Mengonfigurasi kontrol CMMC Level 2 Access Control (AC)
ID Microsoft Entra dapat membantu Anda memenuhi persyaratan praktik terkait identitas di setiap tingkat Sertifikasi Model Kematangan Keamanan Cyber (CMMC). Untuk mematuhi persyaratan di CMMC V2.0 tingkat 2, perusahaan bertanggung jawab untuk melakukan pekerjaan dengan, dan atas nama, Departemen Pertahanan AS (DoD) untuk menyelesaikan konfigurasi atau proses lain.
Di CMMC Tingkat 2, ada 13 domain yang memiliki satu atau beberapa praktik yang terkait dengan identitas:
- Kontrol Akses (AC)
- Audit & Akuntabilitas (AU)
- Manajemen Konfigurasi (CM)
- Identifikasi & Autentikasi (IA)
- Respons Insiden (IR)
- Pemeliharaan (MA)
- Perlindungan Media (MP)
- Keamanan Personel (PS)
- Perlindungan Fisik (PE)
- Penilaian Risiko (RA)
- Penilaian Keamanan (CA)
- Perlindungan Sistem dan Komunikasi (SC)
- Integritas Sistem dan Informasi (SI)
Sisa artikel ini menyediakan panduan untuk domain Kontrol Akses (AC). Ada tabel dengan tautan ke konten yang menyediakan panduan langkah demi langkah untuk menyelesaikan praktik.
Kontrol Akses (AC)
Tabel berikut ini menyediakan daftar pernyataan dan tujuan praktik, serta panduan dan rekomendasi Microsoft Entra untuk memungkinkan Anda memenuhi persyaratan ini dengan ID Microsoft Entra.
| Pernyataan dan tujuan praktik CMMC | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| AC. L2-3.1.3 Pernyataan praktik: Mengontrol alur CUI sesuai dengan otorisasi yang disetujui. Tujuan: Tentukan apakah: [a.] kebijakan kontrol alur informasi didefinisikan; [b.] metode dan mekanisme penegakan untuk mengontrol alur CUI ditentukan; [c.] sumber dan tujuan yang ditunjuk (misalnya, jaringan, individu, dan perangkat) untuk CUI dalam sistem dan antara sistem intercfeetonnected diidentifikasi; [d.] otorisasi untuk mengontrol alur CUI ditentukan; Dan [e.] otorisasi yang disetujui untuk mengontrol alur CUI diberlakukan. |
Konfigurasikan kebijakan Akses Bersyarat untuk mengontrol alur CUI dari lokasi tepercaya, perangkat tepercaya, aplikasi yang disetujui, dan memerlukan kebijakan perlindungan aplikasi. Untuk otorisasi yang lebih halus ke CUI, konfigurasikan pembatasan yang diberlakukan aplikasi (Exchange/SharePoint Online), Kontrol Aplikasi (dengan aplikasi Microsoft Defender untuk Cloud), Konteks Autentikasi. Sebarkan proksi aplikasi Microsoft Entra untuk mengamankan akses ke aplikasi lokal. Ketentuan lokasi di Akses Bersyarat Microsoft Entra Memberikan kontrol dalam kebijakan Akses Bersyarat - Mengharuskan perangkat ditandai sebagai sesuai Memberikan kontrol dalam kebijakan Akses Bersyarat - Memerlukan perangkat gabungan hibrid Microsoft Entra Memberikan kontrol dalam kebijakan Akses Bersyarat - Memerlukan aplikasi klien yang disetujui Memberikan kontrol dalam kebijakan Akses Bersyarat - Memerlukan kebijakan perlindungan aplikasi Kontrol sesi dalam kebijakan Akses Bersyar - Pembatasan yang diberlakukan aplikasi Melindungi dengan Kontrol Aplikasi Akses Kondisional Aplikasi Pertahanan Microsoft untuk Cloud Aplikasi cloud, tindakan, dan konteks autentikasi dalam kebijakan Akses Bersyar Akses jarak jauh ke aplikasi lokal menggunakan proksi aplikasi Microsoft Entra Konteks Autentikasi Mengonfigurasi konteks Autentikasi & Tetapkan ke Kebijakan Akses Bersyar Microsoft Azure Information Protection Mengetahui dan melindungi data Anda; membantu mencegah kehilangan data. Melindungi data sensitif Anda dengan Microsoft Purview Akses Bersyarat Akses Bersyarah untuk perlindungan informasi Azure (AIP) Proksi Aplikasi Akses jarak jauh ke aplikasi lokal menggunakan proksi aplikasi Microsoft Entra |
