Voldoen aan identiteitsvereisten van memorandum 22-09 met Microsoft Entra ID
De Executive Order on Improving the Nation's Cybersecurity (14028), stuurt federale instanties naar geavanceerde veiligheidsmaatregelen die het risico op succesvolle cyberaanvallen tegen de digitale infrastructuur van de federale overheid aanzienlijk verminderen. Op 26 januari 2022, ter ondersteuning van de Executive Order (EO) 14028, heeft het Bureau van Beheer en Budget (OMB) de federal Zero Trust-strategie uitgebracht in M 22-09 Memorandum voor hoofden van leidinggevende afdelingen en agentschappen.
Deze reeks artikelen bevat richtlijnen voor het gebruik van Microsoft Entra ID als gecentraliseerd identiteitsbeheersysteem bij het implementeren van Zero Trust-principes, zoals beschreven in memorandum 22-09.
Memorandum 22-09 ondersteunt Zero Trust-initiatieven in federale agentschappen. Het heeft richtlijnen voor regelgeving voor federale cyberbeveiliging en wetgeving inzake gegevensprivacy. De memo citeert de Us Department of Defense (DoD) Zero Trust Reference Architecture:
"Het fundamentele tenet van het Zero Trust-model is dat er geen actor, systeem, netwerk of service buiten of binnen de beveiligingsperimeter wordt vertrouwd. In plaats daarvan moeten we alles en alles verifiëren om toegang tot stand te brengen. Het is een dramatische paradigmaverschuiving in de filosofie van hoe we onze infrastructuur, netwerken en gegevens beveiligen, van verificatie in één keer aan de perimeter tot continue verificatie van elke gebruiker, apparaat, toepassing en transactie.'
De memo identificeert vijf kerndoelen voor federale agentschappen, georganiseerd met het CISA-volwassen model (Cybersecurity Information Systems Architecture). Het CISA Zero Trust-model beschrijft vijf complementaire inspanningsgebieden of pijlers:
- Identiteit
- Apparaten
- Netwerken
- Toepassingen en workloads
- Gegevens
De pijlers snijden met:
- Zichtbaarheid
- Analytics
- Automatisering
- Orchestration
- Beheer
Bereik van richtlijnen
Gebruik de reeks artikelen om een plan te maken om te voldoen aan de memovereisten. Hierbij wordt ervan uitgegaan dat microsoft 365-producten en een Microsoft Entra-tenant worden gebruikt.
Meer informatie: Quickstart: Een nieuwe tenant maken in Microsoft Entra-id.
De artikelenreeksinstructies omvatten investeringen in microsoft-technologieën die overeenkomen met de identiteitsgerelateerde acties van de memo.
- Voor bureaugebruikers maken agentschappen gebruik van gecentraliseerde identiteitsbeheersystemen die kunnen worden geïntegreerd met toepassingen en algemene platforms
- Agentschappen gebruiken bedrijfsbrede, sterke meervoudige verificatie (MFA)
- MFA wordt afgedwongen op de toepassingslaag, niet op de netwerklaag
- Voor bureaupersoneel, aannemers en partners is phishingbestendige MFA vereist
- Voor openbare gebruikers is phishingbestendige MFA een optie
- Wachtwoordbeleid vereist geen speciale tekens of regelmatige rotatie
- Wanneer instanties gebruikerstoegang tot resources autoriseren, overwegen ze ten minste één signaal op apparaatniveau, met identiteitsgegevens over de geverifieerde gebruiker
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor