CMMC 1. szintű vezérlők konfigurálása
A Microsoft Entra ID megfelel az identitással kapcsolatos gyakorlatra vonatkozó követelményeknek minden kiberbiztonsági érettségi modell tanúsítási (CMMC) szintjén. A CMMC követelményeinek való megfelelés érdekében azoknak a vállalatoknak a feladata, amelyek más konfigurációk vagy folyamatok elvégzéséhez az EGYESÜLT Államok Védelmi Osztályával (DoD) dolgoznak, illetve azok nevében. A CMMC 1. szintjén három tartomány rendelkezik egy vagy több identitással kapcsolatos gyakorlattal:
- Hozzáférés-vezérlés (AC)
- Azonosítás és hitelesítés (IA)
- Rendszer- és információintegritás (SI)
További információ:
- DoD CMMC honlapja - Office of the Under Secretary of Defense for Acquisition & Sustainment Cybersecurity Maturity Model Certification
- Microsoft Letöltőközpont – Microsoft Product Placemat for CMMC Level 3 (előzetes verzió)
A tartalom fennmaradó részét tartomány és kapcsolódó eljárások rendezik. Minden tartományhoz tartozik egy tartalomra mutató hivatkozásokat tartalmazó táblázat, amely részletes útmutatást nyújt a gyakorlat elvégzéséhez.
Hozzáférés-vezérlési tartomány
Az alábbi táblázat felsorolja a gyakorlatra vonatkozó utasításokat és célkitűzéseket, valamint a Microsoft Entra útmutatását és javaslatait, amelyek lehetővé teszik ezeknek a követelményeknek a Microsoft Entra ID azonosítóval való teljesítését.
| A CMMC gyakorlatának nyilatkozata és célkitűzései | A Microsoft Entra útmutatásai és javaslatai |
|---|---|
| AC. L1-3.1.1 Gyakorlatutasítás: Korlátozza az információs rendszerek hozzáférését a jogosult felhasználókhoz, a jogosult felhasználók nevében eljáró folyamatokhoz vagy eszközökhöz (beleértve az egyéb információs rendszereket is). Célkitűzések: Állapítsa meg, hogy: [a.] a jogosult felhasználók azonosítása; [b.] a jogosult felhasználók nevében eljáró folyamatokat azonosítják; [c.] a rendszerhez való csatlakozásra jogosult eszközök (és egyéb rendszerek) azonosíthatók; [d.] a rendszerhozzáférés a jogosult felhasználókra korlátozódik; [e.] a rendszerhozzáférés a jogosult felhasználók nevében eljáró folyamatokra korlátozódik; és [f.] a rendszerhozzáférés engedélyezett eszközökre korlátozódik (más rendszereket is beleértve). |
Ön a felelős a Microsoft Entra-fiókok beállításáért, amely külső HR-rendszerekből, helyi Active Directory vagy közvetlenül a felhőben történik. A feltételes hozzáférést úgy konfigurálja, hogy csak egy ismert (regisztrált/felügyelt) eszközről adjon hozzáférést. Emellett alkalmazza a minimális jogosultság fogalmát az alkalmazásengedélyek megadásakor. Ha lehetséges, használjon delegált engedélyt. Felhasználók beállítása Eszközök beállítása Alkalmazások konfigurálása Feltételes hozzáférés |
| AC. L1-3.1.2 Gyakorlatutasítás: Korlátozza az információs rendszerek hozzáférését azokhoz a tranzakciókhoz és függvényekhez, amelyek végrehajtására jogosult felhasználók jogosultak. Célkitűzések: Állapítsa meg, hogy: [a.] meg kell határozni azokat a tranzakciókat és függvényeket, amelyek végrehajtására jogosult felhasználók jogosultak; és [b.] a rendszerhozzáférés az engedélyezett felhasználók számára meghatározott típusú tranzakciókra és függvényekre korlátozódik. |
