Tingkat jaminan pengautentikasi
National Institute of Standards and Technology (NIST) mengembangkan persyaratan teknis untuk lembaga federal AS yang menerapkan solusi identitas. NIST SP 800-63B memiliki panduan teknis untuk implementasi autentikasi digital, menggunakan kerangka kerja tingkat jaminan pengautentikasi (AAL). AAL mencirikan kekuatan autentikasi identitas digital. Anda juga dapat mempelajari tentang manajemen siklus hidup pengautentikasi, termasuk pencabutan.
Standar ini mencakup persyaratan AAL untuk kategori berikut:
Jenis pengautentikasi yang diizinkan
Tingkat verifikasi Standar Pemrosesan Informasi Federal 140 (FIPS 140). Persyaratan FIPS 140 dipenuhi oleh FIPS 140-2, atau revisi yang lebih baru.
Autentikasi ulang
kontrol keamanan
Perlawanan man-in-the-middle (MitM)
Ketahanan peniruan identitas (ketahanan phishing)
Ketahanan terhadap penyusupan identitas
Ketahanan terhadap replay
Niat autentikasi
Kebijakan retensi data
Kontrol privasi
AAL NIST di lingkungan Anda
Secara umum, AAL1 tidak disarankan karena menerima solusi khusus kata sandi, autentikasi yang paling mudah disusupi. Untuk informasi selengkapnya, lihat posting blog, Pa$$word Anda tidak masalah.
Meskipun NIST tidak memerlukan resistensi peniruan peniruan (phishing kredensial) pemverifikasi hingga AAL3, kami menyarankan Anda untuk mengatasi ancaman ini di semua tingkatan. Anda dapat memilih pengautentikasi yang memberikan ketahanan peniruan peniruan pemverifikasi, seperti mengharuskan perangkat digabungkan ke ID Microsoft Entra atau ID Microsoft Entra hibrid. Jika Anda menggunakan Office 365, Anda bisa menggunakan Perlindungan Ancaman Tingkat Lanjut Office 365, dan kebijakan anti-phishing-nya.
Saat Anda mengevaluasi NIST AAL yang diperlukan untuk organisasi Anda, pertimbangkan apakah seluruh organisasi Anda harus memenuhi standar NIST. Jika ada grup pengguna dan sumber daya tertentu yang dapat dipisahkan, Anda dapat menerapkan konfigurasi NIST AAL ke grup pengguna dan sumber daya tersebut.
Tip
Kami sarankan Anda bertemu setidaknya AAL2. Jika perlu, penuhi AAL3 untuk alasan bisnis, standar industri, atau persyaratan kepatuhan.
Kontrol keamanan, kontrol privasi, kebijakan penyimpanan rekaman
Dari Joint Authorization Board, Azure dan Azure Government memiliki otoritas provisi untuk beroperasi (P-ATO) di tingkat Dampak Tinggi NIST SP 800-53. Akreditasi FedRAMP ini mengotorisasi Azure dan Azure Government untuk memproses data yang sangat sensitif.
Penting
Sertifikasi Azure dan Azure Government memenuhi persyaratan kontrol keamanan, kontrol privasi, dan kebijakan penyimpanan rekaman untuk AAL1, AAL2, dan AAL3.
Audit FedRAMP azure dan Azure Government mencakup sistem manajemen keamanan informasi untuk infrastruktur, pengembangan, operasi, manajemen, dan dukungan layanan dalam cakupan. Ketika P-ATO diberikan, penyedia layanan cloud memerlukan otorisasi (ATO) dari lembaga pemerintah yang bekerja dengannya. Lembaga pemerintah, atau organisasi, dapat menggunakan Azure P-ATO dalam proses otorisasi keamanan mereka, dan menggunakannya sebagai dasar untuk mengeluarkan ATO agensi yang memenuhi persyaratan FedRAMP.
Azure mendukung beberapa layanan di FedRAMP High Impact. FedRAMP High di cloud publik Azure memenuhi kebutuhan pelanggan pemerintah AS, namun agensi dengan persyaratan yang lebih ketat menggunakan Azure Government. Perlindungan Azure Government termasuk penyaringan personel yang lebih tinggi. Di Azure Government, Microsoft mencantumkan layanan publik Azure yang tersedia, hingga batas FedRAMP High, dan layanan untuk tahun ini.
Selain itu, Microsoft berkomitmen untuk melindungi dan mengelola data pelanggan dengan kebijakan penyimpanan rekaman yang dinyatakan dengan jelas. Microsoft memiliki portofolio kepatuhan yang besar. Untuk melihat selengkapnya, buka Penawaran kepatuhan Microsoft.
Langkah berikutnya
Mencapai NIST AAL1 dengan ID Microsoft Entra