인증자 보증 수준

  • 아티클

NIST(미국 국립표준기술원)는 ID 솔루션을 구현하는 미국 연방 기관에 대한 기술 요구 사항을 작성합니다. NIST SP 800-63B에는 ALL(인증자 보증 수준) 프레임워크를 사용하는 디지털 인증 구현에 대한 기술 지침이 있습니다. AAL은 디지털 ID의 인증 강도를 특징으로 합니다. 해지를 포함하여 인증자 수명 주기 관리에 대해서도 알아볼 수 있습니다.

표준에는 다음 범주에 대한 AAL 요구 사항이 포함되어 있습니다.

  • 허용되는 인증자 유형

  • FIPS 140(Federal Information Processing Standards 140) 확인 수준. FIPS 140 요구 사항은 FIPS 140-2 이상 수정 버전에서 충족됩니다.

  • 재인증

  • 보안 제어

  • MitM(Man-in-the-middle) 저항

  • 검증 도구-가장 저항(피싱 저항)

  • 검증 도구 손상 저항

  • 재생 저항

  • 인증 의도

  • 레코드 보존 정책

  • 개인 정보 제어

사용자 환경에서 NIST AAL

일반적으로 AAL1은 가장 쉽게 손상되는 인증인 암호 전용 솔루션을 허용하므로 권장되지 않습니다. 자세한 내용은 Pa$$word는 중요하지 않음 블로그 게시물을 참조하세요.

NIST에서는 AAL3까지 검증 도구 가장(자격 증명 피싱)이 필요하지 않지만, 모든 수준에서 이 위협을 해결하는 것이 좋습니다. 디바이스를 Microsoft Entra ID 또는 하이브리드 Microsoft Entra ID에 조인하도록 요구하는 등 검증자 가장 저항을 제공하는 인증자를 선택할 수 있습니다. Office 365를 사용하는 경우 Office 365 Advanced Threat Protection 및 해당 피싱 방지 정책을 사용할 수 있습니다.

조직에 필요한 NIST AAL을 평가할 때 전체 조직이 NIST 표준을 충족해야 하는지 여부를 고려합니다. 분리할 수 있는 특정 사용자 그룹 및 리소스가 있는 경우 해당 사용자 그룹 및 리소스에 NIST AAL 구성을 적용할 수 있습니다.

AAL2 이상을 충족하는 것이 좋습니다. 필요한 경우 비즈니스 이유, 산업 표준 또는 규정 준수 요구 사항을 위해 AAL3을 충족합니다.

보안 제어, 개인 정보 컨트롤, 레코드 보존 정책

Joint Authorization Board에서 Azure와 Azure Government는 NIST SP 800-53 High Impact 수준에서 P-ATO(임시 운영 권한)를 갖습니다. 이 FedRAMP 인증은 Azure 및 Azure Government에 매우 중요한 데이터를 처리할 수 있는 권한을 부여합니다.

Important

Azure 및 Azure Government 인증은 AAL1, AAL2, AAL3에 대한 보안 제어, 개인 정보 보호 제어 및 레코드 보존 정책 요구 사항을 충족합니다.

Azure 및 Azure Government의 FedRAMP 감사에는 인프라, 개발, 운영, 관리 및 범위 내 서비스 지원에 대한 정보 보안 관리 시스템이 포함되었습니다. P-ATO가 부여될 때 클라우드 서비스 공급자는 함께 작업하는 모든 정부 기관으로부터 권한(ATO)을 획득해야 합니다. 정부 기관 또는 조직은 보안 권한 부여 프로세스에서 Azure P-ATO를 사용할 수 있으며 FedRAMP 요구 사항을 충족하는 기관 ATO를 발급하기 위한 기준으로 사용할 수 있습니다.

Azure는 FedRAMP High Impact에서 여러 서비스를 지원합니다. FedRAMP High의 Azure 퍼블릭 클라우드는 미국 정부 고객의 요구를 충족하지만 요구 사항이 이보다 엄격한 기관은 Azure Government를 활용합니다. Azure Government 세이프가드에는 강화된 인사 심사가 포함됩니다. Azure Government에서 Microsoft는 FedRAMP High 경계까지 사용 가능한 Azure 공용 서비스 및 현재 연도의 서비스를 나열합니다.

또한 Microsoft는 명확하게 명시된 레코드 보존 정책을 사용하여 고객 데이터를 보호하고 관리하기 위해 최선을 다하고 있습니다. Microsoft에는 대규모 규정 준수 포트폴리오가 있습니다. 자세한 내용을 보려면 Microsoft 규정 준수 제안으로 이동하세요.

다음 단계

NIST 개요

AAL에 대한 자세한 정보

인증 기본 사항

NIST 인증자 유형

Microsoft Entra ID로 NIST AAL1 획득

Microsoft Entra ID로 NIST AAL2 획득

Microsoft Entra ID로 NIST AAL3 달성