di concedere l'accesso. È possibile applicare in modo granulare questi criteri per le condizioni per l'utilizzo a utenti specifici (membro o guest). È anche possibile personalizzarli per ogni applicazione tramite i criteri di accesso condizionale. Condizioni per l'utilizzo |
| AC-10 Controllo delle sessioni simultanee Il sistema informatico limita il numero di sessioni simultanee per ogni [Assegnazione: account definito dall'organizzazione e/o tipo di account] per [Assegnazione FedRAMP: tre (3) sessioni per l'accesso privilegiato e due (2) per l'accesso senza privilegi]. |
Limitare le sessioni simultanee a tre sessioni per l'accesso privilegiato e due per l'accesso senza privilegi. Attualmente, gli utenti si connettono da più dispositivi, a volte in contemporanea. La limitazione delle sessioni simultanee comporta un'esperienza utente danneggiata e offre un valore di sicurezza limitato. Un approccio migliore per affrontare l’intento di questo controllo consiste nell'adottare una postura di sicurezza senza attendibilità. Le condizioni vengono convalidate in modo esplicito prima della creazione di una sessione e convalidate continuamente durante la sessione. Inoltre, utilizzare i seguenti controlli di compensazione. Usare i criteri di accesso condizionale per limitare l'accesso ai dispositivi conformi. Configurare le impostazioni dei criteri nel dispositivo per applicare restrizioni di accesso utente a livello di sistema operativo con soluzioni MDM come Intune. Endpoint manager o gli oggetti Criteri di gruppo possono essere considerati anche nelle distribuzioni ibride. Usare Privileged Identity Management per limitare e controllare ulteriormente gli account con privilegi. Configurare il blocco intelligente dell’account per i tentativi di accesso non validi. Linee guida per l'implementazione Zero Trust Accesso condizionale Criteri relativi ai dispositivi Risorse Consultare AC-12 per altre indicazioni sulla rivalutazione della sessione e sulla mitigazione dei rischi. |
| AC-11 Blocco della sessione Il sistema informatico: (a) Impedisce un ulteriore accesso al sistema avviando un blocco di sessione dopo [Assegnazione FedRAMP: quindici (15) minuti] di inattività o quando si riceve una richiesta da un utente; e (b) Mantiene il blocco della sessione finché l'utente non ristabilisce l'accesso usando procedure di identificazione e autenticazione definite. AC-11(1) |
Implementare un blocco di sessione dopo un periodo di inattività di 15 minuti o dopo aver ricevuto una richiesta da un utente. Mantenere il blocco della sessione fino a quando l'utente non esegue di nuovo l'autenticazione. Nascondere le informazioni visibili in precedenza all'avvio di un blocco di sessione. Implementare il blocco del dispositivo usando un criterio di accesso condizionale per limitare l'accesso ai dispositivi conformi. Configurare le impostazioni dei criteri nel dispositivo per applicare il blocco del dispositivo a livello di sistema operativo con soluzioni MDM come Intune. Endpoint manager o gli oggetti Criteri di gruppo possono essere considerati anche nelle distribuzioni ibride. Per i dispositivi non gestiti, configurare l'impostazione Frequenza di accesso per forzare l'autenticazione degli utenti. Accesso condizionale Criteri MDM |
| AC-12 Terminazione della sessione Il sistema informatico termina automaticamente una sessione utente dopo [Assegnazione: condizioni o eventi di attivazione definiti dall'organizzazione che richiedono la disconnessione della sessione]. |
Termina automaticamente le sessioni utente quando si verificano condizioni o eventi di attivazione definiti dall'organizzazione. Implementare la rivalutazione automatica della sessione utente con funzionalità di Microsoft Entra, ad esempio l'accesso condizionale basato sul rischio e la valutazione continua dell'accesso. È possibile implementare condizioni di inattività a livello di dispositivo, come descritto in AC-11. Risorse |
| AC-12(1) Il sistema informatico: (a.) Fornisce una funzionalità di disconnessione per le sessioni di comunicazione avviate dall'utente ogni volta che si usa l'autenticazione per accedere a [Assegnazione: risorse informatiche definite dall'organizzazione]; e (b.) Mostra agli utenti un messaggio di disconnessione esplicito, che indica la terminazione affidabile delle sessioni di comunicazione con autenticazione. Ac-8 requisiti e linee guida aggiuntivi per FedRAMP: |
Fornire una funzionalità di disconnessione per tutte le sessioni e visualizzare un messaggio di disconnessione esplicito. Tutte le interfacce Web di superficie di Microsoft Entra ID offrono una funzionalità di disconnessione per le sessioni di comunicazione avviate dall'utente. Quando le applicazioni SAML sono integrate con Microsoft Entra ID, implementare il Single Sign-Out. Funzionalità di disconnessione Visualizzare il messaggio
Risorse |
| AC-20 Uso di sistemi informatici esterni L'organizzazione stabilisce termini e condizioni, coerentemente con qualsiasi relazione di trust definita con altre organizzazioni che possiedono, eseguono e/o gestiscono sistemi informatici esterni, che consentono a singoli utenti di: (a.) Accedere al sistema informatico da sistemi informatici esterni; e (b.) Elaborare, archiviare o trasmettere informazioni controllate dall'organizzazione usando sistemi informatici esterni. AC-20(1) |
Stabilire termini e condizioni che consentono agli individui autorizzati di accedere alle risorse implementate dal cliente da sistemi informatici esterni, ad esempio dispositivi non gestiti e reti esterne. Richiedere l'accettazione delle condizioni per l'utilizzo per gli utenti autorizzati che accedono alle risorse da sistemi esterni. Implementare criteri di accesso condizionale per limitare l'accesso da sistemi esterni. I criteri di accesso condizionale possono essere integrati con Defender for Cloud Apps per fornire controlli per le applicazioni cloud e locali da sistemi esterni. La gestione di applicazioni mobili in Intune può proteggere i dati dell'organizzazione a livello di applicazione, incluse app personalizzate e app di archiviazione, da dispositivi gestiti che interagiscono con sistemi esterni. Un esempio è l'accesso ai servizi cloud. Puoi usare la gestione delle app sui dispositivi di proprietà dell'organizzazione e su quelli personali. Condizioni Accesso condizionale MDM Risorse |