| AC. L2-3.1.4 Pernyataan praktik: Pisahkan tugas individu untuk mengurangi risiko aktivitas kekerasan tanpa kolusi. Tujuan: Tentukan apakah: [a.] tugas individu yang memerlukan pemisahan didefinisikan; [b.] tanggung jawab untuk tugas yang memerlukan pemisahan ditugaskan untuk memisahkan individu; Dan [c.] hak istimewa akses yang memungkinkan individu untuk menjalankan tugas yang memerlukan pemisahan diberikan kepada individu terpisah. |
Memastikan pemisahan tugas yang memadai dengan mencakup akses yang sesuai. Konfigurasikan paket Akses Pengelolaan Pemberian Hak untuk mengatur akses ke aplikasi, grup, Teams, dan situs SharePoint. Konfigurasikan pemeriksaan Pemisahan Tugas dalam paket akses untuk menghindari pengguna mendapatkan akses yang berlebihan. Dalam pengelolaan pemberian hak Microsoft Entra, Anda dapat mengonfigurasi beberapa kebijakan, dengan pengaturan yang berbeda untuk setiap komunitas pengguna yang akan memerlukan akses melalui paket akses. Konfigurasi ini mencakup pembatasan sehingga pengguna grup tertentu, atau sudah menetapkan paket akses yang berbeda, tidak ditetapkan paket akses lain, berdasarkan kebijakan. Konfigurasikan unit administratif di MICROSOFT Entra ID untuk mencakup hak istimewa administratif sehingga administrator dengan peran istimewa dicakup untuk hanya memiliki hak istimewa tersebut pada sekumpulan objek direktori terbatas (pengguna, grup, perangkat). Apa itu pengelolaan pemberian hak? Apa itu paket akses dan sumber daya apa yang dapat saya kelola dengannya? Mengonfigurasi pemisahan tugas untuk paket akses dalam pengelolaan pemberian hak Microsoft Entra Unit administratif di ID Microsoft Entra |
| AC. L2-3.1.5 Pernyataan praktik: Gunakan prinsip hak istimewa paling sedikit, termasuk fungsi keamanan tertentu dan akun istimewa. Tujuan: Tentukan apakah: [a.] akun istimewa diidentifikasi; [b.] akses ke akun istimewa diotorisasi sesuai dengan prinsip hak istimewa paling sedikit; [c.] fungsi keamanan diidentifikasi; Dan [d.] akses ke fungsi keamanan diotorisasi sesuai dengan prinsip hak istimewa paling sedikit. |
Anda bertanggung jawab untuk menerapkan dan menegakkan aturan hak istimewa paling sedikit. Tindakan ini dapat dicapai dengan Privileged Identity Management untuk mengonfigurasi penegakan, pemantauan, dan pemberitahuan. Tetapkan persyaratan dan ketentuan untuk keanggotaan peran. Setelah akun istimewa diidentifikasi dan dikelola, gunakan Tinjauan Pengelolaan Siklus Hidup Pemberian Hak dan Akses untuk mengatur, memelihara, dan mengaudit akses yang memadai. Gunakan MS Graph API untuk menemukan dan memantau peran direktori. Menetapkan peran Menetapkan peran Microsoft Entra di PIM Menetapkan peran sumber daya Azure di Privileged Identity Management Menetapkan pemilik dan anggota yang memenuhi syarat untuk PIM untuk Grup Mengatur pengaturan peran Mengonfigurasi pengaturan peran Microsoft Entra di PIM Mengonfigurasi pengaturan peran sumber daya Azure di PIM Mengonfigurasi PIM untuk pengaturan Grup di PIM Menyiapkan pemberitahuan Pemberitahuan keamanan untuk peran Microsoft Entra di PIM Mengonfigurasi pemberitahuan keamanan untuk peran sumber daya Azure dalam Privileged Identity Management |
