配置 Microsoft Entra ID 以满足 FedRAMP High 影响级别要求
联邦风险与授权管理计划 (FedRAMP) 是针对云服务提供商 (CSP) 的评估和授权过程。 具体而言,此过程适用于那些创建在联邦机构中使用的云解决方案产品/服务 (CSO) 的 CSP。 Azure 和 Azure 政府已从联合授权委员会获得了高影响级别的暂时运营授权 (P-ATO)(FedRAMP 认证的最高标准)。
Azure 提供了满足所有控制要求的功能,可为你的 CSO 或作为联邦机构获得 FedRAMP High 评级。 你的组织负责按要求完成其他配置或流程。 这项责任既适用于寻求对其 CSO 进行 FedRAMP High 授权的 CSP,也适用于寻求运营授权 (ATO) 的联邦机构。
Microsoft 和 FedRAMP
与其他任何 CSP 相比,Microsoft Azure 在 FedRAMP High Impact 级别支持更多的服务。 虽然 Azure 公有云中的这个级别符合多个美国政府客户的需要,但要求更严格的机构可能会依赖于 Azure 政府云。 Azure 政府提供额外的保护措施,例如加强人员筛选。
Microsoft 需要每年重新认证其云服务以维护其授权。 为此,Microsoft 会持续监视和评估其安全控制,并证明其服务的安全性会保持合规。 有关详细信息,请参阅 Microsoft 云服务 FedRAMP 授权和 Microsoft FedRAMP 审核报告。 若要接收其他 FedRAMP 报表,请发送电子邮件至 Azure 联邦文档。
FedRAMP 授权有多种途径。 可以重复使用 Azure 的现有授权包和此处的指南,以显著减少获取 ATO 或 P-ATO 所需的时间和精力。
指南范围
FedRAMP High 基线由 NIST 800-53 安全控制目录修订版 4 中的 421 个控制和控制增强功能组成。 在适用的情况下,我们包括了 800-53 修订版 5 中的澄清信息。 本系列文章涵盖了这些控制中的一部分,这部分控制与标识相关,并且是必须配置的。
我们提供了规范性指南,该指南可帮助你实现你负责在 Microsoft Entra ID 中配置的控制的合规性。 若要充分满足某些标识控制要求,可能需要使用其他系统。 其他系统可能包含安全信息和事件管理工具,例如 Microsoft Sentinel。 如果在 Microsoft Entra ID 之外使用 Azure 服务,则需要考虑其他控制,但你可以使用 Azure 已有的功能来满足这些控制。
下面是 FedRAMP 资源的列表: