Configurar controles CMMC Nível 1
O Microsoft Entra ID atende aos requisitos de prática relacionados à identidade em cada nível de Certificação de Modelo de Maturidade em Cibersegurança (CMMC). Para estar em conformidade com os requisitos do CMMC, é responsabilidade das empresas que realizam trabalhos com e em nome do Departamento de Defesa dos EUA (DoD) concluir outras configurações ou processos. No CMMC Nível 1, existem três domínios que têm uma ou mais práticas relacionadas à identidade:
- Controlo de Acessos (AC)
- Identificação e autenticação (IA)
- Integridade do sistema e da informação (SI)
Saiba mais:
- Site do DoD CMMC - Gabinete do Subsecretário de Defesa para Aquisição e Certificação do Modelo de Maturidade em Cibersegurança de Sustentação
- Centro de Download da Microsoft - Microsoft Product Placemat for CMMC Level 3 (visualização)
O restante deste conteúdo é organizado por domínio e práticas associadas. Para cada domínio, há uma tabela com links para o conteúdo que fornece orientação passo a passo para realizar a prática.
Domínio de Controle de Acesso
A tabela a seguir fornece uma lista de declaração de prática e objetivos, além de orientações e recomendações do Microsoft Entra para permitir que você atenda a esses requisitos com o Microsoft Entra ID.
| Declaração de prática e objetivos do CMMC | Orientações e recomendações do Microsoft Entra |
|---|---|
| AC. L1-3.1.1 Declaração de prática: Limitar o acesso ao sistema de informação a utilizadores autorizados, processos que atuam em nome de utilizadores autorizados ou dispositivos (incluindo outros sistemas de informação). Objetivos: Determine se: [a.] os utilizadores autorizados são identificados; [b.] são identificados os processos que atuam em nome de utilizadores autorizados; [c.] sejam identificados os dispositivos (e outros sistemas) autorizados a ligar-se ao sistema; [d.] o acesso ao sistema é limitado a utilizadores autorizados; [e.] O acesso ao sistema é limitado a processos que atuam em nome de usuários autorizados; e ainda [f.] O acesso ao sistema é limitado a dispositivos autorizados (incluindo outros sistemas). |
Você é responsável pela configuração de contas do Microsoft Entra, que é realizada a partir de sistemas de RH externos, do Ative Directory local ou diretamente na nuvem. Configurar o Acesso Condicional para conceder acesso apenas a partir de um dispositivo conhecido (Registado/Gerido). Além disso, aplique o conceito de menor privilégio ao conceder permissões de aplicativo. Sempre que possível, use a permissão delegada. Configurar utilizadores Configurar dispositivos Configurar aplicações Acesso Condicional |
| AC. L1-3.1.2 Declaração prática: Limitar o acesso ao sistema de informação aos tipos de transações e funções que os utilizadores autorizados têm permissão para executar. Objetivos: Determine se: [a.] são definidos os tipos de transações e funções que os utilizadores autorizados estão autorizados a executar; e ainda [b.] O acesso ao sistema é limitado aos tipos definidos de transações e funções para usuários autorizados. |
Você é responsável por configurar controles de acesso, como RBAC (Controles de Acesso Baseados em Função) com funções internas ou personalizadas. Use grupos atribuíveis de função para gerenciar atribuições de função para vários usuários que exigem o mesmo acesso. Configure controles de acesso baseados em atributos (ABAC) com atributos de segurança padrão ou personalizados. O objetivo é controlar granularmente o acesso a recursos protegidos com o Microsoft Entra ID. Configurar o RBAC Configurar o ABAC Configurar grupos para atribuição de função |
| AC. L1-3.1.20 Declaração prática: Verificar e controlar/limitar as ligações e a utilização de sistemas de informação externos. Objetivos: Determine se: [a.] sejam identificadas ligações a sistemas externos; [b.] a utilização de sistemas externos é identificada; [c.] são verificadas as ligações a sistemas externos; [d.] a utilização de sistemas externos é verificada; [e.] as ligações a sistemas externos são controladas e/ou limitadas; e ainda [f.] A utilização de sistemas externos é controlada e/ou limitada. |
Você é responsável por configurar políticas de Acesso Condicional usando controles de dispositivo e/ou locais de rede para controlar e/ou limitar conexões e uso de sistemas externos. Configure os Termos de Uso (TOU) para reconhecimento registrado pelo usuário dos termos e condições de uso de sistemas externos para acesso. Configurar o Acesso Condicional conforme necessário Usar o Acesso Condicional para bloquear o acesso Configurar termos de utilização |
| AC. L1-3.1.22 Declaração prática: Controlar as informações publicadas ou processadas em sistemas de informação acessíveis ao público. Objetivos: Determine se: [a.] são identificadas as pessoas autorizadas a publicar ou processar informações em sistemas acessíveis ao público; [b.] são identificados os procedimentos para garantir que a FCI não é publicada ou processada em sistemas acessíveis ao público; [c.] existe um processo de revisão antes da publicação de qualquer conteúdo em sistemas acessíveis ao público; e ainda [d.] o conteúdo em sistemas acessíveis ao público é revisado para garantir que não inclua informações sobre contratos federais (FCI). |
Você é responsável por configurar o Privileged Identity Management (PIM) para gerenciar o acesso a sistemas onde as informações publicadas são acessíveis publicamente. Exigir aprovações com justificativa antes da atribuição de função no PIM. Configure os Termos de Uso (TOU) para sistemas em que as informações publicadas são acessíveis publicamente para reconhecimento registrado dos termos e condições para publicação de informações acessíveis publicamente. Planejar a implantação do PIM Configurar termos de utilização |
Domínio de Identificação e Autenticação (IA)
A tabela a seguir fornece uma lista de declaração de prática e objetivos, além de orientações e recomendações do Microsoft Entra para permitir que você atenda a esses requisitos com o Microsoft Entra ID.