| AC. L2-3.1.6 Pernyataan praktik: Gunakan akun atau peran yang tidak istimewa saat mengakses fungsi non keamanan. Tujuan: Tentukan apakah: [a.] fungsi non keamanan diidentifikasi; Dan [b.] pengguna diharuskan menggunakan akun atau peran yang tidak istimewa saat mengakses fungsi non keamanan. AC. L2-3.1.7 Pernyataan praktik: Mencegah pengguna yang tidak istimewa menjalankan fungsi istimewa dan menangkap eksekusi fungsi tersebut dalam log audit. Tujuan: Tentukan apakah: [a.] fungsi istimewa didefinisikan; [b.] pengguna yang tidak memiliki hak istimewa ditentukan; [c.] pengguna yang tidak memiliki hak istimewa dicegah untuk menjalankan fungsi istimewa; Dan [d.] eksekusi fungsi istimewa diambil dalam log audit. |
Persyaratan dalam AC. L2-3.1.6 dan AC. L2-3.1.7 saling melengkapi. Memerlukan akun terpisah untuk hak istimewa dan penggunaan yang tidak istimewa. Konfigurasikan Privileged Identity Management (PIM) untuk membawa akses istimewa just-in-time (JIT) dan menghapus akses berdiri. Konfigurasikan kebijakan Akses Bersyarah berbasis peran untuk membatasi akses ke aplikasi produktivitas bagi pengguna istimewa. Untuk pengguna yang sangat istimewa, amankan perangkat sebagai bagian dari cerita akses istimewa. Semua tindakan istimewa diambil di log audit Microsoft Entra. Mengamankan gambaran umum akses istimewa Mengonfigurasi pengaturan peran Microsoft Entra di PIM Pengguna dan grup dalam kebijakan Akses Bersyar Mengapa perangkat akses istimewa penting |
| AC. L2-3.1.8 Pernyataan praktik: Batasi upaya masuk yang tidak berhasil. Tujuan: Tentukan apakah: [a.] cara membatasi upaya masuk yang tidak berhasil didefinisikan; Dan [b.] cara yang ditentukan untuk membatasi upaya masuk yang gagal diimplementasikan. |
Aktifkan pengaturan penguncian pintar kustom. Konfigurasikan ambang batas penguncian dan durasi penguncian dalam hitungan detik untuk menerapkan persyaratan ini. Melindungi akun pengguna dari serangan dengan penguncian cerdas Microsoft Entra Mengelola nilai penguncian cerdas Microsoft Entra |
| AC. L2-3.1.9 Pernyataan praktik: Berikan pemberitahuan privasi dan keamanan yang konsisten dengan aturan CUI yang berlaku. Tujuan: Tentukan apakah: [a.] pemberitahuan privasi dan keamanan yang diperlukan oleh aturan yang ditentukan CUI diidentifikasi, konsisten, dan terkait dengan kategori CUI tertentu; Dan [b.] pemberitahuan privasi dan keamanan ditampilkan. |
Dengan ID Microsoft Entra, Anda dapat mengirimkan pesan pemberitahuan atau banner untuk semua aplikasi yang memerlukan dan merekam pengakuan sebelum memberikan akses. Anda dapat secara terperinci menargetkan kebijakan ketentuan penggunaan kepada pengguna tertentu (Anggota atau Tamu). Anda juga dapat menyesuaikannya per aplikasi melalui kebijakan Akses Bersyar. Akses Bersyarat Apa itu Akses Bersyar di ID Microsoft Entra? Persyaratan penggunaan Ketentuan penggunaan Microsoft Entra Menampilkan laporan siapa yang telah menerima dan menolak |
