Hitelesítő megbízhatósági szintjei
A National Institute of Standards and Technology (NIST) technikai követelményeket dolgoz ki az identitásmegoldásokat megvalósító amerikai szövetségi ügynökségek számára. Az NIST SP 800-63B rendelkezik a digitális hitelesítés implementálására vonatkozó technikai irányelvekkel, amelyek a hitelesítő megbízhatósági szintek (AALs) keretrendszerét használják. Az ACL-ek a digitális identitás hitelesítési erejét jellemzik. Megismerkedhet a hitelesítő életciklus kezelésével is, beleértve a visszavonást is.
A szabvány a következő kategóriák AAL-követelményeit tartalmazza:
Engedélyezett hitelesítő típusok
Federal Information Processing Standards 140 (FIPS 140) ellenőrzési szint. A FIPS 140 követelményeit a FIPS 140-2 vagy újabb változatok teljesítik.
Újrahitelesítés
Biztonsági vezérlők
Man-in-the-middle (MitM) ellenállás
Hitelesítő-megszemélyesítési ellenállás (adathalászati ellenállás)
Hitelesítő-kompromittáló ellenállás
Visszajátszási ellenállás
Hitelesítési szándék
Rekordmegőrzési szabályzat
Adatvédelmi vezérlők
NIST AALs a környezetben
Az AAL1 általában nem ajánlott, mert csak jelszóval rendelkező megoldásokat fogad el, a legegyszerűbben feltört hitelesítést. További információkért lásd a blogbejegyzést, a Pa$$word nem számít.
Bár az NIST nem igényel hitelesítő adatok megszemélyesítésével (hitelesítő adatok adathalászatával) szembeni ellenállást az AAL3-ig, javasoljuk, hogy minden szinten kezelje ezt a fenyegetést. Olyan hitelesítőket választhat, amelyek hitelesebb megszemélyesítési ellenállást biztosítanak, például azt, hogy az eszközök csatlakoznak a Microsoft Entra-azonosítóhoz vagy a hibrid Microsoft Entra-azonosítóhoz. Ha Office 365-öt használ, használhatja az Office 365 Advanced Threat Protectiont és annak adathalászat elleni szabályzatait.
A szervezet számára szükséges NIST AAL kiértékelése során fontolja meg, hogy a teljes szervezetnek meg kell-e felelnie az NIST szabványainak. Ha bizonyos felhasználói csoportok és erőforrások elkülöníthetők, akkor NIST AAL-konfigurációkat alkalmazhat ezekre a felhasználói csoportokra és erőforrásokra.
Tipp.
Javasoljuk, hogy legalább az AAL2-sel találkozzon. Ha szükséges, üzleti okokból, iparági szabványok vagy megfelelőségi követelmények miatt feleljen meg az AAL3-nak.
Biztonsági vezérlők, adatvédelmi vezérlők, rekordmegőrzési szabályzat
A közös engedélyezési tanácsból az Azure és az Azure Government ideiglenes hatáskörrel rendelkezik a NIST SP 800-53 Magas hatásszinten történő üzemeltetésre (P-ATO). Ez a FedRAMP-akkreditáció engedélyezi az Azure-nak és az Azure Governmentnek a rendkívül bizalmas adatok feldolgozását.
Fontos
Az Azure és az Azure Government tanúsítványai megfelelnek az AAL1, az AAL2 és az AAL3 biztonsági vezérlőinek, adatvédelmi vezérlőinek és adatmegőrzési szabályzatainak.
Az Azure és az Azure Government FedRAMP-auditja magában foglalta az infrastruktúra, a fejlesztés, az üzemeltetés, a felügyelet és a hatókörön belüli szolgáltatások támogatásának információbiztonsági felügyeleti rendszerét. A P-ATO megadásakor a felhőszolgáltatónak meg kell adnia egy engedélyt (ATO-t) a kormányzati szervektől, amellyel együttműködik. A kormányzati ügynökségek vagy szervezetek használhatják az Azure P-ATO-t a biztonsági engedélyezési folyamatuk során, és ezt használhatják a FedRAMP-követelményeknek megfelelő ügynökségI ATO kiadásának alapjául.
Azure-támogatás több szolgáltatást is használ a FedRAMP High Impact szolgáltatásban. Az Azure nyilvános felhőben található FedRAMP High megfelel az amerikai kormányzati ügyfelek igényeinek, a szigorúbb követelményekkel rendelkező ügynökségek azonban az Azure Governmentt használják. Az Azure Government védelme magában foglalja a személyzet fokozott szűrését is. Az Azure Governmentben a Microsoft felsorolja az elérhető Azure-beli közszolgáltatásokat a FedRAMP magas határig, valamint az aktuális évre vonatkozó szolgáltatásokat.
Emellett a Microsoft elkötelezett az ügyféladatok egyértelműen meghatározott adatmegőrzési szabályzatokkal való védelme és kezelése mellett. A Microsoft nagy megfelelőségi portfólióval rendelkezik. További információkért tekintse meg a Microsoft megfelelőségi ajánlatait.
Következő lépések
NIST AAL1 elérése a Microsoft Entra-azonosítóval