Atenda aos requisitos de identidade do memorando 22-09 com o Microsoft Entra ID

A Ordem Executiva para Melhorar a Segurança Cibernética do País (14028) orienta as agências federais a avançar em medidas de segurança que reduzam significativamente o risco de ataques cibernéticos bem-sucedidos contra a infraestrutura digital do governo federal. Em 26 de janeiro de 2022, em apoio à Ordem Executiva (EO) 14028, o Escritório de Gestão e Orçamento (OMB) lançou a estratégia de Confiança Zero federal no Memorando M 22-09 para Chefes de Departamentos e Agências Executivas.

Esta série de artigos tem diretrizes para empregar o Microsoft Entra ID como um sistema centralizado de gerenciamento de identidades ao implementar princípios de Confiança Zero, conforme descrito no memorando 22-09.

O memorando 22-09 dá suporte à iniciativas de Confiança Zero em agências federais. Ele possui diretrizes regulatórias para a segurança cibernética federal e as leis de privacidade de dados. O memorando cita a Arquitetura de referência de Confiança Zero do Departamento de Defesa dos EUA (DoD):

"O princípio fundamental do modelo de Confiança Zero é que nenhum ator, sistema, rede ou serviço que opera fora ou dentro do perímetro de segurança é confiável. Em vez disso, devemos verificar tudo e qualquer coisa que tente estabelecer o acesso. É uma mudança de paradigma dramática na filosofia de como protegemos nossa infraestrutura, redes e dados, desde a verificação uma vez no perímetro até a verificação contínua de cada usuário, dispositivo, aplicativo e transação."

O memorando identifica cinco metas fundamentais a serem alcançadas pelas agências federais, organizadas com o Modelo de Maturidade CISA (arquitetura de sistemas de informações de segurança cibernética). O modelo de Confiança Zero CISA descreve cinco áreas complementares de esforços, ou pilares:

• Identity
• Dispositivos
• Redes
• Aplicativos e cargas de trabalho
• Dados

Os pilares se interseccionam com:

• Visibilidade
• Análise
• Automação
• Orquestração
• Governança

Escopo das diretrizes

Use a série de artigos para criar um plano para atender aos requisitos de memorando. Ele pressupõe o uso de produtos do Microsoft 365 e um locatário Microsoft Entra.

Saiba mais: Início Rápido: como criar um novo locatário no Microsoft Entra ID.

As instruções da série de artigos abrangem investimentos de agências em tecnologias da Microsoft que se alinham com as ações relacionadas à identidade do memorando.

• Para usuários de agências, as agências empregam sistemas centralizados de gerenciamento de identidades que podem ser integrados a aplicativos e plataformas comuns
• As agências usam autenticação multifator (MFA) forte em toda a empresa
  • A MFA é imposta na camada do aplicativo, não na camada de rede
  • Para a equipe da agência, prestadores de serviço e parceiros, a MFA resistente a phishing é necessária
  • Para usuários públicos, MFA resistente a phishing é uma opção
  • As políticas de senha não exigem caracteres especiais ou rotação regular
• Quando as agências autorizam o acesso de usuários aos recursos, elas consideram pelo menos um sinal no nível do dispositivo, com informações de identidade sobre o usuário autenticado

Próximas etapas

• Sistema de gerenciamento de identidade para toda a empresa
• Atender aos requisitos de autenticação multifator do memorando 22-09
• Atender aos requisitos de autorização do memorando 22-09
• Outras áreas de Confiança Zero abordadas no memorando 22-09
• Proteger a identidade com a Confiança Zero