| Declaração de prática e objetivos do CMMC | Orientações e recomendações do Microsoft Entra |
|---|---|
| IA. L1-3.5.1 Declaração prática: Identificar usuários do sistema de informação, processos que atuam em nome dos usuários ou dispositivos. Objetivos: Determine se: [a.] os utilizadores do sistema são identificados; [b.] são identificados os processos que atuam em nome dos utilizadores; e ainda [c.] Os dispositivos que acedem ao sistema são identificados. |
O Microsoft Entra ID identifica exclusivamente usuários, processos (identidades de entidade de serviço/carga de trabalho) e dispositivos por meio da propriedade ID nos respetivos objetos de diretório. Você pode filtrar arquivos de log para ajudar com sua avaliação usando os links a seguir. Use a referência a seguir para atender aos objetivos da avaliação. Filtrando logs por propriedades do usuário Filtrando logs por propriedades de serviço Filtrando logs por propriedades do dispositivo |
| IA. L1-3.5.2 Declaração de prática: Autenticar (ou verificar) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informação organizacionais. Objetivos: Determine se: [a.] a identidade de cada utilizador é autenticada ou verificada como pré-requisito para o acesso ao sistema; [b.] a identidade de cada processo agindo em nome de um usuário é autenticada ou verificada como pré-requisito para o acesso ao sistema; e ainda [c.] A identidade de cada dispositivo que acessa ou se conecta ao sistema é autenticada ou verificada como pré-requisito para o acesso ao sistema. |
O Microsoft Entra ID autentica ou verifica exclusivamente cada usuário, processo agindo em nome do usuário ou dispositivo como pré-requisito para o acesso ao sistema. Use a referência a seguir para atender aos objetivos da avaliação. Configurar contas de utilizador Configurar o Microsoft Entra ID para atender aos níveis de garantia do autenticador NIST Configurar contas de entidade de serviço Configurar contas de dispositivo |
Domínio de Sistemas e Integridade da Informação (SI)
A tabela a seguir fornece uma lista de declaração de prática e objetivos, além de orientações e recomendações do Microsoft Entra para permitir que você atenda a esses requisitos com o Microsoft Entra ID.
| Declaração prática do CMMC | Orientações e recomendações do Microsoft Entra |
|---|---|
| SI. L1-3.14.1 - Identificar, reportar e corrigir informações e falhas do sistema de informação em tempo hábil. SI. L1-3.14.2 - Fornecer proteção contra códigos maliciosos em locais apropriados em sistemas de informação organizacionais. SI. L1-3.14.4 - Atualize os mecanismos de proteção contra códigos maliciosos quando novas versões estiverem disponíveis. SI. L1-3.14.5 - Execute varreduras periódicas do sistema de informação e varreduras em tempo real de arquivos de fontes externas à medida que os arquivos são baixados, abertos ou executados. |
Orientação consolidada para dispositivos gerenciados herdados Configure o Acesso Condicional para exigir o dispositivo associado híbrido do Microsoft Entra. Para dispositivos associados a um AD local, presume-se que o controle sobre esses dispositivos é imposto usando soluções de gerenciamento, como o Gerenciador de Configurações ou a política de grupo (GP). Como não há nenhum método para o Microsoft Entra ID determinar se algum desses métodos foi aplicado a um dispositivo, exigir um dispositivo associado híbrido do Microsoft Entra é um mecanismo relativamente fraco para exigir um dispositivo gerenciado. O administrador julga se os métodos aplicados aos seus dispositivos associados ao domínio no local são fortes o suficiente para constituir um dispositivo gerenciado, se o dispositivo também for um dispositivo associado híbrido do Microsoft Entra. Orientação consolidada para dispositivos gerenciados na nuvem (ou cogerenciamento) Configure o Acesso Condicional para exigir que um dispositivo seja marcado como compatível, a forma mais forte de solicitar um dispositivo gerenciado. Esta opção requer o registo do dispositivo com o Microsoft Entra ID e indicada como compatível pelo Intune ou por um sistema de gestão de dispositivos móveis (MDM) de terceiros que gere dispositivos Windows 10 através da integração com o Microsoft Entra. |