Ön felel a hozzáférés-vezérlők, például a szerepköralapú hozzáférés-vezérlések (RBAC) beépített vagy egyéni szerepkörökkel való konfigurálásáért. Szerepkör-hozzárendelhető csoportok használatával kezelheti az azonos hozzáférést igénylő felhasználók szerepkör-hozzárendeléseit. Az attribútumalapú hozzáférés-vezérlők (ABAC) konfigurálása alapértelmezett vagy egyéni biztonsági attribútumokkal. A cél a Microsoft Entra ID azonosítóval védett erőforrásokhoz való hozzáférés részletes szabályozása. Az RBAC beállítása Az ABAC beállítása Csoportok konfigurálása szerepkör-hozzárendeléshez |
| AC. L1-3.1.20 Gyakorlatutasítás: Külső információs rendszerek kapcsolatainak ellenőrzése és szabályozása/korlátozása. Célkitűzések: Állapítsa meg, hogy: [a.] a külső rendszerekkel való kapcsolatok azonosíthatók; [b.] a külső rendszerek használatát azonosítják; [c.] a külső rendszerekkel való kapcsolatok ellenőrzése megtörtént; [d.] a külső rendszerek használatát ellenőrzik; [e.] a külső rendszerekhez való csatlakozás szabályozott és korlátozott; és [f.] a külső rendszerek használata szabályozott és korlátozott. |
A feltételes hozzáférési szabályzatok eszközvezérlők és hálózati helyek használatával történő konfigurálásával szabályozhatja és korlátozhatja a külső rendszerek kapcsolatait és használatát. Konfigurálja a használati feltételeket (TOU) a külső rendszerek hozzáférési feltételeinek és használati feltételeinek rögzített felhasználói elismeréséhez. Feltételes hozzáférés beállítása szükség szerint Hozzáférés letiltása feltételes hozzáféréssel Használati feltételek konfigurálása |
| AC. L1-3.1.22 Gyakorlatutasítás: A nyilvánosan elérhető információs rendszereken közzétett vagy feldolgozott információk szabályozása. Célkitűzések: Állapítsa meg, hogy: [a.] a nyilvánosan hozzáférhető rendszerekre vonatkozó információk közzétételére vagy feldolgozására jogosult személyeket azonosítják; [b.] az FCI nyilvánosan hozzáférhető rendszereken való közzétételének vagy feldolgozásának ellenőrzésére vonatkozó eljárások; [c.] a tartalom nyilvánosan hozzáférhető rendszerekbe való közzététele előtt felülvizsgálati folyamat zajlik; és [d.] a nyilvánosan elérhető rendszerek tartalmát felülvizsgáljuk annak biztosítása érdekében, hogy ne tartalmazzanak szövetségi szerződéses információkat (FCI). |
Önnek kell konfigurálnia a Privileged Identity Managementet (PIM) az olyan rendszerekhez való hozzáférés kezeléséhez, ahol a közzétett információk nyilvánosan elérhetők. A SZEREPKÖR-hozzárendelés előtt indoklással rendelkező jóváhagyások megkövetelése a PIM-ben. Konfigurálja a használati feltételeket (TOU) olyan rendszerekhez, ahol a közzétett információk nyilvánosan elérhetők a nyilvánosan hozzáférhető információk közzétételére vonatkozó feltételek és feltételek rögzített nyugtázásához. A PIM üzembe helyezésének megtervezése Használati feltételek konfigurálása |
Azonosítási és hitelesítési (IA) tartomány
Az alábbi táblázat felsorolja a gyakorlatra vonatkozó utasításokat és célkitűzéseket, valamint a Microsoft Entra útmutatását és javaslatait, amelyek lehetővé teszik ezeknek a követelményeknek a Microsoft Entra ID azonosítóval való teljesítését.