| AC. L2-3.1.10 Pernyataan praktik: Gunakan kunci sesi dengan tampilan persembunyian pola untuk mencegah akses dan tampilan data setelah periode tidak aktif. Tujuan: Tentukan apakah: [a.] periode tidak aktif setelah sistem memulai kunci sesi ditentukan; [b.] akses ke sistem dan tampilan data dicegah dengan memulai kunci sesi setelah periode tidak aktif yang ditentukan; Dan [c.] informasi yang terlihat sebelumnya disembunyikan melalui tampilan persembunyian pola setelah periode tidak aktif yang ditentukan. |
Terapkan kunci perangkat dengan menggunakan kebijakan Akses Bersyar untuk membatasi akses ke perangkat yang patuh atau gabungan hibrid Microsoft Entra. Konfigurasikan pengaturan kebijakan pada perangkat untuk memberlakukan kunci perangkat di tingkat OS dengan solusi MDM seperti Intune. Objek kebijakan Microsoft Intune, Configuration Manager, atau grup juga dapat dipertimbangkan dalam penyebaran hibrid. Untuk perangkat tidak terkelola, konfigurasikan pengaturan Frekuensi Masuk untuk memaksa pengguna untuk mengautentikasi ulang. Memerlukan perangkat ditandai sebagai sesuai Memberikan kontrol dalam kebijakan Akses Bersyarat - Memerlukan perangkat gabungan hibrid Microsoft Entra Frekuensi masuk pengguna Mengonfigurasi perangkat untuk menit maksimum tidak aktif sampai layar terkunci (Android, iOS, Windows 10). |
| AC. L2-3.1.11 Pernyataan praktik: Hentikan (secara otomatis) sesi pengguna setelah kondisi yang ditentukan. Tujuan: Tentukan apakah: [a.] kondisi yang mengharuskan sesi pengguna untuk dihentikan ditentukan; Dan [b.] sesi pengguna secara otomatis dihentikan setelah salah satu kondisi yang ditentukan terjadi. |
Aktifkan Evaluasi Akses Berkelanjutan (CAE) untuk semua aplikasi yang didukung. Untuk aplikasi yang tidak mendukung CAE, atau untuk kondisi yang tidak berlaku untuk CAE, terapkan kebijakan di aplikasi Microsoft Defender untuk Cloud untuk mengakhiri sesi secara otomatis saat kondisi terjadi. Selain itu, konfigurasikan Microsoft Entra ID Protection untuk mengevaluasi pengguna dan Risiko masuk. Gunakan Akses Bersyarkat dengan perlindungan Identitas untuk memungkinkan pengguna memulihkan risiko secara otomatis. Evaluasi akses berkelanjutan di ID Microsoft Entra Mengontrol penggunaan aplikasi cloud dengan membuat kebijakan Apa yang dimaksud dengan Microsoft Entra ID Protection? |
| AC. L2-3.1.12 Pernyataan praktik: Memantau dan mengontrol sesi akses jarak jauh. Tujuan: Tentukan apakah: [a.] sesi akses jarak jauh diizinkan; [b.] jenis akses jarak jauh yang diizinkan diidentifikasi; [c.] sesi akses jarak jauh dikontrol; Dan [d.] sesi akses jarak jauh dipantau. |
Di dunia saat ini, pengguna mengakses aplikasi berbasis cloud hampir secara eksklusif dari jaringan yang tidak diketahui atau tidak tepercaya. Sangat penting untuk mengamankan pola akses ini untuk mengadopsi perwakilan nol kepercayaan. Untuk memenuhi persyaratan kontrol ini di dunia cloud modern, kita harus memverifikasi setiap permintaan akses secara eksplisit, menerapkan hak istimewa paling sedikit dan mengasumsikan pelanggaran. Konfigurasikan lokasi bernama untuk menguraikan jaringan internal vs eksternal. Konfigurasikan kontrol aplikasi Akses Bersyar untuk merutekan akses melalui aplikasi Microsoft Defender untuk Cloud. Konfigurasikan Defender untuk Cloud Apps untuk mengontrol dan memantau semua sesi. Panduan Penyebaran Zero Trust untuk ID Microsoft Entra Ketentuan lokasi di Akses Bersyarat Microsoft Entra Menyebarkan Kontrol Aplikasi Akses Bersyar Cloud App Security untuk aplikasi Microsoft Entra Apa itu Microsoft Defender untuk Cloud Apps? Memantau pemberitahuan yang dimunculkan di Microsoft Defender untuk Cloud Apps |
| AC. L2-3.1.13 Pernyataan praktik: Menggunakan mekanisme kriptografi untuk melindungi kerahasiaan sesi akses jarak jauh. Tujuan: Tentukan apakah: [a.] Mekanisme kriptografi untuk melindungi kerahasiaan sesi akses jarak jauh diidentifikasi; Dan [b.] Mekanisme kriptografi untuk melindungi kerahasiaan sesi akses jarak jauh diterapkan. |
Semua layanan web yang menghadap pelanggan Microsoft Entra diamankan dengan protokol Keamanan Lapisan Transportasi (TLS) dan diimplementasikan menggunakan kriptografi yang divalidasi FIPS. Pertimbangan Keamanan Data Microsoft Entra (microsoft.com) |
| AC. L2-3.1.14 Pernyataan praktik: Merutekan akses jarak jauh melalui titik kontrol akses terkelola. Tujuan: Tentukan apakah: [a.] titik kontrol akses terkelola diidentifikasi dan diimplementasikan; Dan [b.] akses jarak jauh dirutekan melalui titik kontrol akses jaringan terkelola. |
Konfigurasikan lokasi bernama untuk menguraikan jaringan internal vs eksternal. Konfigurasikan kontrol aplikasi Akses Bersyar untuk merutekan akses melalui aplikasi Microsoft Defender untuk Cloud. Konfigurasikan Defender untuk Cloud Apps untuk mengontrol dan memantau semua sesi. Perangkat aman yang digunakan oleh akun istimewa sebagai bagian dari cerita akses istimewa. Ketentuan lokasi di Akses Bersyarat Microsoft Entra Kontrol sesi dalam kebijakan Akses Bersyar Mengamankan gambaran umum akses istimewa |
| AC. L2-3.1.15 Pernyataan praktik: Otorisasi eksekusi jarak jauh perintah istimewa dan akses jarak jauh ke informasi yang relevan dengan keamanan. Tujuan: Tentukan apakah: [a.] perintah istimewa yang diotorisasi untuk eksekusi jarak jauh diidentifikasi; [b.] informasi yang relevan dengan keamanan yang berwenang untuk diakses dari jarak jauh diidentifikasi; [c.] eksekusi perintah istimewa yang diidentifikasi melalui akses jarak jauh diotorisasi; Dan [d.] akses ke informasi yang relevan dengan keamanan yang diidentifikasi melalui akses jarak jauh diotorisasi. |
Akses Bersyar adalah sarana kontrol Zero Trust untuk menargetkan kebijakan untuk akses ke aplikasi Anda saat dikombinasikan dengan konteks autentikasi. Anda dapat menerapkan kebijakan yang berbeda di aplikasi tersebut. Perangkat aman yang digunakan oleh akun istimewa sebagai bagian dari cerita akses istimewa. Konfigurasikan kebijakan Akses Bersyarat untuk mewajibkan penggunaan perangkat aman ini oleh pengguna istimewa saat melakukan perintah istimewa. Aplikasi cloud, tindakan, dan konteks autentikasi dalam kebijakan Akses Bersyar Mengamankan gambaran umum akses istimewa Memfilter perangkat sebagai kondisi dalam kebijakan Akses Bersyar |
| AC. L2-3.1.18 Pernyataan praktik: Mengontrol koneksi perangkat seluler. Tujuan: Tentukan apakah: [a.] perangkat seluler yang memproses, menyimpan, atau mengirimkan CUI diidentifikasi; [b.] koneksi perangkat seluler diotorisasi; Dan [c.] koneksi perangkat seluler dipantau dan dicatat. |
Konfigurasikan kebijakan manajemen perangkat melalui MDM (seperti Microsoft Intune), Configuration Manager, atau objek kebijakan grup (GPO) untuk menerapkan konfigurasi perangkat seluler dan profil koneksi. Mengonfigurasi kebijakan Akses Bersyarat untuk menerapkan kepatuhan perangkat. Akses Bersyarat Memerlukan perangkat ditandai sebagai sesuai Memerlukan perangkat gabungan hibrid Microsoft Entra Intune Kebijakan kepatuhan perangkat di Microsoft Intune Apa itu manajemen aplikasi Microsoft Intune? |
| AC. L2-3.1.19 Pernyataan praktik: Mengenkripsi CUI pada perangkat seluler dan platform komputasi seluler. Tujuan: Tentukan apakah: [a.] perangkat seluler dan platform komputasi seluler yang memproses, menyimpan, atau mengirimkan CUI diidentifikasi; Dan [b.] enkripsi digunakan untuk melindungi CUI pada perangkat seluler yang diidentifikasi dan platform komputasi seluler. |
Perangkat Terkelola Konfigurasikan kebijakan Akses Bersyarat untuk memberlakukan perangkat yang patuh atau gabungan hibrid Microsoft Entra dan untuk memastikan perangkat terkelola dikonfigurasi dengan tepat melalui solusi manajemen perangkat untuk mengenkripsi CUI. Perangkat Tidak Terkelola Konfigurasikan kebijakan Akses Bersyarat untuk mewajibkan kebijakan perlindungan aplikasi. Memberikan kontrol dalam kebijakan Akses Bersyarat - Mengharuskan perangkat ditandai sebagai sesuai Memberikan kontrol dalam kebijakan Akses Bersyarat - Memerlukan perangkat gabungan hibrid Microsoft Entra Memberikan kontrol dalam kebijakan Akses Bersyarat - Memerlukan kebijakan perlindungan aplikasi |
| AC. L2-3.1.21 Pernyataan praktik: Batasi penggunaan perangkat penyimpanan portabel pada sistem eksternal. Tujuan: Tentukan apakah: [a.] penggunaan perangkat penyimpanan portabel yang berisi CUI pada sistem eksternal diidentifikasi dan didokumentasikan; [b.] batasan penggunaan perangkat penyimpanan portabel yang berisi CUI pada sistem eksternal ditentukan; Dan [c.] penggunaan perangkat penyimpanan portabel yang berisi CUI pada sistem eksternal terbatas seperti yang ditentukan. |
Konfigurasikan kebijakan manajemen perangkat melalui MDM (seperti Microsoft Intune), Configuration Manager, atau objek kebijakan grup (GPO) untuk mengontrol penggunaan perangkat penyimpanan portabel pada sistem. Konfigurasikan pengaturan kebijakan pada perangkat Windows untuk sepenuhnya melarang atau membatasi penggunaan penyimpanan portabel di tingkat OS. Untuk semua perangkat lain di mana Anda mungkin tidak dapat mengontrol akses secara terperinci ke unduhan blok penyimpanan portabel sepenuhnya dengan Microsoft Defender untuk Cloud Apps. Mengonfigurasi kebijakan Akses Bersyarat untuk menerapkan kepatuhan perangkat. Akses Bersyarat Memerlukan perangkat ditandai sebagai sesuai Memerlukan perangkat gabungan hibrid Microsoft Entra Mengonfigurasi pengelolaan sesi autentikasi Intune Kebijakan kepatuhan perangkat di Microsoft Intune Membatasi perangkat USB menggunakan templat administratif di Microsoft Intune Aplikasi Microsoft Defender untuk Cloud Membuat kebijakan sesi di Defender untuk Cloud Apps |
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk