Authentifikator-Sicherheitsstufen
Das National Institute of Standards and Technology (NIST) entwickelt die technischen Anforderungen für US-Bundesbehörden, die Identitätslösungen implementieren. NIST SP 800-63B verfügt über die technischen Richtlinien für die Implementierung der digitalen Authentifizierung unter Verwendung eines Frameworks aus Authentifikator-Sicherheitsstufen (Authenticator Assurance Levels, AALs). AALs kennzeichnen die Stärke der Authentifizierung einer digitalen Identität. Sie erhalten auch Informationen zur Lebenszyklusverwaltung für Authentifikatoren, einschließlich der Sperrung.
Der Standard umfasst AAL-Anforderungen für die folgenden Kategorien:
Zulässige Authentifikatortypen
FIPS 140-Überprüfungsebene (Federal Information Processing Standards 140). FIPS 140-Anforderungen werden durch FIPS 140-2 oder neuere Revisionen erfüllt.
Erneute Authentifizierung
Sicherheitskontrollen
Man-in-the-Middle-(MitM)-Widerstand
Widerstand gegen Verifizierer-Identitätswechsel (Phishing-Widerstand)
Widerstand gegen Kompromittierung von Verifizierern
Replay-Widerstand
Authentifizierungsabsicht
Aufbewahrungsrichtlinie für Datensätze
Datenschutzkontrollen
NIST-AALs in Ihrer Umgebung
Im Allgemeinen wird AAL1 nicht empfohlen, weil auf dieser Stufe reine Kennwortlösungen akzeptiert werden, welche die meistgefährdete Form der Authentifizierung darstellen. Weitere Informationen finden Sie im Blogbeitrag Ihr Kennwort spielt keine Rolle.
Obwohl NIST bis AAL3 keinen Widerstand gegen Verifizierer-Identitätswechsel (Phishing von Anmeldeinformationen) erfordert, wird empfohlen, dieser Bedrohung auf allen Ebenen entgegenzuwirken. Sie können Authentifikatoren auswählen, die Widerstand gegen Verifizierer-Identitätswechsel bieten, z. B. indem die Verknüpfung von Geräten mit Microsoft Entra ID oder Microsoft Entra ID Hybrid verlangt wird. Wenn Sie Office 365 verwenden, können Sie Office 365 Advanced Threat Protection und die zugehörigen Anti-Phishing-Strategien einsetzen.
Wenn Sie die erforderliche NIST-AAL für Ihre Organisation auswählen, berücksichtigen Sie, ob Ihre gesamte Organisation NIST-Standards erfüllen muss. Wenn es bestimmte Benutzergruppen und Ressourcen gibt, die getrennt behandelt werden sollen, können Sie NIST-AAL-Konfigurationen auf diese Benutzergruppen und Ressourcen anwenden.
Tipp
Es wird empfohlen, mindestens AAL2 zu erfüllen. Wählen Sie AAL3 als Ziel, wenn dies aus geschäftlichen Gründen oder aufgrund von Branchenstandards oder Complianceanforderungen erforderlich ist.
Sicherheitskontrollen, Datenschutzkontrollen, Aufbewahrungsrichtlinie für Datensätze
Azure und Azure Government haben vom Joint Authorization Board eine vorübergehende Betriebsgenehmigung (Provisional Authority to Operate, P-ATO) für NIST SP 800-53 (Auswirkung: Hoch) erhalten. Diese FedRAMP-Akkreditierung autorisiert Azure und Azure Government zur Verarbeitung hoch sensibler Daten.
Wichtig
Azure- und Azure Government-Zertifizierungen erfüllen die Anforderungen an Sicherheitskontrollen, Datenschutzkontrollen und Datensatzaufbewahrungsrichtlinien für AAL1, AAL2 und AAL3.
Die FedRAMP-Überprüfung von Azure und Azure Government umfasste das Informationssicherheits-Managementsystem für Infrastruktur, Entwicklung, Betrieb, Verwaltung und Unterstützung bereichsspezifischer Dienste. Nachdem eine P-ATO erteilt wurde, benötigt ein Cloud-Dienstanbieter eine Autorisierung (ATO) der Regierungsbehörden, mit denen er zusammenarbeitet. Regierungsstellen oder Organisationen können die Azure-P-ATO in ihrem Sicherheitsautorisierungsprozess nutzen und diese als Grundlage für die Ausstellung einer Agentur-ATO verwenden, die die FedRAMP-Anforderungen erfüllt.
Azure unterstützt mehrere Dienste mit FedRAMP High-Wirkung. FedRAMP High erfüllt in der öffentlichen Azure-Cloud die Anforderungen von US-Behördenkunden, aber Behörden mit strengeren Anforderungen verwenden Azure Government. Azure Government-Schutzmaßnahmen beinhalten eine verstärkte Personalüberprüfung. In Azure Government listet Microsoft verfügbare öffentliche Azure-Dienste bis zur FedRAMP High-Grenze sowie Dienste für das aktuelle Jahr auf.
Darüber hinaus ist Microsoft bestrebt, Kundendaten mit klar angegebenen Aufbewahrungsrichtlinien für Datensätze zu schützen und zu verwalten. Microsoft verfügt über ein umfangreiches Complianceportfolio. Weitere Informationen finden Sie unter Microsoft-Complianceangebote.
Nächste Schritte
Authentifizierungsszenarien für Azure AD
Erzielen der NIST-Authentifikator-Sicherheitsstufe 1 (AAL1) mit Microsoft Entra ID
Erzielen der NIST-Authentifikator-Sicherheitsstufe 2 (AAL2) mit Microsoft Entra ID
Erzielen der NIST-Authentifikator-Sicherheitsstufe 3 (AAL3) mit Microsoft Entra ID