Condividi tramite


Livelli di garanzia dell'autenticatore

Il National Institute of Standards and Technology (NIST) sviluppa requisiti tecnici per le agenzie federali statunitensi che implementano soluzioni di identità. NIST SP 800-63B ha le linee guida tecniche per l'implementazione dell'autenticazione digitale, usando un framework di controllo dell'autenticatore (AALs). Gli AALs caratterizzano la forza di autenticazione di un'identità digitale. È anche possibile ottenere informazioni sulla gestione del ciclo di vita dell'autenticatore, inclusa la revoca.

Lo standard include i requisiti di AAL per le categorie seguenti:

  • Tipi di authenticator consentiti

  • Livello di verifica FIPS 140 (Federal Information Processing Standards 140). I requisiti FIPS 140 sono soddisfatti dalle revisioni FIPS 140-2 o successive.

  • Riautenticazione

  • Controlli di sicurezza

  • Resistenza man-in-the-middle (MitM)

  • Resistenza alla rappresentazione del verifier (resistenza al phishing)

  • Resistenza alla compromissione del verificatore

  • Replay resistente

  • Finalità di autenticazione

  • Criteri di conservazione dei record

  • Controlli Privacy

NIST AALs nell'ambiente

In generale, AAL1 non è consigliato perché accetta soluzioni solo password, l'autenticazione più facilmente compromessa. Per altre informazioni, vedere il post di blog Pa$$word non importa.

Anche se NIST non richiede la resistenza alla rappresentazione del classificatore (phishing delle credenziali) fino a AAL3, ti consigliamo di affrontare questa minaccia a tutti i livelli. È possibile selezionare autenticatori che forniscono resistenza alla rappresentazione del verificatore, ad esempio la richiesta di dispositivi vengono aggiunti all'ID Microsoft Entra o all'ID Microsoft Entra ibrido. Se si usa Office 365, è possibile usare Office 365 Advanced Threat Protection e i relativi criteri anti-phishing.

Quando si valuta l'AAL NIST necessario per l'organizzazione, valutare se l'intera organizzazione deve soddisfare gli standard NIST. Se sono presenti gruppi di utenti e risorse specifici che possono essere separati, è possibile applicare configurazioni AAL NIST a tali gruppi di utenti e risorse.

Suggerimento

Ti consigliamo di incontrare almeno AAL2 + resistenza al phishing. Se necessario, soddisfare AAL3 per motivi aziendali, standard di settore o requisiti di conformità.

Controlli di sicurezza, controlli della privacy, criteri di conservazione dei record

Dal Consiglio di autorizzazione congiunto, Azure e Azure per enti pubblici hanno l'autorità provvisoria di operare (P-ATO) al livello di impatto elevato NIST SP 800-53. Questo accreditamento FedRAMP autorizza Azure e Azure per enti pubblici a elaborare dati altamente sensibili.

Importante

Le certificazioni di Azure e Azure per enti pubblici soddisfano i controlli di sicurezza, i controlli della privacy e i requisiti dei criteri di conservazione dei record per AAL1, AAL2 e AAL3.

Il controllo FedRAMP di Azure e Azure per enti pubblici incluso il sistema di gestione della sicurezza delle informazioni per l'infrastruttura, lo sviluppo, le operazioni, la gestione e il supporto dei servizi nell'ambito. Quando viene concesso un P-ATO, un provider di servizi cloud richiede un'autorizzazione (ATO) da enti pubblici con cui funziona. Le agenzie governative, o le organizzazioni, possono usare Azure P-ATO nel processo di autorizzazione di sicurezza e usarlo come base per rilasciare un'agenzia ATO che soddisfi i requisiti FedRAMP.

supporto tecnico di Azure più servizi in FedRAMP High Impact. FedRAMP High nel cloud pubblico di Azure soddisfa le esigenze dei clienti del governo degli Stati Uniti, ma le agenzie con requisiti più rigorosi usano Azure per enti pubblici. Azure per enti pubblici misure di sicurezza includono lo screening del personale più alto. In Azure per enti pubblici, Microsoft elenca i servizi pubblici di Azure disponibili, fino al limite FedRAMP High e ai servizi per l'anno corrente.

Inoltre, Microsoft si impegna a proteggere e gestire i dati dei clienti con criteri di conservazione dei record chiaramente indicati. Microsoft ha un ampio portfolio di conformità. Per altre informazioni, vedere Offerte di conformità Microsoft.

Passaggi successivi

Panoramica del NIST

Informazioni sugli elenchi di controllo di accesso

Nozioni di base sull'autenticazione

Tipi di autenticatore NIST

Ottenere NIST AAL1 con Microsoft Entra ID

Ottenere NIST AAL2 con Microsoft Entra ID

Ottenere NIST AAL3 con Microsoft Entra ID