Configurare i controlli CMMC Level 2 Controllo di accesso (AC)
Microsoft Entra ID consente di soddisfare i requisiti di pratica correlati alle identità in ogni livello di certificazione cmmc (Cybersecurity Maturity Model Certification). Per essere conforme ai requisiti in CMMC V2.0 livello 2, è responsabilità delle aziende che svolgono il lavoro e per conto dell'Ufficio di difesa (DoD) degli Stati Uniti per completare altre configurazioni o processi.
In CMMC Livello 2 sono presenti 13 domini con una o più procedure correlate all'identità:
- Controllo di accesso
- Audit & Accountability (AU)
- Gestione della configurazione (CM, Configuration Management)
- Identificazione e autenticazione (IA)
- Risposta agli eventi imprevisti.
- Manutenzione (MA)
- Protezione dei supporti
- Sicurezza del personale (PS, Personnel Security)
- Protezione fisica (PE)
- Valutazione dei rischi
- Valutazione della sicurezza (CA)
- Protezione dei sistemi e delle comunicazioni (SC)
- Integrità del sistema e delle informazioni
La parte restante di questo articolo fornisce indicazioni per il dominio di Controllo di accesso (AC). È disponibile una tabella con collegamenti al contenuto che fornisce indicazioni dettagliate per eseguire la procedura.
Controllo di accesso
Nella tabella seguente è riportato un elenco di obiettivi e istruzioni sulle procedure e indicazioni di Microsoft Entra per consentire di soddisfare questi requisiti con Microsoft Entra ID.
| Dichiarazione e obiettivi della pratica CMMC | Indicazioni e consigli per Microsoft Entra |
|---|---|
| AC. L2-3.1.3 Dichiarazione pratica: controllare il flusso di CUI in conformità con le autorizzazioni approvate. Obiettivi: Determinare se: [a.] vengono definiti i criteri di controllo del flusso di informazioni; [b.] sono definiti metodi e meccanismi di imposizione per il controllo del flusso di CUI; [c.] vengono identificate le origini e le destinazioni designate (ad esempio, reti, individui e dispositivi) per CUI all'interno del sistema e tra sistemi intercfeetonneced; [d.] sono definite le autorizzazioni per il controllo del flusso di CUI; E [e.] vengono applicate le autorizzazioni approvate per il controllo del flusso di CUI. |
Configurare i criteri di accesso condizionale per controllare il flusso di CUI da posizioni attendibili, dispositivi attendibili, applicazioni approvate e richiedere criteri di protezione delle app. Per un'autorizzazione più granulare per CUI, configurare restrizioni applicate dall'app (Exchange/SharePoint Online), Controllo app (con app Microsoft Defender per il cloud), Contesto di autenticazione. Distribuire il proxy dell'applicazione Microsoft Entra per proteggere l'accesso alle applicazioni locali. Condizione della posizione nell'accesso condizionale di Microsoft Entra Concedere i controlli nei criteri di accesso condizionale - Richiedi che il dispositivo sia contrassegnato come conforme Concedere i controlli nei criteri di accesso condizionale - Richiedere il dispositivo aggiunto ibrido a Microsoft Entra Concedere controlli nei criteri di accesso condizionale - Richiedere l'app client approvata Concedere controlli nei criteri di accesso condizionale - Richiedi criteri di protezione delle app Controlli sessione nei criteri di accesso condizionale - Restrizioni applicate dall'applicazione Proteggere con il controllo delle app per l'accesso condizionale di Microsoft Defender per il cloud App cloud, azioni e contesto di autenticazione nei criteri di accesso condizionale Accesso remoto alle app locali tramite il proxy dell'applicazione Microsoft Entra Contesto di autenticazione Configurazione del contesto di autenticazione e assegnazione ai criteri di accesso condizionale Protezione delle informazioni Conoscere e proteggere i dati; aiutare a prevenire la perdita di dati. Proteggere i dati sensibili con Microsoft Purview Accesso condizionale Accesso condizionale per Azure Information Protection (AIP) Proxy dell'applicazione Accesso remoto alle app locali tramite il proxy dell'applicazione Microsoft Entra |
| AC. L2-3.1.4 Dichiarazione pratica: separare i compiti degli individui per ridurre il rischio di attività malevolente senza collusione. Obiettivi: Determinare se: [a.] sono definiti i compiti degli individui che richiedono la separazione; [b.] le responsabilità per i compiti che richiedono la separazione vengono assegnate a individui separati; E [c.] privilegi di accesso che consentono agli utenti di esercitare i compiti che richiedono la separazione vengono concessi a individui separati. |
Garantire una separazione adeguata dei compiti definendo l'ambito dell'accesso appropriato. Configurare i pacchetti di accesso di Entitlement Management per gestire l'accesso alle applicazioni, ai gruppi, ai siti di Teams e SharePoint. Configurare i controlli di separazione dei compiti all'interno dei pacchetti di accesso per evitare che un utente ottenga un accesso eccessivo. Nella gestione entitlement di Microsoft Entra è possibile configurare più criteri, con impostazioni diverse per ogni community di utenti che dovrà accedere tramite un pacchetto di accesso. Questa configurazione include restrizioni in modo che a un utente di un determinato gruppo o già assegnato un pacchetto di accesso diverso non siano assegnati altri pacchetti di accesso, in base ai criteri. Configurare le unità amministrative in Microsoft Entra ID per definire l'ambito dei privilegi amministrativi in modo che gli amministratori con ruoli con privilegi abbiano tali privilegi solo per un set limitato di oggetti directory (utenti, gruppi, dispositivi). Informazioni su Gestione entitlement Quali sono i pacchetti di accesso e quali risorse è possibile gestire con essi? Configurare la separazione dei compiti per un pacchetto di accesso nella gestione entitlement di Microsoft Entra unità Amministrazione istrative in Microsoft Entra ID |
| AC. L2-3.1.5 Dichiarazione pratica: usare il principio dei privilegi minimi, incluse funzioni di sicurezza specifiche e account con privilegi. Obiettivi: Determinare se: [a.] gli account con privilegi vengono identificati; [b.] l'accesso agli account con privilegi è autorizzato in conformità al principio dei privilegi minimi; [c.] vengono identificate le funzioni di sicurezza; E [d.] l'accesso alle funzioni di sicurezza è autorizzato in conformità al principio dei privilegi minimi. |
L'utente è responsabile dell'implementazione e dell'applicazione della regola dei privilegi minimi. Questa azione può essere eseguita con Privileged Identity Management per configurare l'imposizione, il monitoraggio e gli avvisi. Impostare requisiti e condizioni per l'appartenenza ai ruoli. Dopo aver identificato e gestito gli account con privilegi, usare Entitlement Lifecycle Management e verifiche di accesso per impostare, gestire e controllare un accesso adeguato. Usare l'API Microsoft Graph per individuare e monitorare i ruoli della directory. Assegnare ruoli Assegnare i ruoli di Microsoft Entra in PIM Assegnare i ruoli delle risorse di Azure in Privileged Identity Management Assegnare proprietari e membri idonei per PIM per i gruppi Impostare le impostazioni del ruolo Configurare le impostazioni del ruolo Microsoft Entra in PIM Configurare le impostazioni dei ruoli delle risorse di Azure in PIM Configurare PIM per le impostazioni dei gruppi in PIM Impostare gli avvisi in Application Insights Avvisi di sicurezza per i ruoli di Microsoft Entra in PIM Configurare gli avvisi di sicurezza per i ruoli delle risorse di Azure in Privileged Identity Management |
| AC. L2-3.1.6 Istruzione pratica: usare account o ruoli senza privilegi quando si accede a funzioni di sicurezza non. Obiettivi: Determinare se: [a.] vengono identificate funzioni non di sicurezza; E [b.] gli utenti devono usare account o ruoli senza privilegi quando accedono a funzioni non di sicurezza. AC. L2-3.1.7 Istruzione pratica: impedire agli utenti senza privilegi di eseguire funzioni con privilegi e acquisire l'esecuzione di tali funzioni nei log di controllo. Obiettivi: Determinare se: [a.] le funzioni privilegiate sono definite; [b.] gli utenti senza privilegi sono definiti; [c.] agli utenti senza privilegi viene impedito l'esecuzione di funzioni con privilegi; E [d.] l'esecuzione di funzioni con privilegi viene acquisita nei log di controllo. |
Requisiti in AC. L2-3.1.6 e AC. L2-3.1.7 si integrano tra loro. Richiedere account separati per l'uso con privilegi e senza privilegi. Configurare Privileged Identity Management (PIM) per l'accesso con privilegi JIT (Just-In-Time) e rimuovere l'accesso permanente. Configurare i criteri di accesso condizionale basati sui ruoli per limitare l'accesso all'applicazione di produttività per gli utenti con privilegi. Per gli utenti con privilegi elevati, proteggere i dispositivi come parte della storia di accesso con privilegi. Tutte le azioni con privilegi vengono acquisite nei log di controllo di Microsoft Entra. Panoramica della protezione dell'accesso con privilegi Configurare le impostazioni del ruolo Microsoft Entra in PIM Utenti e gruppi nei criteri di accesso condizionale Perché i dispositivi con accesso con privilegi sono importanti |
| AC. L2-3.1.8 Istruzione pratica: limitare i tentativi di accesso non riusciti. Obiettivi: Determinare se: [a.] viene definito il mezzo per limitare i tentativi di accesso non riusciti; E [b.] vengono implementati i mezzi definiti per limitare i tentativi di accesso non riusciti. |
Abilitare le impostazioni personalizzate di blocco intelligente. Configurare la soglia di blocco e la durata del blocco in secondi per implementare questi requisiti. Proteggere gli account utente da attacchi con il blocco intelligente di Microsoft Entra Gestire i valori di blocco intelligente di Microsoft Entra |
| AC. L2-3.1.9 Informativa sulle procedure: fornire avvisi sulla privacy e sulla sicurezza coerenti con le regole CUI applicabili. Obiettivi: Determinare se: [a.] le comunicazioni sulla privacy e sulla sicurezza richieste dalle regole specificate da CUI sono identificate, coerenti e associate alla categoria DI CUI specifica; E [b.] vengono visualizzate le comunicazioni sulla privacy e sulla sicurezza. |
Con Microsoft Entra ID è possibile recapitare messaggi di notifica o banner per tutte le app che richiedono e registrano il riconoscimento prima di concedere l'accesso. È possibile specificare in modo granulare questi criteri per le condizioni per l'utilizzo a utenti specifici (membro o guest). È anche possibile personalizzarli per ogni applicazione tramite i criteri di accesso condizionale. Accesso condizionale Che cos'è l'accesso condizionale in Microsoft Entra ID? Condizioni per l'utilizzo Condizioni per l'utilizzo di Microsoft Entra Visualizzare il report di chi ha accettato e rifiutato |
| AC. L2-3.1.10 Istruzione pratica: usare il blocco di sessione con le visualizzazioni nascoste dal criterio per impedire l'accesso e la visualizzazione dei dati dopo un periodo di inattività. Obiettivi: Determinare se: [a.] il periodo di inattività dopo il quale il sistema avvia un blocco di sessione è definito; [b.] l'accesso al sistema e alla visualizzazione dei dati viene impedito avviando un blocco di sessione dopo il periodo di inattività definito; E [c.] le informazioni visibili in precedenza vengono nascoste tramite una visualizzazione nascosta da pattern dopo il periodo di inattività definito. |
Implementare il blocco del dispositivo usando un criterio di accesso condizionale per limitare l'accesso ai dispositivi aggiunti all'ibrido o a Microsoft Entra. Configurare le impostazioni dei criteri nel dispositivo per applicare il blocco del dispositivo a livello di sistema operativo con soluzioni MDM come Intune. Gli oggetti Criteri di gruppo, Configuration Manager o Microsoft Intune possono essere considerati anche nelle distribuzioni ibride. Per i dispositivi non gestiti, configurare l'impostazione Frequenza di accesso per forzare l'autenticazione degli utenti. Richiedi che i dispositivi siano contrassegnati come conformi Concedere i controlli nei criteri di accesso condizionale - Richiedere il dispositivo aggiunto ibrido a Microsoft Entra Frequenza di accesso utente Configurare i dispositivi per un massimo di minuti di inattività fino al blocco dello schermo (Android, iOS, Windows 10). |
| AC. L2-3.1.11 Istruzione pratica: termina (automaticamente) una sessione utente dopo una condizione definita. Obiettivi: Determinare se: [a.] sono definite condizioni che richiedono la chiusura di una sessione utente; E [b.] una sessione utente viene terminata automaticamente dopo che si verifica una delle condizioni definite. |
