Configurare l'ID Microsoft Entra per soddisfare il livello di impatto elevato di FedRAMP

Federal Risk and Authorization Management Program (FedRAMP) è un processo di valutazione e autorizzazione per i provider di servizi cloud.The Federal Risk and Authorization Management Program (FedRAMP) is an assessment and authorization process for cloud service providers (CSP). In particolare, il processo è destinato ai provider di servizi cloud che creano offerte di soluzioni cloud (CSO) da usare con le agenzie federali. Azure e Azure Government hanno ottenuto un'Autorità Provvisoria per Operare (P-ATO) a livello di impatto elevato dal Joint Authorization Board, il livello più alto per l'accreditamento FedRAMP.

Azure offre la possibilità di soddisfare tutti i requisiti di controllo per ottenere una valutazione FedRAMP alta per la tua CSO o come agenzia federale. È responsabilità dell'organizzazione completare configurazioni o processi aggiuntivi per essere conformi. Questa responsabilità si applica sia ai CSP che richiedono un'autorizzazione di alto livello FedRAMP per il proprio CSO, sia alle agenzie federali che richiedono un'Autorità di Operare (ATO).

Microsoft e FedRAMP

Microsoft Azure supporta più servizi ai livelli FedRAMP High Impact rispetto a qualsiasi altro provider di servizi cloud. E anche se questo livello nel cloud pubblico di Azure soddisfa le esigenze di molti clienti del governo degli Stati Uniti, le agenzie con requisiti più rigorosi potrebbero basarsi sul cloud di Azure per enti pubblici. Azure per enti pubblici offre misure di sicurezza aggiuntive, ad esempio lo screening avanzato del personale.

Microsoft deve ricertificare i servizi cloud ogni anno per mantenere le autorizzazioni. A tale scopo, Microsoft monitora e valuta continuamente i controlli di sicurezza e dimostra che la sicurezza dei servizi rimane conforme. Per altre informazioni, vedere Autorizzazioni FedRAMP per i servizi cloud Microsoft e Report di controllo di Microsoft FedRAMP. Per ricevere altri report FedRAMP, inviare un messaggio di posta elettronica alla documentazione federale di Azure.

Esistono più percorsi per l'autorizzazione FedRAMP. È possibile riutilizzare il pacchetto di autorizzazione esistente di Azure e le indicazioni riportate qui per ridurre significativamente il tempo e il lavoro necessario per ottenere un ATO o un P-ATO.

Ambito delle linee guida

La baseline FedRAMP alta è costituita da 421 controlli e miglioramenti dei controlli del Catalogo Controlli di Sicurezza NIST 800-53, Revisione 4. Dove applicabile, abbiamo incluso informazioni chiarificatrici dalla Revisione 800-53. Questo articolo illustra un subset di questi controlli correlati all'identità e che è necessario configurare.

Forniamo indicazioni prescrittive per aiutarti a ottenere la conformità con i controlli di cui sei responsabile della configurazione in Microsoft Entra ID. Per soddisfare completamente alcuni requisiti di controllo delle identità, potrebbe essere necessario usare altri sistemi. Altri sistemi possono includere uno strumento di gestione degli eventi e delle informazioni di sicurezza, ad esempio Microsoft Sentinel. Se si usano servizi di Azure all'esterno di Microsoft Entra ID, è necessario prendere in considerazione altri controlli ed è possibile usare le funzionalità già disponibili in Azure per soddisfare i controlli.

Di seguito è riportato un elenco di risorse FedRAMP:

• Programma federale di gestione dei rischi e delle autorizzazioni

• Framework di valutazione della sicurezza FedRAMP

• Guida dell'agenzia per le autorizzazioni FedRAMP

• Gestione della conformità nel cloud in Microsoft

• Cloud Microsoft per enti pubblici

• Offerte di conformità di Azure

• Definizione dell'iniziativa integrata del criterio Azure FedRAMP High

• Portale di conformità di Microsoft Purview

• Microsoft Purview Compliance Manager

Passaggi successivi

Configurare i controlli di accesso

Configurare i controlli di accesso e identificazione

Configurare altri controlli