Níveis de garantia do autenticador
O National Institute of Standards and Technology (NIST) desenvolve requisitos técnicos para agências federais dos EUA que implementam soluções de identidade. O NIST SP 800-63B tem as diretrizes técnicas para a implementação da autenticação digital, usando uma estrutura de níveis de garantia de autenticador (AALs). As AALs caracterizam a força de autenticação de uma identidade digital. Você também pode aprender sobre o gerenciamento do ciclo de vida do autenticador, incluindo a revogação.
A norma inclui requisitos AAL para as seguintes categorias:
Tipos de autenticador permitidos
Nível de verificação das Normas Federais de Processamento de Informações 140 (FIPS 140). Os requisitos do FIPS 140 são satisfeitos pelo FIPS 140-2 ou por revisões mais recentes.
Reautenticação
Controlos de segurança
Resistência Man-in-the-middle (MitM)
Resistência à representação do verificador (resistência ao phishing)
Resistência ao compromisso do verificador
Resistência à repetição
Intenção de autenticação
Política de retenção de registros
Controlos de privacidade
AALs NIST no seu ambiente
Em geral, o AAL1 não é recomendado porque aceita soluções somente com senha, a autenticação mais facilmente comprometida. Para obter mais informações, consulte a postagem do blog, Your Pa$$word doesn't matter.
Embora o NIST não exija resistência à representação do verificador (phishing de credenciais) até AAL3, recomendamos que você enfrente essa ameaça em todos os níveis. Você pode selecionar autenticadores que forneçam resistência à representação do verificador, como exigir que os dispositivos sejam associados à ID do Microsoft Entra ou à ID híbrida do Microsoft Entra. Se estiver a utilizar o Office 365, pode utilizar a Proteção Avançada contra Ameaças do Office 365 e as respetivas políticas antiphishing.
Ao avaliar o AAL NIST necessário para sua organização, considere se toda a organização deve atender aos padrões do NIST. Se houver grupos de usuários e recursos específicos que possam ser segregados, você poderá aplicar as configurações do NIST AAL a esses grupos de usuários e recursos.
Gorjeta
Recomendamos que você conheça pelo menos AAL2 + resistência a phishing. Se necessário, atenda ao AAL3 por motivos comerciais, padrões do setor ou requisitos de conformidade.
Controles de segurança, controles de privacidade, política de retenção de registros
A partir do Joint Authorization Board, o Azure e o Azure Government têm autoridade provisória para operar (P-ATO) no nível de Alto Impacto NIST SP 800-53. Esta acreditação FedRAMP autoriza o Azure e o Azure Government a processar dados altamente confidenciais.
Importante
As certificações do Azure e do Azure Government satisfazem os controles de segurança, controles de privacidade e requisitos de política de retenção de registros para AAL1, AAL2 e AAL3.
A auditoria FedRAMP do Azure e do Azure Government incluiu o sistema de gerenciamento de segurança da informação para infraestrutura, desenvolvimento, operações, gerenciamento e suporte de serviços no escopo. Quando um P-ATO é concedido, um provedor de serviços de nuvem requer uma autorização (uma ATO) de agências governamentais com as quais trabalha. Agências governamentais ou organizações podem usar o Azure P-ATO em seu processo de autorização de segurança e usá-lo como base para emitir um ATO de agência que atenda aos requisitos do FedRAMP.
O Azure suporta vários serviços no FedRAMP High Impact. O FedRAMP High na nuvem pública do Azure atende às necessidades dos clientes do governo dos EUA, no entanto, agências com requisitos mais rigorosos usam o Azure Government. As proteções do Azure Government incluem uma triagem de pessoal reforçada. No Azure Government, a Microsoft lista os serviços públicos do Azure disponíveis, até o limite Alto do FedRAMP, e os serviços para o ano atual.
Além disso, a Microsoft está comprometida em proteger e gerenciar os dados dos clientes com políticas de retenção de registros claramente declaradas. A Microsoft tem um grande portfólio de conformidade. Para ver mais, vá para Ofertas de conformidade da Microsoft.
Próximos passos
Noções básicas de autenticação
Alcance o NIST AAL1 com o Microsoft Entra ID