| A CMMC gyakorlatának nyilatkozata és célkitűzései | A Microsoft Entra útmutatásai és javaslatai |
|---|---|
| IA. L1-3.5.1 Gyakorlatutasítás: Az információs rendszer felhasználóinak, a felhasználók vagy eszközök nevében eljáró folyamatoknak a azonosítása. Célkitűzések: Állapítsa meg, hogy: [a.] rendszerfelhasználók azonosítása; [b.] a felhasználók nevében eljáró folyamatokat azonosítják; és [c.] A rendszer azonosítja a rendszert elérő eszközöket. |
A Microsoft Entra ID egyedileg azonosítja a felhasználókat, a folyamatokat (szolgáltatásnév/számítási feladat identitásait) és az eszközöket a megfelelő címtárobjektumok azonosító tulajdonságán keresztül. Az alábbi hivatkozások segítségével szűrheti a naplófájlokat, hogy segítsenek az értékelésben. Az értékelési célkitűzések teljesítéséhez használja az alábbi hivatkozást. Naplók szűrése felhasználói tulajdonságok szerint Naplók szűrése szolgáltatástulajdonságok szerint Naplók szűrése eszköztulajdonságok szerint |
| IA. L1-3.5.2 Gyakorlatutasítás: Ezen felhasználók, folyamatok vagy eszközök identitásainak hitelesítése (vagy ellenőrzése) előfeltételeként a szervezeti információs rendszerekhez való hozzáférés engedélyezésének. Célkitűzések: Állapítsa meg, hogy: [a.] az egyes felhasználók identitásának hitelesítése vagy ellenőrzése a rendszerhozzáférés előfeltételeként történik; [b.] a felhasználó nevében eljáró egyes folyamatok identitását a rendszerhozzáférés előfeltételeként hitelesítik vagy ellenőrzik; és [c.] a rendszerhozzáférés előfeltételeként hitelesítik vagy ellenőrzik a rendszerhez hozzáférő vagy a rendszerhez csatlakozó összes eszköz identitását. |
A Microsoft Entra ID egyedileg hitelesíti vagy ellenőrzi az egyes felhasználókat, a felhasználó nevében eljáró folyamatokat vagy eszközöket a rendszerhozzáférés előfeltételeként. Az értékelési célkitűzések teljesítéséhez használja az alábbi hivatkozást. Felhasználói fiókok beállítása A Microsoft Entra ID konfigurálása az NIST hitelesítői garanciális szintjeinek való megfeleléshez Egyszerű szolgáltatásfiókok beállítása Eszközfiókok beállítása |
Rendszer- és információintegritási (SI) tartomány
Az alábbi táblázat felsorolja a gyakorlatra vonatkozó utasításokat és célkitűzéseket, valamint a Microsoft Entra útmutatását és javaslatait, amelyek lehetővé teszik ezeknek a követelményeknek a Microsoft Entra ID azonosítóval való teljesítését.
| CMMC gyakorlatutasítás | A Microsoft Entra útmutatásai és javaslatai |
|---|---|
| SI. L1-3.14.1 – Az információs és információs rendszer hibáinak azonosítása, jelentése és javítása időben. SI. L1-3.14.2 – Védelmet nyújt a rosszindulatú kódok ellen a szervezeti információs rendszerek megfelelő helyeinél. SI. L1-3.14.4 – Rosszindulatú kódvédelmi mechanizmusok frissítése, ha új kiadások érhetők el. SI. L1-3.14.5 – Az információs rendszer rendszeres vizsgálatát és a külső forrásokból származó fájlok valós idejű vizsgálatát hajtja végre a fájlok letöltése, megnyitása vagy végrehajtása során. |
Konszolidált útmutató örökölt felügyelt eszközökhöz Konfigurálja a feltételes hozzáférést a Microsoft Entra hibrid csatlakoztatott eszköz megköveteléséhez. A helyszíni AD-hez csatlakoztatott eszközök esetében feltételezzük, hogy az eszközök vezérlése olyan felügyeleti megoldásokkal van kényszerítve, mint a Configuration Manager vagy a csoportházirend( GP). Mivel a Microsoft Entra-azonosító nem tudja megállapítani, hogy ezek közül bármelyik metódust alkalmazták-e egy eszközre, a Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése viszonylag gyenge mechanizmus egy felügyelt eszköz megköveteléséhez. A rendszergazda dönti el, hogy a helyszíni tartományhoz csatlakoztatott eszközökre alkalmazott módszerek elég erősek-e ahhoz, hogy felügyelt eszközt alkotjanak, ha az eszköz hibrid Microsoft Entra csatlakoztatott eszköz is. Összevont útmutató felhőalapú (vagy társfelügyeleti) eszközökhöz Konfigurálja a feltételes hozzáférést úgy, hogy egy eszköz megfelelőként legyen megjelölve, amely a legerősebb űrlap egy felügyelt eszköz igényléséhez. Ehhez a beállításhoz eszközregisztrációra van szükség a Microsoft Entra-azonosítóval, és az Intune vagy egy külső mobileszköz-felügyeleti (MDM) rendszer megfelelőként van megjelölve, amely a Microsoft Entra-integráción keresztül kezeli a Windows 10-eszközöket. |