Configurare i controlli cmmc livello 1
Microsoft Entra ID soddisfa i requisiti di pratica correlati all'identità in ogni livello di certificazione cmmc (Cybersecurity Maturity Model Certification). Per essere conforme ai requisiti in CMMC, è responsabilità delle aziende che svolgono il lavoro con e per conto degli Stati Uniti Dept. of Defense (DoD) per completare altre configurazioni o processi. Nel livello CMMC 1 sono presenti tre domini con una o più procedure correlate all'identità:
- Controllo di accesso (AC)
- Identificazione e autenticazione (IA, Identification and Authentication)
- Integrità del sistema e delle informazioni (SI)
Altre informazioni:
- Sito Web doD CMMC - Ufficio del Segretario generale della Difesa per acquisizione e supporto della certificazione del modello di maturità della cybersecurity
- Area download Microsoft - Segnaposto prodotto Microsoft per CMMC Livello 3 (anteprima)
Il resto di questo contenuto è organizzato in base al dominio e alle procedure associate. Per ogni dominio è disponibile una tabella con collegamenti al contenuto che fornisce indicazioni dettagliate per eseguire la procedura.
Dominio di controllo di accesso
Nella tabella seguente è riportato un elenco di obiettivi e istruzioni sulle procedure e indicazioni di Microsoft Entra per consentire di soddisfare questi requisiti con Microsoft Entra ID.
| Obiettivi e istruzioni sulle procedure CMMC | Indicazioni e consigli per Microsoft Entra |
|---|---|
| Corrente alternata. L1-3.1.1 Dichiarazione pratica: limitare l'accesso del sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). Obiettivi: Determinare se: [a.] gli utenti autorizzati vengono identificati; [b.] vengono identificati i processi che agiscono per conto degli utenti autorizzati; [c.] vengono identificati i dispositivi (e altri sistemi) autorizzati a connettersi al sistema; [d.] l'accesso al sistema è limitato agli utenti autorizzati; [e.] l'accesso al sistema è limitato ai processi che agiscono per conto degli utenti autorizzati; e [f.] l'accesso al sistema è limitato ai dispositivi autorizzati (inclusi altri sistemi). |
L'utente è responsabile della configurazione degli account Microsoft Entra, che vengono eseguiti da sistemi HR esterni, Active Directory locale o direttamente nel cloud. L'accesso condizionale viene configurato per concedere l'accesso solo da un dispositivo noto (registrato/gestito). Applicare inoltre il concetto di privilegio minimo quando si concedono le autorizzazioni dell'applicazione. Se possibile, usare l'autorizzazione delegata. Configurare gli utenti Configurare i dispositivi Configurare le applicazioni Accesso condizionale |
| Corrente alternata. L1-3.1.2 Istruzione pratica: limitare l'accesso del sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. Obiettivi: Determinare se: [a.] vengono definiti i tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire; e [b.] l'accesso al sistema è limitato ai tipi definiti di transazioni e funzioni per gli utenti autorizzati. |
L'utente è responsabile della configurazione dei controlli di accesso, ad esempio i Controllo di accesso basati su ruoli (RBAC) con ruoli predefiniti o personalizzati. Usare i gruppi assegnabili di ruolo per gestire le assegnazioni di ruolo per più utenti che richiedono lo stesso accesso. Configurare gli Controllo di accesso basati su attributi (ABAC) con attributi di sicurezza predefiniti o personalizzati. L'obiettivo è controllare in modo granulare l'accesso alle risorse protette con Microsoft Entra ID. Impostare il Controllo degli accessi in base al ruolo Configurare il controllo degli accessi in base al ruolo Configurare i gruppi per l'assegnazione di ruolo |
| Corrente alternata. L1-3.1.20 Istruzione pratica: verificare e controllare/limitare le connessioni a e l'uso di sistemi informativi esterni. Obiettivi: Determinare se: [a.] vengono identificate le connessioni ai sistemi esterni; [b.] viene identificato l'uso di sistemi esterni; [c.] vengono verificate le connessioni ai sistemi esterni; [d.] l'uso di sistemi esterni viene verificato; [e.] le connessioni a sistemi esterni sono controllate o limitate; e [f.] l'uso di sistemi esterni è controllato e o limitato. |
L'utente è responsabile della configurazione dei criteri di accesso condizionale usando i controlli dei dispositivi e i percorsi di rete per controllare e limitare le connessioni e l'uso di sistemi esterni. Configurare le condizioni per l'utilizzo (TOU) per il riconoscimento utente registrato di termini e condizioni per l'uso di sistemi esterni per l'accesso. Configurare l'accesso condizionale in base alle esigenze Usare l'accesso condizionale per bloccare l'accesso Configurare le condizioni per l'utilizzo |
| Corrente alternata. L1-3.1.22 Dichiarazione pratica: controllare le informazioni pubblicate o elaborate su sistemi informativi accessibili pubblicamente. Obiettivi: Determinare se: [a.] le persone autorizzate a registrare o elaborare le informazioni sui sistemi accessibili pubblicamente sono identificate; [b.] procedure per garantire che l'istanza del cluster di failover non sia registrata o elaborata nei sistemi accessibili pubblicamente siano identificate; [c.] un processo di revisione viene eseguito prima della pubblicazione di qualsiasi contenuto nei sistemi accessibili pubblicamente; e [d.] il contenuto sui sistemi accessibili pubblicamente viene esaminato per assicurarsi che non includa informazioni sul contratto federale . |
L'utente è responsabile della configurazione di Privileged Identity Management (PIM) per gestire l'accesso ai sistemi in cui le informazioni pubblicate sono accessibili pubblicamente. Richiedere le approvazioni con giustificazione prima dell'assegnazione di ruolo in PIM. Configurare le condizioni per l'utilizzo (TOU) per i sistemi in cui le informazioni pubblicate sono accessibili pubblicamente per il riconoscimento registrato di termini e condizioni per la pubblicazione di informazioni accessibili pubblicamente. Pianificare la distribuzione pim Configurare le condizioni per l'utilizzo |
Dominio di identificazione e autenticazione (IA)
Nella tabella seguente è riportato un elenco di obiettivi e istruzioni sulle procedure e indicazioni di Microsoft Entra per consentire di soddisfare questi requisiti con Microsoft Entra ID.
