Livelli di garanzia dell'autenticatore
Il National Institute of Standards and Technology (NIST) sviluppa requisiti tecnici per le agenzie federali statunitensi che implementano soluzioni di identità. NIST SP 800-63B ha le linee guida tecniche per l'implementazione dell'autenticazione digitale, usando un framework di controllo dell'autenticatore (AALs). Gli AALs caratterizzano la forza di autenticazione di un'identità digitale. È anche possibile ottenere informazioni sulla gestione del ciclo di vita dell'autenticatore, inclusa la revoca.
Lo standard include i requisiti di AAL per le categorie seguenti:
Tipi di authenticator consentiti
Livello di verifica FIPS 140 (Federal Information Processing Standards 140). I requisiti FIPS 140 sono soddisfatti dalle revisioni FIPS 140-2 o successive.
Riautenticazione
Controlli di sicurezza
Resistenza man-in-the-middle (MitM)
Resistenza alla rappresentazione del verifier (resistenza al phishing)
Resistenza alla compromissione del verificatore
Replay resistente
Finalità di autenticazione
Criteri di conservazione dei record
Controlli Privacy
NIST AALs nell'ambiente
In generale, AAL1 non è consigliato perché accetta soluzioni solo password, l'autenticazione più facilmente compromessa. Per altre informazioni, vedere il post di blog Pa$$word non importa.
Anche se NIST non richiede la resistenza alla rappresentazione del classificatore (phishing delle credenziali) fino a AAL3, ti consigliamo di affrontare questa minaccia a tutti i livelli. È possibile selezionare autenticatori che forniscono resistenza alla rappresentazione del verificatore, ad esempio la richiesta di dispositivi vengono aggiunti all'ID Microsoft Entra o all'ID Microsoft Entra ibrido. Se si usa Office 365, è possibile usare Office 365 Advanced Threat Protection e i relativi criteri anti-phishing.
Quando si valuta l'AAL NIST necessario per l'organizzazione, valutare se l'intera organizzazione deve soddisfare gli standard NIST. Se sono presenti gruppi di utenti e risorse specifici che possono essere separati, è possibile applicare configurazioni AAL NIST a tali gruppi di utenti e risorse.
Suggerimento
Ti consigliamo di incontrare almeno AAL2 + resistenza al phishing. Se necessario, soddisfare AAL3 per motivi aziendali, standard di settore o requisiti di conformità.
Controlli di sicurezza, controlli della privacy, criteri di conservazione dei record
Dal Consiglio di autorizzazione congiunto, Azure e Azure per enti pubblici hanno l'autorità provvisoria di operare (P-ATO) al livello di impatto elevato NIST SP 800-53. Questo accreditamento FedRAMP autorizza Azure e Azure per enti pubblici a elaborare dati altamente sensibili.
Importante
Le certificazioni di Azure e Azure per enti pubblici soddisfano i controlli di sicurezza, i controlli della privacy e i requisiti dei criteri di conservazione dei record per AAL1, AAL2 e AAL3.
Il controllo FedRAMP di Azure e Azure per enti pubblici incluso il sistema di gestione della sicurezza delle informazioni per l'infrastruttura, lo sviluppo, le operazioni, la gestione e il supporto dei servizi nell'ambito. Quando viene concesso un P-ATO, un provider di servizi cloud richiede un'autorizzazione (ATO) da enti pubblici con cui funziona. Le agenzie governative, o le organizzazioni, possono usare Azure P-ATO nel processo di autorizzazione di sicurezza e usarlo come base per rilasciare un'agenzia ATO che soddisfi i requisiti FedRAMP.
supporto tecnico di Azure più servizi in FedRAMP High Impact. FedRAMP High nel cloud pubblico di Azure soddisfa le esigenze dei clienti del governo degli Stati Uniti, ma le agenzie con requisiti più rigorosi usano Azure per enti pubblici. Azure per enti pubblici misure di sicurezza includono lo screening del personale più alto. In Azure per enti pubblici, Microsoft elenca i servizi pubblici di Azure disponibili, fino al limite FedRAMP High e ai servizi per l'anno corrente.
Inoltre, Microsoft si impegna a proteggere e gestire i dati dei clienti con criteri di conservazione dei record chiaramente indicati. Microsoft ha un ampio portfolio di conformità. Per altre informazioni, vedere Offerte di conformità Microsoft.
Passaggi successivi
Informazioni sugli elenchi di controllo di accesso
Nozioni di base sull'autenticazione
Ottenere NIST AAL1 con Microsoft Entra ID