Controleniveaus van verificator
Het National Institute of Standards and Technology (NIST) ontwikkelt technische vereisten voor amerikaanse federale instanties die identiteitsoplossingen implementeren. NIST SP 800-63B heeft de technische richtlijnen voor de implementatie van digitale verificatie, met behulp van een ACL-framework (Authenticator Assurance Levels). AALs karakteriseren de verificatiesterkte van een digitale identiteit. U kunt ook meer informatie krijgen over het levenscyclusbeheer van verificator, waaronder intrekking.
De standaard bevat AAL-vereisten voor de volgende categorieën:
Toegestane verificatortypen
Verificatieniveau Federal Information Processing Standards 140 (FIPS 140). Aan fips 140-vereisten wordt voldaan door FIPS 140-2 of nieuwere revisies.
Verificatie opnieuw
Besturingselementen voor beveiliging
Man-in-the-middle (MitM) weerstand
Verifier-imitatieweerstand (phishingweerstand)
Verifier-inbreukweerstand
Herhalingsweerstand
Verificatieintentie
Bewaarbeleid voor records
Privacybesturingselementen
NIST ACL's in uw omgeving
Over het algemeen wordt AAL1 niet aanbevolen omdat het oplossingen voor alleen wachtwoorden accepteert, de eenvoudigste verificatie. Zie het blogbericht Your Pa$$word maakt niet uit voor meer informatie.
Hoewel NIST geen verificatorimitatie (referentiephishing) nodig heeft tot AAL3, raden we u aan deze bedreiging op alle niveaus aan te pakken. U kunt verificators selecteren die verificator-imitatieweerstand bieden, zoals vereisen dat apparaten zijn gekoppeld aan Microsoft Entra ID of hybride Microsoft Entra-id. Als u Office 365 gebruikt, kunt u Office 365 Advanced Threat Protection en het antiphishingbeleid gebruiken.
Wanneer u de benodigde NIST AAL voor uw organisatie evalueert, moet u overwegen of uw hele organisatie moet voldoen aan NIST-standaarden. Als er specifieke gebruikersgroepen en resources zijn die kunnen worden gescheiden, kunt u NIST AAL-configuraties toepassen op deze gebruikersgroepen en -resources.
Tip
We raden u aan ten minste AAL2 + phishing weerstand te ontmoeten. Indien nodig voldoet u aan AAL3 om zakelijke redenen, industriestandaarden of nalevingsvereisten.
Beveiligingscontroles, privacybesturingselementen, bewaarbeleid voor records
Van de Joint Authorization Board hebben Azure en Azure Government de voorlopige bevoegdheid om te werken (P-ATO) op het niveau van de NIST SP 800-53 High Impact . Deze FedRAMP-accreditatie autoriseert Azure en Azure Government om zeer gevoelige gegevens te verwerken.
Belangrijk
Azure- en Azure Government-certificeringen voldoen aan de beveiligingscontroles, privacybesturingselementen en vereisten voor bewaarbeleid voor records voor AAL1, AAL2 en AAL3.
De FedRAMP-controle van Azure en Azure Government bevatte het systeem voor informatiebeveiliging voor infrastructuur, ontwikkeling, bewerkingen, beheer en ondersteuning van services binnen het bereik. Wanneer een P-ATO wordt verleend, vereist een cloudserviceprovider een autorisatie (een ATO) van overheidsinstanties waarmee deze werkt. Overheidsinstanties of organisaties kunnen de Azure P-ATO gebruiken in hun beveiligingsautorisatieproces en deze gebruiken als basis voor het uitgeven van een agentschap ATO dat voldoet aan de Vereisten van FedRAMP.
ondersteuning voor Azure meerdere services van FedRAMP High Impact. FedRAMP High in de openbare Azure-cloud voldoet aan de behoeften van Amerikaanse overheidsklanten, maar instanties met strengere vereisten maken gebruik van Azure Government. Azure Government-beveiliging omvat verhoogde personeelscontroles. In Azure Government vermeldt Microsoft beschikbare openbare Azure-services, tot aan de grens van FedRAMP High en services voor het huidige jaar.
Daarnaast streeft Microsoft ernaar om klantgegevens te beveiligen en te beheren met duidelijk aangegeven bewaarbeleid voor records. Microsoft heeft een grote complianceportfolio. Ga naar Microsoft-nalevingsaanbiedingen voor meer informatie.
Volgende stappen
De basisbeginselen van verificatie
NIST AAL1 bereiken met Microsoft Entra-id