Configurare i controlli di accesso alle identità per soddisfare il livello di impatto elevato di FedRAMP
Il controllo di accesso è una parte importante del raggiungimento di un livello di impatto elevato di FedRAMP (Federal Risk and Authorization Management Program ).
L'elenco seguente dei controlli e dei miglioramenti del controllo nella famiglia di controllo di accesso (AC) potrebbe richiedere la configurazione nel tenant di Microsoft Entra.
| Famiglia del controllo | Descrizione |
|---|---|
| AC-2 | Gestione account |
| AC-6 | Privilegi minimi |
| AC-7 | Tentativi di accesso non riusciti |
| AC-8 | Notifica dell'uso del sistema |
| AC-10 | Controllo sessione simultaneo |
| AC-11 | Blocco sessione |
| AC-12 | Terminazione della sessione |
| AC-20 | Uso di sistemi informativi esterni |
Ogni riga della tabella seguente fornisce indicazioni prescrittive che consentono di sviluppare la risposta dell'organizzazione a eventuali responsabilità condivise per il controllo o il miglioramento del controllo.
Configurazioni
| ID e descrizione del controllo FedRAMP | Indicazioni e consigli per Microsoft Entra |
|---|---|
| GESTIONE ACCOUNT AC-2 L'organizzazione (b.) Assegna i responsabili degli account per gli account del sistema informativo; (c.) Stabilisce le condizioni per l'appartenenza a gruppi e ruoli; (d.) Specifica gli utenti autorizzati del sistema informativo, l'appartenenza a gruppi e ruoli e le autorizzazioni di accesso (ad esempio, privilegi) e altri attributi (in base alle esigenze) per ogni account; (e.) Richiede approvazioni per [assegnazione: personale o ruoli definiti dall'organizzazione] per le richieste di creazione di account del sistema informativo; (f.) Crea, abilita, modifica, disabilita e rimuove gli account del sistema informativo in base a [assegnazione: procedure o condizioni definite dall'organizzazione]; (g.) Monitora l'uso degli account del sistema informativo; (h.) Notifica ai responsabili degli account: (i.) Autorizza l'accesso al sistema informativo in base a: (j.) Verifica la conformità ai requisiti di gestione degli account [Assegnazione FedRAMP: mensile per l'accesso con privilegi, ogni sei (6) mesi per l'accesso senza privilegi]; e (k.) Stabilisce un processo per la riemissione delle credenziali dell'account condiviso/gruppo (se distribuito) quando i singoli utenti vengono rimossi dal gruppo. |
Implementare la gestione del ciclo di vita degli account per gli account controllati dal cliente. Monitorare l'uso degli account e notificare agli account manager gli eventi del ciclo di vita degli account. Esaminare gli account per la conformità ai requisiti di gestione degli account ogni mese per l'accesso con privilegi e ogni sei mesi per l'accesso senza privilegi. Usare Microsoft Entra ID per effettuare il provisioning di account da sistemi HR esterni, Active Directory locale o direttamente nel cloud. Tutte le operazioni del ciclo di vita dell'account vengono controllate nei log di controllo di Microsoft Entra. È possibile raccogliere e analizzare i log usando una soluzione SIEM (Security Information and Event Management), ad esempio Microsoft Sentinel. In alternativa, è possibile usare Hub eventi di Azure per integrare i log con soluzioni SIEM di terze parti per abilitare il monitoraggio e la notifica. Usare la gestione entitlement di Microsoft Entra con verifiche di accesso per garantire lo stato di conformità degli account. Effettuare il provisioning degli account Monitorare gli account Rivedere i conti Risorse
|
| AC-2(1) L'organizzazione usa meccanismi automatizzati per supportare la gestione degli account del sistema informativo. |
Usare meccanismi automatizzati per supportare la gestione degli account controllati dai clienti. Configurare il provisioning automatizzato degli account controllati dai clienti da sistemi HR esterni o Active Directory locale. Per le applicazioni che supportano il provisioning delle applicazioni, configurare Microsoft Entra ID per creare automaticamente identità utente e ruoli nelle applicazioni software cloud come soluzione (SaaS) a cui gli utenti devono accedere. Oltre a creare le identità utente, il provisioning automatico include la manutenzione e la rimozione delle identità utente quando lo stato o i ruoli cambiano. Per semplificare il monitoraggio dell'utilizzo degli account, è possibile trasmettere i log di Protezione ID Microsoft Entra, che mostrano utenti rischiosi, accessi a rischio e rilevamenti dei rischi e log di controllo direttamente in Microsoft Sentinel o Hub eventi. Provisioning di Monitorare e controllare |
| AC-2(2) Il sistema informativo [FedRAMP Selection: disabilita] gli account temporanei e di emergenza dopo [Assegnazione FedRAMP: 24 ore dall'ultimo utilizzo]. AC-02(3) Ac-2 (3) requisiti e indicazioni aggiuntivi di FedRAMP: |
Usare meccanismi automatizzati per supportare la rimozione o la disabilitazione automatica degli account temporanei e di emergenza dopo 24 ore dall'ultimo utilizzo e tutti gli account controllati dai clienti dopo 35 giorni di inattività. Implementare l'automazione della gestione degli account con Microsoft Graph e Microsoft Graph PowerShell. Usare Microsoft Graph per monitorare l'attività di accesso e Microsoft Graph PowerShell per intervenire sugli account nell'intervallo di tempo necessario. Determinare l'inattività Rimuovere o disabilitare gli account Usare i dispositivi in Microsoft Graph |
| AC-2(4) Il sistema informativo controlla automaticamente la creazione, la modifica, l'abilitazione, la disabilitazione e la rimozione delle azioni e notifica [Assegnazione FedRAMP: proprietario del sistema dell'organizzazione e/o del provider di servizi]. |
Implementare un sistema di controllo e notifica automatizzato per il ciclo di vita della gestione degli account controllati dai clienti. Tutte le operazioni del ciclo di vita dell'account, ad esempio la creazione, la modifica, l'abilitazione, la disabilitazione e la rimozione delle azioni, vengono controllate all'interno dei log di controllo di Azure. È possibile trasmettere i log direttamente a Microsoft Sentinel o a Hub eventi per facilitare la notifica. Audit Notifica |
| AC-2(5) L'organizzazione richiede che gli utenti si disconnetteno quando [Assegnazione FedRAMP: l'inattività deve superare quindici (15) minuti]. Ac-2 (5) requisiti e linee guida aggiuntivi di FedRAMP: |
Implementare la disconnessione del dispositivo dopo un periodo di inattività di 15 minuti. Implementare il blocco del dispositivo usando criteri di accesso condizionale che limitano l'accesso ai dispositivi conformi. Configurare le impostazioni dei criteri nel dispositivo per applicare il blocco del dispositivo a livello di sistema operativo con soluzioni di gestione dei dispositivi mobili (MDM), ad esempio Intune. Gli oggetti Criteri di gruppo o Endpoint Manager possono essere considerati anche nelle distribuzioni ibride. Per i dispositivi non gestiti, configurare l'impostazione Frequenza di accesso per forzare l'autenticazione degli utenti. Accesso condizionale Criteri MDM |
| AC-2(7) L'organizzazione: |
Amministrazione ister e monitorare le assegnazioni di ruolo con privilegi seguendo uno schema di accesso basato sui ruoli per gli account controllati dai clienti. Disabilitare o revocare l'accesso con privilegi per gli account quando non sono più appropriati. Implementare Microsoft Entra Privileged Identity Management con verifiche di accesso per i ruoli con privilegi in Microsoft Entra ID per monitorare le assegnazioni di ruolo e rimuovere le assegnazioni di ruolo quando non sono più appropriate. È possibile trasmettere i log di controllo direttamente in Microsoft Sentinel o in Hub eventi per facilitare il monitoraggio. Amministrare Monitoraggio |
| AC-2(11) Il sistema informativo applica [assegnazione: circostanze definite dall'organizzazione e/o condizioni di utilizzo] per [assegnazione: account del sistema informativo definiti dall'organizzazione]. |
Applicare l'utilizzo di account controllati dal cliente per soddisfare condizioni o circostanze definite dal cliente. Creare criteri di accesso condizionale per applicare decisioni di controllo di accesso tra utenti e dispositivi. Accesso condizionale |
| AC-2(12) L'organizzazione: AC-2 (12) (a) e AC-2 (12) (b) Requisiti e indicazioni aggiuntivi per FedRAMP: |
Monitorare e segnalare gli account controllati dai clienti con accesso con privilegi per l'utilizzo atipico. Per informazioni sul monitoraggio dell'utilizzo atipico, è possibile trasmettere i log di Identity Protection, che mostrano utenti rischiosi, accessi a rischio e rilevamenti dei rischi e log di controllo, che consentono di correlare con l'assegnazione dei privilegi, direttamente in una soluzione SIEM come Microsoft Sentinel. È anche possibile usare Hub eventi per integrare i log con soluzioni SIEM di terze parti. Protezione dell'identità Monitorare gli account |
| AC-2(13) L'organizzazione disabilita gli account degli utenti che presentano un rischio significativo in [Assegnazione FedRAMP: una (1) ora] di individuazione del rischio. |
Disabilitare gli account controllati dai clienti degli utenti che rappresentano un rischio significativo in un'ora. In Microsoft Entra ID Protection configurare e abilitare un criterio di rischio utente con la soglia impostata su Alto. Creare criteri di accesso condizionale per bloccare l'accesso per gli utenti rischiosi e gli accessi a rischio. Configurare i criteri di rischio per consentire agli utenti di correggere e sbloccare i tentativi di accesso successivi. Protezione dell'identità Accesso condizionale |
| AC-6(7) L'organizzazione: |
Esaminare e convalidare tutti gli utenti con accesso con privilegi ogni anno. Assicurarsi che i privilegi vengano riassegnati (o rimossi, se necessario) per allinearsi ai requisiti aziendali e di mission aziendale. Usare la gestione entitlement di Microsoft Entra con verifiche di accesso per gli utenti con privilegi per verificare se è necessario l'accesso con privilegi. Verifiche di accesso |
| Tentativi di accesso non riusciti ac-7 L'organizzazione: |
Applicare un limite di non più di tre tentativi di accesso consecutivi non riusciti nelle risorse distribuite dal cliente entro un periodo di 15 minuti. Bloccare l'account per almeno tre ore o fino a quando non viene sbloccato da un amministratore. Abilitare le impostazioni di blocco intelligente personalizzate. Configurare la soglia di blocco e la durata del blocco in secondi per implementare questi requisiti. Blocco intelligente |
| Notifica di utilizzo del sistema AC-8 Il sistema informativo: (b.) Mantiene il messaggio di notifica o il banner sullo schermo finché gli utenti non riconoscono le condizioni di utilizzo e non esemettono azioni esplicite per accedere o accedere ulteriormente al sistema informativo; E (c.) Per i sistemi accessibili pubblicamente: Ac-8 requisiti e linee guida aggiuntivi per FedRAMP: |
Visualizzare e richiedere l'accettazione da parte dell'utente delle comunicazioni sulla privacy e sulla sicurezza prima di concedere l'accesso ai sistemi informativi. Con Microsoft Entra ID è possibile recapitare messaggi di notifica o banner per tutte le app che richiedono e registrano il riconoscimento prima di concedere l'accesso. È possibile specificare in modo granulare questi criteri per le condizioni per l'utilizzo a utenti specifici (membro o guest). È anche possibile personalizzarli per ogni applicazione tramite i criteri di accesso condizionale. Condizioni per l'utilizzo |
| Controllo sessione simultaneo AC-10 Il sistema informativo limita il numero di sessioni simultanee per ogni [assegnazione: account definito dall'organizzazione e/o tipo di account] a [assegnazione FedRAMP: tre (3) sessioni per l'accesso con privilegi e due (2) per l'accesso senza privilegi]. |
Limitare le sessioni simultanee a tre sessioni per l'accesso con privilegi e due per l'accesso senza privilegi. Attualmente, gli utenti si connettono da più dispositivi, a volte contemporaneamente. La limitazione delle sessioni simultanee comporta un'esperienza utente danneggiata e offre un valore di sicurezza limitato. Un approccio migliore per affrontare lo scopo di questo controllo consiste nell'adottare un comportamento di sicurezza senza attendibilità. Le condizioni vengono convalidate in modo esplicito prima della creazione di una sessione e convalidate continuamente durante la durata di una sessione. Utilizzare inoltre i controlli di compensazione seguenti. Usare i criteri di accesso condizionale per limitare l'accesso ai dispositivi conformi. Configurare le impostazioni dei criteri nel dispositivo per applicare restrizioni di accesso utente a livello di sistema operativo con soluzioni MDM come Intune. Gli oggetti Criteri di gruppo o Endpoint Manager possono essere considerati anche nelle distribuzioni ibride. Usare Privileged Identity Management per limitare e controllare ulteriormente gli account con privilegi. Configurare il blocco dell'account intelligente per i tentativi di accesso non validi. Linee guida per l'implementazione Zero Trust Accesso condizionale Criteri relativi ai dispositivi Risorse Vedere AC-12 per altre indicazioni sulla rivalutazione della sessione e sulla mitigazione dei rischi. |
| Blocco sessione AC-11 Il sistema informativo: (a) Impedisce un ulteriore accesso al sistema avviando un blocco di sessione dopo [Assegnazione FedRAMP: quindici (15) minuti] di inattività o quando si riceve una richiesta da un utente; e (b) Mantiene il blocco della sessione fino a quando l'utente non rialloca l'accesso usando le procedure di identificazione e autenticazione stabilite. AC-11(1) |
Implementare un blocco di sessione dopo un periodo di inattività di 15 minuti o dopo aver ricevuto una richiesta da un utente. Mantenere il blocco della sessione fino a quando l'utente non esegue nuovamente l'autenticazione. Nascondere le informazioni visibili in precedenza all'avvio di un blocco di sessione. Implementare il blocco del dispositivo usando un criterio di accesso condizionale per limitare l'accesso ai dispositivi conformi. Configurare le impostazioni dei criteri nel dispositivo per applicare il blocco del dispositivo a livello di sistema operativo con soluzioni MDM come Intune. Gli oggetti Criteri di gruppo o Endpoint Manager possono essere considerati anche nelle distribuzioni ibride. Per i dispositivi non gestiti, configurare l'impostazione Frequenza di accesso per forzare l'autenticazione degli utenti. Accesso condizionale Criteri MDM |
| Terminazione della sessione AC-12 Il sistema informativo termina automaticamente una sessione utente dopo [assegnazione: condizioni definite dall'organizzazione o eventi di attivazione che richiedono la disconnessione della sessione]. |
Termina automaticamente le sessioni utente quando si verificano condizioni o eventi di trigger definiti dall'organizzazione. Implementare la rivalutazione automatica della sessione utente con funzionalità di Microsoft Entra, ad esempio l'accesso condizionale basato sul rischio e la valutazione dell'accesso continuo. È possibile implementare condizioni di inattività a livello di dispositivo, come descritto in AC-11. Risorse |
| AC-12(1) Il sistema informativo: (a.) Fornisce una funzionalità di disconnessione per le sessioni di comunicazione avviate dall'utente ogni volta che viene usata l'autenticazione per ottenere l'accesso a [assegnazione: risorse di informazioni definite dall'organizzazione]; E (b.) Visualizza un messaggio di disconnessione esplicito agli utenti che indica la terminazione affidabile delle sessioni di comunicazione autenticate. Ac-8 requisiti e linee guida aggiuntivi per FedRAMP: |
Fornire una funzionalità di disconnessione per tutte le sessioni e visualizzare un messaggio di disconnessione esplicito. Tutte le interfacce Web surfaced di Microsoft Entra ID offrono una funzionalità di disconnessione per le sessioni di comunicazione avviate dall'utente. Quando le applicazioni SAML sono integrate con Microsoft Entra ID, implementare l'accesso Single Sign-Out. Funzionalità di disconnessione Visualizza messaggio
Risorse |
| AC-20 Uso di sistemi informativi esterni L'organizzazione stabilisce termini e condizioni, coerenti con eventuali relazioni di trust stabilite con altre organizzazioni proprietarie, operative e/o di gestione di sistemi informativi esterni, consentendo agli utenti autorizzati di: (a.) Accedere al sistema informativo da sistemi informativi esterni; E (b.) Elaborare, archiviare o trasmettere informazioni controllate dall'organizzazione usando sistemi informativi esterni. AC-20(1) |
Stabilire termini e condizioni che consentono agli utenti autorizzati di accedere alle risorse distribuite dal cliente da sistemi informativi esterni, ad esempio dispositivi non gestiti e reti esterne. Richiedere l'accettazione delle condizioni per l'utilizzo per gli utenti autorizzati che accedono alle risorse da sistemi esterni. Implementare criteri di accesso condizionale per limitare l'accesso da sistemi esterni. I criteri di accesso condizionale possono essere integrati con Defender per il cloud App per fornire controlli per le applicazioni cloud e locali da sistemi esterni. La gestione di applicazioni mobili in Intune può proteggere i dati dell'organizzazione a livello di applicazione, incluse app personalizzate e app dello Store, da dispositivi gestiti che interagiscono con sistemi esterni. Un esempio è l'accesso ai servizi cloud. Puoi usare la gestione delle app sui dispositivi di proprietà dell'organizzazione e su quelli personali. Condizioni Accesso condizionale MDM Conto risorse |
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per