Configuración de Microsoft Entra ID para cumplir con el nivel de alto impacto de FedRAMP
Federal Risk and Authorization Management Program (FedRAMP) es un proceso de evaluación y autorización para proveedores de servicios en la nube (CSP). En concreto, el proceso es para los CSP que crean ofertas de soluciones en la nube (CSO) para usarlas con agencias federales. Azure y Azure Government han obtenido una aprobación inicial Provisional Authority to Operate (P-ATO) en el nivel de alto impacto de la Junta de autorizaciones conjuntas, el grado más alto para la acreditación de FedRAMP.
Azure proporciona la capacidad de cumplir todos los requisitos de control para obtener una clasificación alta de FedRAMP, ya sea como director de seguridad o como una agencia federal. Es responsabilidad de su organización completar las configuraciones o los procesos adicionales para el cumplimiento. Esta responsabilidad se aplica tanto a los proveedores de servicios criptográficos que buscan una autorización de alto nivel de FedRAMP para su director de seguridad, como a las agencias federales que buscan una autorización para operar (ATO).
Microsoft y FedRAMP
Microsoft Azure admite más servicios en el nivel de alto impacto de FedRAMP High que cualquier otro proveedor de servicios criptográficos. Y aunque este nivel en la nube pública de Azure cumple los requisitos de muchos clientes de la Administración Pública de Estados Unidos, las agencias con requisitos más estrictos pueden confiar en la nube de Azure Government. Azure Government proporciona medidas de seguridad adicionales, como una revisión más exhaustiva del personal.
Microsoft tiene la obligación de volver a certificar sus servicios en la nube cada año para conservar sus autorizaciones. Para ello, Microsoft supervisa y evalúa continuamente sus controles de seguridad y demuestra que la seguridad de sus servicios sigue en cumplimiento. Para más información, vea Autorizaciones de FedRAMP para Servicios en la nube de Microsoft e Informes de auditoría de FedRAMP para Microsoft. Para recibir otros informes de FedRAMP, envíe un correo electrónico a Azure Federal Documentation.
Hay varias rutas para lograr la autorización de FedRAMP. Puede reutilizar el paquete de autorización existente de Azure y las instrucciones de este documento para reducir significativamente el tiempo y el esfuerzo necesarios para obtener una autorización ATO o P-ATO.
Ámbito de la guía
La línea de base de FedRAMP High consta de 421 controles y mejoras de control del catálogo de controles de seguridad 800-53 de NIST revisión 4. Si procede, se incluyó información aclaratoria acerca de 800-53 revisión 5. Este conjunto de artículos cubre un subconjunto de estos controles, que están relacionados con la identidad y debe configurar.
Proporcionamos instrucciones prescriptivas para ayudarle a lograr el cumplimiento con los controles que tiene la responsabilidad de configurar en Microsoft Entra ID. Para cumplir por completo algunos requisitos de control de identidad, puede que necesite usar otros sistemas. Otros sistemas pueden incluir una herramienta de administración de eventos e información de seguridad, como Microsoft Sentinel. Si usa servicios de Azure distintos de Microsoft Entra ID, habrá otros controles que deberá tener en cuenta, y podrá usar las funcionalidades que Azure ya tiene para cumplir con los controles.
La siguiente es una lista de recursos de FedRAMP:
Federal Risk and Authorization Management Program (Programa de administración federal de riesgos y autorizaciones)
Definición de iniciativas integradas de Azure Policy FedRAMP High
Pasos siguientes
Configuración de controles de acceso
Configuración de los controles de identificación y autenticación