Voldoen aan identiteitsvereisten van memorandum 22-09 met Microsoft Entra ID

De Executive Order on Improving the Nation's Cybersecurity (14028), stuurt federale agentschappen om te zorgen voor geavanceerde veiligheidsmaatregelen die het risico op succesvolle cyberaanvallen tegen de digitale infrastructuur van de federale overheid aanzienlijk verminderen. Op 26 januari 2022, ter ondersteuning van het Executive Order (EO) 14028, heeft het Bureau voor Beheer en Budget (OMB) de federal Zero Trust-strategie uitgebracht in M 22-09 Memorandum voor hoofden van directieafdelingen en agentschappen.

Deze reeks artikelen bevat richtlijnen voor het gebruik van Microsoft Entra ID als gecentraliseerd identiteitsbeheersysteem bij het implementeren van Zero Trust-principes, zoals beschreven in Memo 22-09.

Memo 22-09 ondersteunt Zero Trust-initiatieven in federale agentschappen. Het heeft richtlijnen voor regelgeving voor federale cyberbeveiliging en wetgeving inzake gegevensprivacy. De memo citeert de Amerikaanse Ministerie van Defensie (DoD) Zero Trust Reference Architecture:

"Het fundamentele tenet van het Zero Trust-model is dat er geen actor, systeem, netwerk of service buiten of binnen de beveiligingsperimeter wordt vertrouwd. In plaats daarvan moeten we alles en alles verifiëren om toegang tot stand te brengen. Het is een dramatische paradigmaverschuiving in de filosofie van hoe we onze infrastructuur, netwerken en gegevens beveiligen, van verificatie in één keer op de perimeter tot continue verificatie van elke gebruiker, apparaat, toepassing en transactie."

Het memo identificeert vijf kerndoelen voor federale agentschappen om te bereiken, gestructureerd volgens het Cybersecurity Information Systems Architecture (CISA) Maturity Model. Het CISA Zero Trust-model beschrijft vijf complementaire inspanningsgebieden of pijlers:

• Identiteit
• Apparaten
• Netwerken
• Toepassingen en workloads
• Gegevens

De pijlers kruisen met:

• Zichtbaarheid
• Analytics
• Automatisering
• Orkestratie
• Bestuur

Bereik van richtlijnen

Gebruik de reeks artikelen om een plan te maken om te voldoen aan de memovereisten. Hierbij wordt ervan uitgegaan dat microsoft 365-producten en een Microsoft Entra-tenant worden gebruikt.

Meer informatie: quickstart: Een nieuwe tenant maken in Microsoft Entra ID.

De instructies voor de artikelenreeks omvatten investeringen in Microsoft-technologieën die aansluiten bij de identiteitsgerelateerde acties van de memo.

• Voor bureaugebruikers maken agentschappen gebruik van gecentraliseerde identiteitsbeheersystemen die kunnen worden geïntegreerd met toepassingen en algemene platforms
• Agentschappen gebruiken bedrijfsbrede, sterke meervoudige verificatie (MFA)
  • MFA wordt afgedwongen op de toepassingslaag, niet op de netwerklaag
  • Voor bureaupersoneel, aannemers en partners is phishingbestendige MFA vereist
  • Voor openbare gebruikers is phishingbestendige MFA een optie
  • Wachtwoordbeleid vereist geen speciale tekens of regelmatige rotatie
• Wanneer instanties gebruikerstoegang tot resources autoriseren, overwegen ze ten minste één signaal op apparaatniveau, met identiteitsgegevens over de geverifieerde gebruiker

Volgende stappen

• Bedrijfsbreed identiteitsbeheersysteem
• Voldoen aan meervoudige verificatievereisten van memorandum 22-09
• Voldoen aan autorisatievereisten van memorandum 22-09
• Andere gebieden van Zero Trust die zijn behandeld in memorandum 22-09
• Identiteit beveiligen met Zero Trust