Atenda aos requisitos de identidade do memorando 22-09 com o Microsoft Entra ID

A Ordem Executiva sobre a Melhoria da Cibersegurança da Nação (14028), orienta as agências federais a avançar com medidas de segurança que reduzam significativamente o risco de ataques cibernéticos bem-sucedidos contra a infraestrutura digital do governo federal. Em 26 de janeiro de 2022, em apoio à Ordem Executiva (EO) 14028, o Gabinete de Gestão e Orçamento (OMB) divulgou a estratégia federal Zero Trust no Memorando M 22-09 para Chefes de Departamentos Executivos e Agências.

Esta série de artigos tem orientações para empregar o Microsoft Entra ID como um sistema centralizado de gerenciamento de identidades ao implementar os princípios Zero Trust, conforme descrito no Memo 22-09.

O Memo 22-09 apoia iniciativas Zero Trust em agências federais. Tem orientações regulatórias para leis federais de segurança cibernética e privacidade de dados. O memorando cita a arquitetura de referência Zero Trust do Departamento de Defesa dos EUA (DoD) :

"O princípio fundamental do Modelo Zero Trust é que nenhum ator, sistema, rede ou serviço que opere fora ou dentro do perímetro de segurança é confiável. Em vez disso, devemos verificar tudo e qualquer coisa que tente estabelecer o acesso. É uma mudança de paradigma dramática na filosofia de como protegemos nossa infraestrutura, redes e dados, desde a verificação uma vez no perímetro até a verificação contínua de cada usuário, dispositivo, aplicativo e transação."

O memorando identifica cinco objetivos principais a serem alcançados pelas agências federais, organizados com o Modelo de Maturidade da Arquitetura de Sistemas de Informação de Cibersegurança (CISA). O modelo CISA Zero Trust descreve cinco áreas complementares de esforço, ou pilares:

• Identidade
• Dispositivos
• Redes
• Aplicativos e cargas de trabalho
• Dados

Os pilares intersectam com:

• Visibilidade
• Analítica
• Automação
• Orquestração
• Governação

Âmbito das orientações

Use a série de artigos para criar um plano para atender aos requisitos de memorando. Pressupõe o uso de produtos Microsoft 365 e de um inquilino do Microsoft Entra.

Saiba mais: Início Rápido: criar um novo inquilino no Microsoft Entra ID.

As instruções da série de artigos abrangem os investimentos da agência em tecnologias Microsoft que se alinham com as ações relacionadas à identidade especificadas no memorando.

• Para os usuários da agência, as agências empregam sistemas centralizados de gerenciamento de identidade que podem ser integrados com aplicativos e plataformas comuns
• As agências usam autenticação multifator (MFA) forte em toda a empresa
  • A MFA é imposta na camada de aplicativo, não na camada de rede
  • Para funcionários de agências, contratados e parceiros, é necessária uma MFA resistente a phishing
  • Para usuários públicos, MFA resistente a phishing é uma opção
  • As políticas de senha não exigem caracteres especiais ou rotação regular
• Quando as agências autorizam o acesso do usuário aos recursos, elas consideram pelo menos um sinal no nível do dispositivo, com informações de identidade sobre o usuário autenticado

Próximos passos

• Sistema de gerenciamento de identidade em toda a empresa
• Atender aos requisitos de autenticação multifator do memorando 22-09
• Cumprir os requisitos de autorização do memorando 22-09
• Outras áreas da Zero Trust abordadas no memorando 22-09
• Protegendo a identidade com o Zero Trust