Mengonfigurasi kontrol CMMC Level 1
MICROSOFT Entra ID memenuhi persyaratan praktik terkait identitas di setiap tingkat Sertifikasi Model Kematangan Keamanan Cyber (CMMC). Untuk mematuhi persyaratan dalam CMMC, perusahaan yang melakukan pekerjaan dengan perusahaan, dan atas nama, Departemen Pertahanan AS (DoD) untuk menyelesaikan konfigurasi atau proses lain. Di CMMC Tingkat 1, ada tiga domain yang memiliki satu atau beberapa praktik yang terkait dengan identitas:
- Kontrol Akses (AC)
- Identifikasi dan Autentikasi (IA)
- Integritas Sistem dan Informasi (SI)
Selengkapnya:
- Situs web DoD CMMC - Kantor Di bawah Sekretaris Pertahanan untuk Akuisisi & Sertifikasi Model Kematangan Keamanan Cyber Berkelanjutan
- Pusat Unduhan Microsoft - Microsoft Product Placemat untuk CMMC Level 3 (pratinjau)
Sisa konten ini diatur menurut domain dan praktik terkait. Untuk setiap domain, ada tabel dengan tautan ke konten yang menyediakan panduan langkah demi langkah untuk menyelesaikan praktik.
Domain Microsoft Azure Access Control Service
Tabel berikut ini menyediakan daftar pernyataan dan tujuan praktik, serta panduan dan rekomendasi Microsoft Entra untuk memungkinkan Anda memenuhi persyaratan ini dengan ID Microsoft Entra.
| Pernyataan dan tujuan praktik CMMC | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| AC. L1-3.1.1 Pernyataan praktik: Membatasi akses sistem informasi ke pengguna yang berwenang, proses yang bertindak atas nama pengguna yang berwenang, atau perangkat (termasuk sistem informasi lainnya). Tujuan: Tentukan apakah: [a.] pengguna yang berwenang diidentifikasi; [b.] proses yang bertindak atas nama pengguna yang berwenang diidentifikasi; [c.] perangkat (dan sistem lain) yang berwenang untuk terhubung ke sistem diidentifikasi; [d.] akses sistem terbatas pada pengguna yang berwenang; [e.] akses sistem terbatas pada proses yang bertindak atas nama pengguna yang berwenang; dan [f.] akses sistem terbatas pada perangkat resmi (termasuk sistem lain). |
Anda bertanggung jawab untuk menyiapkan akun Microsoft Entra, yang dicapai dari sistem SDM eksternal, Active Directory lokal, atau langsung di cloud. Anda mengonfigurasi Akses Bersyarah untuk hanya memberikan akses dari perangkat yang diketahui (Terdaftar/Terkelola). Selain itu, terapkan konsep hak istimewa paling sedikit saat memberikan izin aplikasi. Jika memungkinkan, gunakan izin yang didelegasikan. Menyiapkan pengguna Menyiapkan perangkat Mengonfigurasi aplikasi Akses Bersyarat |
| AC. L1-3.1.2 Pernyataan praktik: Batasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan untuk dijalankan oleh pengguna yang berwenang. Tujuan: Tentukan apakah: [a.] jenis transaksi dan fungsi yang diizinkan untuk dijalankan oleh pengguna yang berwenang; dan [b.] akses sistem terbatas pada jenis transaksi dan fungsi yang ditentukan untuk pengguna yang berwenang. |
Anda bertanggung jawab untuk mengonfigurasi kontrol akses seperti Kontrol Akses Berbasis Peran (RBAC) dengan peran bawaan atau kustom. Gunakan grup yang dapat ditetapkan peran untuk mengelola penetapan peran untuk beberapa pengguna yang memerlukan akses yang sama. Konfigurasikan Kontrol Akses Berbasis Atribut (ABAC) dengan atribut keamanan default atau kustom. Tujuannya adalah untuk mengontrol akses secara terperinci ke sumber daya yang dilindungi dengan ID Microsoft Entra. Menyiapkan RBAC Menyiapkan ABAC Mengonfigurasi grup untuk penetapan peran |
| AC. L1-3.1.20 Pernyataan praktik: Memverifikasi dan mengontrol/membatasi koneksi ke dan penggunaan sistem informasi eksternal. Tujuan: Tentukan apakah: [a.] koneksi ke sistem eksternal diidentifikasi; [b.] penggunaan sistem eksternal diidentifikasi; [c.] koneksi ke sistem eksternal diverifikasi; [d.] penggunaan sistem eksternal diverifikasi; [e.] koneksi ke sistem eksternal dikontrol dan atau dibatasi; dan [f.] penggunaan sistem eksternal dikontrol dan atau terbatas. |
Anda bertanggung jawab untuk mengonfigurasi kebijakan Akses Bersyar menggunakan kontrol perangkat dan atau lokasi jaringan untuk mengontrol dan atau membatasi koneksi dan penggunaan sistem eksternal. Konfigurasikan Ketentuan Penggunaan (TOU) untuk pengguna yang direkam mengakui syarat dan ketentuan untuk penggunaan sistem eksternal untuk akses. Menyiapkan Akses Bersyarat sesuai kebutuhan Menggunakan Akses Bersyarah untuk memblokir akses Mengonfigurasi ketentuan penggunaan |
| AC. L1-3.1.22 Pernyataan praktik: Mengontrol informasi yang diposting atau diproses pada sistem informasi yang dapat diakses publik. Tujuan: Tentukan apakah: [a.] individu yang berwenang untuk memposting atau memproses informasi tentang sistem yang dapat diakses publik diidentifikasi; [b.] prosedur untuk memastikan FCI tidak diposting atau diproses pada sistem yang dapat diakses publik diidentifikasi; [c.] proses peninjauan dilakukan sebelum memposting konten apa pun ke sistem yang dapat diakses publik; dan [d.] konten pada sistem yang dapat diakses publik ditinjau untuk memastikan bahwa konten tersebut tidak menyertakan informasi kontrak federal (FCI). |
Anda bertanggung jawab untuk mengonfigurasi Privileged Identity Management (PIM) untuk mengelola akses ke sistem tempat informasi yang diposting dapat diakses secara publik. Memerlukan persetujuan dengan pembenaran sebelum penetapan peran di PIM. Konfigurasikan Ketentuan Penggunaan (TOU) untuk sistem di mana informasi yang diposting dapat diakses secara publik untuk pengakuan yang dicatat tentang syarat dan ketentuan untuk memposting informasi yang dapat diakses publik. Merencanakan penyebaran PIM Mengonfigurasi ketentuan penggunaan |
Domain Identifikasi dan Autentikasi (IA)
Tabel berikut ini menyediakan daftar pernyataan dan tujuan praktik, serta panduan dan rekomendasi Microsoft Entra untuk memungkinkan Anda memenuhi persyaratan ini dengan ID Microsoft Entra.
