Spełnianie wymagań dotyczących tożsamości memorandum 22-09 z Microsoft Entra ID

Zarządzenie Wykonawcze w sprawie poprawy cyberbezpieczeństwa kraju (14028) nakazuje agencjom federalnym wdrażanie środków bezpieczeństwa, które znacznie zmniejszają ryzyko skutecznych cyberataków na cyfrową infrastrukturę rządu federalnego. 26 stycznia 2022 r., na poparcie zarządzenia wykonawczego (EO) 14028, Biuro Zarządzania i Budżetu (OMB) wydało federalną strategię "Zero Trust" w M 22-09 Memorandum dla dyrektorów departamentów wykonawczych i agencji.

W tej serii artykułów przedstawiono wskazówki dotyczące stosowania identyfikatora Entra firmy Microsoft jako scentralizowanego systemu zarządzania tożsamościami podczas implementowania zasad zero trust, zgodnie z opisem w notze 22-09.

Notatka 22-09 wspiera inicjatywy Zero Trust w agencjach federalnych. Zawiera ona wytyczne prawne dotyczące federalnego prawa cyberbezpieczeństwa i prywatności danych. Notatka przytacza architekturę referencyjną Departamentu Obrony USA (DoD) Zero Trust Reference Architecture:

Podstawową zasadą modelu Zero Trust jest to, że żaden podmiot, system, sieć ani usługa, działające poza lub w obrębie obwodu zabezpieczeń, nie są godne zaufania. Zamiast tego musimy zweryfikować wszystko i każdego, kto próbuje uzyskać dostęp. Jest to radykalna zmiana paradygmatów w sposobie zabezpieczania naszej infrastruktury, sieci i danych, przechodząc od jednokrotnej weryfikacji na obwodzie do ciągłej weryfikacji każdego użytkownika, urządzenia, aplikacji i transakcji.

Notatka identyfikuje pięć podstawowych celów dla agencji federalnych, które mają osiągnąć, zorganizowane za pomocą modelu dojrzałości architektury systemów informatycznych cyberbezpieczeństwa (CISA). Model CISA Zero Trust opisuje pięć uzupełniających obszarów wysiłku lub filarów:

• Tożsamość
• Urządzenia
• Sieci
• Aplikacje i obciążenia
• Dane

Filary przecinają się z następującymi elementami:

• Widoczność
• Analityka
• Automatyzacja
• Orkiestracja
• Rządzenie

Zakres wskazówek

Skorzystaj z serii artykułów, aby utworzyć plan spełniający wymagania noty. Zakłada użycie produktów Microsoft 365 i dzierżawcy Microsoft Entra.

Dowiedz się więcej: Szybki start: tworzenie nowej dzierżawy w usłudze Microsoft Entra ID.

Instrukcje z serii artykułów obejmują inwestycje agencji w technologie Microsoft, które są zgodne z działaniami opisanymi w notatce związanymi z tożsamością.

• Dla użytkowników agencji, agencje korzystają ze scentralizowanych systemów zarządzania tożsamościami, które można integrować z typowymi platformami i aplikacjami.
• Agencje korzystają z uwierzytelniania wieloskładnikowego w całej przedsiębiorstwie (MFA)
  • Weryfikacja wieloskładnikowa jest stosowana na poziomie aplikacji, a nie sieci.
  • W przypadku pracowników agencji, wykonawców i partnerów wymagana jest uwierzytelnianie wieloskładnikowe odporne na phishing.
  • W przypadku użytkowników publicznych odporne na phishing uwierzytelnianie wieloskładnikowe jest opcją.
  • Zasady haseł nie wymagają znaków specjalnych ani zwykłej rotacji
• Gdy agencje autoryzują dostęp użytkowników do zasobów, rozważają co najmniej jeden sygnał na poziomie urządzenia z informacjami o tożsamości uwierzytelnionego użytkownika

Następne kroki

• system zarządzania tożsamością w całym przedsiębiorstwie
• Spełnij wymagania dotyczące uwierzytelniania wieloskładnikowego memorandum 22-09
• Spełnienie wymagań dotyczących autoryzacji memorandum nr 22-09
• Inne obszary Zero Trustu ujęte w memorandum 22-09
• Zabezpieczanie tożsamości przy użyciu Zero Trust