Abilitare la valutazione dell'accesso continuo (CAE) per tutte le applicazioni supportate. Per l'applicazione che non supporta CAE o per le condizioni non applicabili a CAE, implementare i criteri in Microsoft Defender per il cloud App per terminare automaticamente le sessioni quando si verificano condizioni. Configurare anche Microsoft Entra ID Protection per valutare l'utente e il rischio di accesso. Usare l'accesso condizionale con Identity Protection per consentire all'utente di correggere automaticamente i rischi. Valutazione dell'accesso continuo in Microsoft Entra ID Controllare l'utilizzo delle app cloud creando criteri Cos'è Microsoft Entra ID Protection? |
| AC. L2-3.1.12 Istruzione pratica: monitorare e controllare le sessioni di accesso remoto. Obiettivi: Determinare se: [a.] le sessioni di accesso remoto sono consentite; [b.] vengono identificati i tipi di accesso remoto consentito; [c.] le sessioni di accesso remoto sono controllate; E [d.] le sessioni di accesso remoto vengono monitorate. |
Nel mondo attuale, gli utenti accedono alle applicazioni basate sul cloud quasi esclusivamente in remoto da reti sconosciute o non attendibili. È fondamentale proteggere questo modello di accesso per adottare entità di attendibilità zero. Per soddisfare questi requisiti di controllo in un mondo cloud moderno, è necessario verificare in modo esplicito ogni richiesta di accesso, implementare privilegi minimi e presupporre violazioni. Configurare percorsi denominati per delineare le reti interne e esterne. Configurare il controllo delle app per l'accesso condizionale per instradare l'accesso tramite app Microsoft Defender per il cloud. Configurare Defender per il cloud App per controllare e monitorare tutte le sessioni. Guida alla distribuzione Zero Trust per Microsoft Entra ID Condizione della posizione nell'accesso condizionale di Microsoft Entra Distribuire Il controllo app per l'accesso condizionale di Cloud App Security per le app Microsoft Entra Che cos'è Microsoft Defender per il cloud App? Monitorare gli avvisi generati nelle app di Microsoft Defender per il cloud |
| AC. L2-3.1.13 Dichiarazione pratica: usare meccanismi di crittografia per proteggere la riservatezza delle sessioni di accesso remoto. Obiettivi: Determinare se: [a.] vengono identificati meccanismi crittografici per proteggere la riservatezza delle sessioni di accesso remoto; E [b.] vengono implementati meccanismi di crittografia per proteggere la riservatezza delle sessioni di accesso remoto. |
Tutti i servizi Web rivolti ai clienti Di Microsoft Entra sono protetti con il protocollo TLS (Transport Layer Security) e vengono implementati tramite la crittografia convalidata DA FIPS. Considerazioni sulla sicurezza dei dati di Microsoft Entra (microsoft.com) |
| AC. L2-3.1.14 Istruzione pratica: instradare l'accesso remoto tramite punti di controllo di accesso gestiti. Obiettivi: Determinare se: [a.] i punti di controllo di accesso gestiti vengono identificati e implementati; E [b.] l'accesso remoto viene instradato tramite punti di controllo di accesso di rete gestiti. |
Configurare percorsi denominati per delineare le reti interne e esterne. Configurare il controllo delle app per l'accesso condizionale per instradare l'accesso tramite app Microsoft Defender per il cloud. Configurare Defender per il cloud App per controllare e monitorare tutte le sessioni. Proteggere i dispositivi usati dagli account con privilegi come parte della storia di accesso con privilegi. Condizione della posizione nell'accesso condizionale di Microsoft Entra Controlli sessione nei criteri di accesso condizionale Panoramica della protezione dell'accesso con privilegi |
| AC. L2-3.1.15 Dichiarazione pratica: autorizzare l'esecuzione remota dei comandi con privilegi e l'accesso remoto alle informazioni rilevanti per la sicurezza. Obiettivi: Determinare se: [a.] vengono identificati i comandi con privilegi autorizzati per l'esecuzione remota; [b.] vengono identificate le informazioni rilevanti per la sicurezza autorizzate ad accedere in remoto; [c.] l'esecuzione dei comandi con privilegi identificati tramite accesso remoto è autorizzata; E [d.] l'accesso alle informazioni rilevanti per la sicurezza identificate tramite accesso remoto è autorizzato. |