| Pernyataan dan tujuan praktik CMMC | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| IA. L1-3.5.1 Pernyataan praktik: Mengidentifikasi pengguna sistem informasi, proses yang bertindak atas nama pengguna, atau perangkat. Tujuan: Tentukan apakah: [a.] pengguna sistem diidentifikasi; [b.] proses yang bertindak atas nama pengguna diidentifikasi; dan [c.] perangkat yang mengakses sistem diidentifikasi. |
ID Microsoft Entra secara unik mengidentifikasi pengguna, proses (perwakilan layanan/identitas beban kerja), dan perangkat melalui properti ID pada objek direktori masing-masing. Anda dapat memfilter file log untuk membantu penilaian Anda menggunakan tautan berikut. Gunakan referensi berikut untuk memenuhi tujuan penilaian. Memfilter log menurut properti pengguna Memfilter log menurut properti layanan Memfilter log menurut properti perangkat |
| IA. L1-3.5.2 Pernyataan praktik: Mengautentikasi (atau memverifikasi) identitas pengguna, proses, atau perangkat tersebut, sebagai prasyarat untuk mengizinkan akses ke sistem informasi organisasi. Tujuan: Tentukan apakah: [a.] identitas setiap pengguna diautentikasi atau diverifikasi sebagai prasyarat untuk akses sistem; [b.] identitas setiap proses yang bertindak atas nama pengguna diautentikasi atau diverifikasi sebagai prasyarat untuk akses sistem; dan [c.] identitas setiap perangkat yang mengakses atau menyambungkan ke sistem diautentikasi atau diverifikasi sebagai prasyarat untuk akses sistem. |
ID Microsoft Entra secara unik mengautentikasi atau memverifikasi setiap pengguna, proses yang bertindak atas nama pengguna, atau perangkat sebagai prasyarat untuk akses sistem. Gunakan referensi berikut untuk memenuhi tujuan penilaian. Menyiapkan akun pengguna Mengonfigurasi ID Microsoft Entra untuk memenuhi tingkat jaminan pengautentikasi NIST Menyiapkan akun perwakilan layanan Menyiapkan akun perangkat |
Domain Integritas Sistem dan Informasi (SI)
Tabel berikut ini menyediakan daftar pernyataan dan tujuan praktik, serta panduan dan rekomendasi Microsoft Entra untuk memungkinkan Anda memenuhi persyaratan ini dengan ID Microsoft Entra.
| Pernyataan praktik CMMC | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| SI. L1-3.14.1 - Mengidentifikasi, melaporkan, dan memperbaiki kelemahan sistem informasi dan informasi secara tepat waktu. SI. L1-3.14.2 - Memberikan perlindungan dari kode berbahaya di lokasi yang sesuai dalam sistem informasi organisasi. SI. L1-3.14.4 - Perbarui mekanisme perlindungan kode berbahaya saat rilis baru tersedia. SI. L1-3.14.5 - Lakukan pemindaian berkala sistem informasi dan pemindaian file secara real time dari sumber eksternal saat file diunduh, dibuka, atau dijalankan. |
Panduan Terkonsolidasi untuk perangkat terkelola warisan Konfigurasikan Akses Bersyarat untuk memerlukan perangkat gabungan hibrid Microsoft Entra. Untuk perangkat yang bergabung ke AD lokal, diasumsikan bahwa kontrol atas perangkat ini diberlakukan menggunakan solusi manajemen seperti Configuration Manager atau kebijakan grup (GP). Karena tidak ada metode untuk ID Microsoft Entra untuk menentukan apakah salah satu metode ini telah diterapkan ke perangkat, mengharuskan perangkat gabungan hibrid Microsoft Entra adalah mekanisme yang relatif lemah untuk memerlukan perangkat terkelola. Administrator menilai apakah metode yang diterapkan ke perangkat yang bergabung dengan domain lokal Anda cukup kuat untuk merupakan perangkat terkelola, jika perangkat juga merupakan perangkat gabungan hibrid Microsoft Entra. Panduan terkonsolidasi untuk perangkat yang dikelola cloud (atau manajemen bersama) Konfigurasikan Akses Bersyarat untuk mengharuskan perangkat ditandai sebagai sesuai, formulir terkuat untuk meminta perangkat terkelola. Opsi ini memerlukan pendaftaran perangkat dengan MICROSOFT Entra ID, dan ditunjukkan sesuai dengan Intune atau sistem manajemen perangkat seluler (MDM) pihak ketiga yang mengelola perangkat Windows 10 melalui integrasi Microsoft Entra. |