| Obiettivi e istruzioni sulle procedure CMMC | Indicazioni e consigli per Microsoft Entra |
|---|---|
| IA. L1-3.5.1 Dichiarazione pratica: identificare gli utenti del sistema informativo, i processi che agiscono per conto di utenti o dispositivi. Obiettivi: Determinare se: [a.] vengono identificati gli utenti di sistema; [b.] vengono identificati i processi che agiscono per conto degli utenti; e [c.] vengono identificati i dispositivi che accedono al sistema. |
L'ID Microsoft Entra identifica in modo univoco gli utenti, i processi (identità dell'entità servizio/carico di lavoro) e i dispositivi tramite la proprietà ID nei rispettivi oggetti directory. È possibile filtrare i file di log per facilitare la valutazione usando i collegamenti seguenti. Usare il riferimento seguente per soddisfare gli obiettivi di valutazione. Filtro dei log in base alle proprietà utente Filtro dei log in base alle proprietà del servizio Filtro dei log in base alle proprietà del dispositivo |
| IA. L1-3.5.2 Istruzione pratica: autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi dell'organizzazione. Obiettivi: Determinare se: [a.] l'identità di ogni utente viene autenticata o verificata come prerequisito per l'accesso al sistema; [b.] l'identità di ogni processo che agisce per conto di un utente viene autenticata o verificata come prerequisito per l'accesso al sistema; e [c.] l'identità di ogni dispositivo che accede o si connette al sistema viene autenticata o verificata come prerequisito per l'accesso al sistema. |
Microsoft Entra ID autentica o verifica in modo univoco ogni utente, processo che agisce per conto dell'utente o del dispositivo come prerequisito per l'accesso al sistema. Usare il riferimento seguente per soddisfare gli obiettivi di valutazione. Configurare gli account utente Configurare Microsoft Entra ID per soddisfare i livelli di garanzia dell'autenticatore NIST Configurare gli account dell'entità servizio Configurare gli account del dispositivo |
Dominio di integrità del sistema e delle informazioni (SI)
Nella tabella seguente è riportato un elenco di obiettivi e istruzioni sulle procedure e indicazioni di Microsoft Entra per consentire di soddisfare questi requisiti con Microsoft Entra ID.
| Istruzione di pratica CMMC | Indicazioni e consigli per Microsoft Entra |
|---|---|
| SI. L1-3.14.1 - Identificare, segnalare e correggere i difetti del sistema informativo e informativo in modo tempestivo. SI. L1-3.14.2: fornire protezione da codice dannoso in posizioni appropriate nei sistemi informativi dell'organizzazione. SI. L1-3.14.4 - Aggiornare meccanismi di protezione da codice dannoso quando sono disponibili nuove versioni. SI. L1-3.14.5 - Eseguire analisi periodiche del sistema informativo e analisi in tempo reale dei file provenienti da origini esterne man mano che i file vengono scaricati, aperti o eseguiti. |
Linee guida consolidate per i dispositivi gestiti legacy Configurare l'accesso condizionale per richiedere il dispositivo aggiunto a Microsoft Entra ibrido. Per i dispositivi aggiunti a un'istanza di Active Directory locale, si presuppone che il controllo su questi dispositivi venga applicato usando soluzioni di gestione come Configuration Manager o Criteri di gruppo. Poiché non esiste alcun metodo per Microsoft Entra ID per determinare se uno di questi metodi è stato applicato a un dispositivo, la richiesta di un dispositivo aggiunto ibrido a Microsoft Entra è un meccanismo relativamente debole per richiedere un dispositivo gestito. L'amministratore valuta se i metodi applicati ai dispositivi aggiunti a un dominio locale sono abbastanza forti da costituire un dispositivo gestito, se il dispositivo è anche un dispositivo aggiunto ibrido a Microsoft Entra. Linee guida consolidate per i dispositivi gestiti dal cloud (o co-gestione) Configurare l'accesso condizionale per richiedere che un dispositivo sia contrassegnato come conforme, il modulo più sicuro per richiedere un dispositivo gestito. Questa opzione richiede la registrazione del dispositivo con Microsoft Entra ID e indicato come conforme da Intune o da un sistema di gestione di dispositivi mobili (MDM) di terze parti che gestisce i dispositivi Windows 10 tramite l'integrazione di Microsoft Entra. |