L'accesso condizionale è il piano di controllo Zero Trust per impostare come destinazione i criteri per l'accesso alle app in combinazione con il contesto di autenticazione. È possibile applicare criteri diversi in tali app. Proteggere i dispositivi usati dagli account con privilegi come parte della storia di accesso con privilegi. Configurare i criteri di accesso condizionale per richiedere l'uso di questi dispositivi protetti dagli utenti con privilegi durante l'esecuzione di comandi con privilegi. App cloud, azioni e contesto di autenticazione nei criteri di accesso condizionale Panoramica della protezione dell'accesso con privilegi Filtrare i dispositivi come condizione nei criteri di accesso condizionale |
| AC. L2-3.1.18 Dichiarazione pratica: controllare la connessione dei dispositivi mobili. Obiettivi: Determinare se: [a.] i dispositivi mobili che elaborano, archiviano o trasmettono cui sono identificati; [b.] le connessioni di dispositivi mobili sono autorizzate; E [c.] le connessioni dei dispositivi mobili vengono monitorate e registrate. |
Configurare i criteri di gestione dei dispositivi tramite MDM (ad esempio Microsoft Intune), Configuration Manager o oggetti Criteri di gruppo per applicare la configurazione e il profilo di connessione dei dispositivi mobili. Configurare i criteri di accesso condizionale per applicare la conformità dei dispositivi. Accesso condizionale Richiedi che i dispositivi siano contrassegnati come conformi Richiedi dispositivo aggiunto ibrido a Microsoft Entra Intune Criteri di conformità dei dispositivi in Microsoft Intune Che cos'è la gestione delle app in Microsoft Intune? |
| AC. L2-3.1.19 Istruzione pratica: Crittografare CUI su dispositivi mobili e piattaforme di mobile computing. Obiettivi: Determinare se: [a.] sono identificati i dispositivi mobili e le piattaforme di mobile computing che elaborano, archiviano o trasmettono CUI; E [b.] la crittografia viene usata per proteggere CUI nei dispositivi mobili identificati e nelle piattaforme di mobile computing. |
Dispositivo gestito Configurare i criteri di accesso condizionale per applicare un dispositivo aggiunto ibrido o conforme a Microsoft Entra e per garantire che i dispositivi gestiti siano configurati in modo appropriato tramite la soluzione di gestione dei dispositivi per crittografare CUI. Dispositivo non gestito Configurare i criteri di accesso condizionale per richiedere criteri di protezione delle app. Concedere i controlli nei criteri di accesso condizionale - Richiedi che il dispositivo sia contrassegnato come conforme Concedere i controlli nei criteri di accesso condizionale - Richiedere il dispositivo aggiunto ibrido a Microsoft Entra Concedere controlli nei criteri di accesso condizionale - Richiedi criteri di protezione delle app |
| AC. L2-3.1.21 Dichiarazione pratica: limitare l'uso di dispositivi di archiviazione portabili nei sistemi esterni. Obiettivi: Determinare se: [a.] l'uso di dispositivi di archiviazione portatili contenenti CUI su sistemi esterni è identificato e documentato; [b.] vengono definiti limiti all'uso di dispositivi di archiviazione portatili contenenti CUI in sistemi esterni; E [c.] l'uso di dispositivi di archiviazione portabili contenenti CUI in sistemi esterni è limitato come definito. |
Configurare i criteri di gestione dei dispositivi tramite MDM (ad esempio Microsoft Intune), Configuration Manager o oggetti Criteri di gruppo per controllare l'uso di dispositivi di archiviazione portatili nei sistemi. Configurare le impostazioni dei criteri nel dispositivo Windows per impedire completamente o limitare l'uso dell'archiviazione portabile a livello di sistema operativo. Per tutti gli altri dispositivi in cui potrebbe non essere possibile controllare in modo granulare l'accesso al download di blocchi di archiviazione portabile interamente con app Microsoft Defender per il cloud. Configurare i criteri di accesso condizionale per applicare la conformità dei dispositivi. Accesso condizionale Richiedi che i dispositivi siano contrassegnati come conformi Richiedi dispositivo aggiunto ibrido a Microsoft Entra Configurare la gestione delle sessioni di autenticazione Intune Criteri di conformità dei dispositivi in Microsoft Intune Limitare i dispositivi USB usando modelli amministrativi in Microsoft Intune Microsoft Defender for Cloud Apps Creare criteri di sessione nelle app di Defender per il cloud |