Spełnianie wymagań dotyczących tożsamości protokołu memorandum 22-09 przy użyciu identyfikatora Entra Firmy Microsoft

Zarządzenie wykonawcze w sprawie poprawy cyberbezpieczeństwa narodu (14028), kieruje agencje federalne do rozwoju środków bezpieczeństwa, które znacznie zmniejszają ryzyko pomyślnych cyberataków przeciwko infrastrukturze cyfrowej rządu federalnego. 26 stycznia 2022 r., na rzecz zarządu wykonawczego (EO) 14028, Biuro Zarządzania i Budżetu (OMB) wydało federalną strategię Zero Trust w M 22-09 Memorandum dla szefów Departamentów Wykonawczych i Agencji.

W tej serii artykułów przedstawiono wskazówki dotyczące stosowania identyfikatora Entra firmy Microsoft jako scentralizowanego systemu zarządzania tożsamościami podczas implementowania zasad Zero Trust, zgodnie z opisem w memorandum 22-09.

Memorandum 22-09 popiera inicjatywy Zero Trust w agencjach federalnych. Zawiera ona wytyczne prawne dotyczące federalnego prawa cyberbezpieczeństwa i prywatności danych. Notatka przytacza architekturę referencyjną Departamentu Obrony USA (DoD) Zero Trust:

"Podstawowym zestawem modelu Zero Trust jest to, że żaden aktor, system, sieć lub usługa działająca poza lub w obwodzie zabezpieczeń nie jest zaufany. Zamiast tego musimy zweryfikować wszystko i wszystko, co próbuje ustanowić dostęp. Jest to dramatyczna zmiana filozofii, w jaki sposób zabezpieczamy naszą infrastrukturę, sieci i dane, od weryfikacji raz na obwodzie do ciągłej weryfikacji każdego użytkownika, urządzenia, aplikacji i transakcji."

Notatka identyfikuje pięć podstawowych celów dla agencji federalnych, które mają osiągnąć, zorganizowane za pomocą modelu dojrzałości architektury systemów informatycznych cyberbezpieczeństwa (CISA). Model CISA Zero Trust opisuje pięć uzupełniających obszarów wysiłku lub filarów:

• Tożsamość
• Urządzenia
• Sieci
• Aplikacje i obciążenia
• Dane

Filary przecinają się z:

• Widoczność
• Analizy
• Automatyzacja
• Aranżacja
• Ład korporacyjny

Zakres wskazówek

Skorzystaj z serii artykułów, aby utworzyć plan spełniający wymagania noty. Założono w nim użycie produktów platformy Microsoft 365 i dzierżawy firmy Microsoft Entra.

Dowiedz się więcej: Szybki start: tworzenie nowej dzierżawy w usłudze Microsoft Entra ID.

Instrukcje z serii artykułów obejmują inwestycje agencji w technologie firmy Microsoft, które są zgodne z działaniami związanymi z tożsamością noty.

• Dla użytkowników agencji agencje zatrudniają scentralizowane systemy zarządzania tożsamościami, które można zintegrować z aplikacjami i typowymi platformami
• Agencje korzystają z uwierzytelniania wieloskładnikowego (MFA) dla całego przedsiębiorstwa
  • Uwierzytelnianie wieloskładnikowe jest wymuszane w warstwie aplikacji, a nie w warstwie sieciowej
  • W przypadku pracowników agencji, wykonawców i partnerów wymagana jest uwierzytelnianie wieloskładnikowe odporne na wyłudzanie informacji
  • W przypadku użytkowników publicznych uwierzytelnianie wieloskładnikowe odporne na wyłudzanie informacji jest opcją
  • Zasady haseł nie wymagają znaków specjalnych ani zwykłej rotacji
• Gdy agencje autoryzują dostęp użytkowników do zasobów, rozważają co najmniej jeden sygnał na poziomie urządzenia z informacjami o tożsamości uwierzytelnionego użytkownika

Następne kroki

• System zarządzania tożsamościami w całym przedsiębiorstwie
• Spełnianie wymagań dotyczących uwierzytelniania wieloskładnikowego w memorandum 22-09
• Spełnianie wymagań dotyczących autoryzacji protokołu memorandum 22-09
• Inne obszary zero trustu skierowane w memorandum 22-09
• Zabezpieczanie tożsamości przy użyciu zera zaufania