藉由Microsoft Entra ID 符合備忘錄22-09的身分識別需求
改善國家網路安全行政命令(14028年),指示聯邦機構推進安全措施,大幅降低對聯邦政府數位基礎設施成功網路攻擊的風險。 2022年1月26日,根據行政命令(EO)14028,管理與預算辦公室(OMB)在領導的執行部門與機構負責人備忘錄中發佈了聯邦零信任策略。
本文系列提供在實作零信任原則時,採用 Microsoft Entra ID 作為集中式身分識別管理系統的指引,如備忘 22-09 中所述。
備忘錄 22-09 支援聯邦機構中的零信任計劃。 它具有聯邦網路安全和數據隱私權法的法規指引。 備忘錄 引用了美國國防部(DoD)零信任參考架構:
「零信任模型的基礎原則是,安全性周邊外部或內部運作的動作專案、系統、網路或服務都不受信任。相反地,我們必須驗證任何嘗試建立存取權的任何專案和所有專案。這是一個戲劇性的範例轉變,說明我們如何保護基礎結構、網路和數據,從周邊的驗證一次,到持續驗證每個使用者、裝置、應用程式和交易。”
備忘錄確定了聯邦機構要達到的五個核心目標,該目標由網路安全資訊系統架構(CISA)成熟度模型組織。 CISA 零信任模型描述五個互補的工作領域,或支柱:
- 身份
- 設備
- 網路
- 應用程式和工作負載
- 數據
柱子與下列項目處於交集狀態:
- 能見度
- 分析學
- 自動化
- 協調 / 安排 / 編曲
- 統轄
指引範圍
使用文章系列來建置計劃以符合備忘需求。 它會假設使用 Microsoft 365 個產品和 Microsoft Entra 租使用者。
了解更多:快速入門:在 Microsoft Entra ID中建立新的租戶。
本系列文章的指示涵蓋了機構在Microsoft技術上的投資,這些技術與備忘錄中有關身份識別的行動相符。
- 針對機構使用者,機構會採用集中式身分識別管理系統,可與應用程式和通用平臺整合
- 機構使用企業範圍的強大多重要素驗證(MFA)
- MFA 會在應用層強制執行,而不是網路層
- 對於代理機構的員工、承包商和合作夥伴,需要防釣魚攻擊的多因素驗證 (MFA) 系統。
- 對於一般使用者,防範網路釣魚的多因素驗證 (MFA) 是一個選項
- 密碼原則不需要特殊字元或定期輪替
- 當機構授權使用者存取資源時,他們會考慮至少一個裝置層級的訊號,其中包含已驗證使用者的身分識別資訊