Poziomy gwarancji wystawcy uwierzytelnień

  • Artykuł

National Institute of Standards and Technology (NIST) rozwija wymagania techniczne dla amerykańskich agencji federalnych wdrażających rozwiązania tożsamości. NIST SP 800-63B ma wytyczne techniczne dotyczące implementacji uwierzytelniania cyfrowego przy użyciu platformy uwierzytelniania uwierzytelniającego (AALS). AALs charakteryzuje siłę uwierzytelniania tożsamości cyfrowej. Możesz również dowiedzieć się więcej o zarządzaniu cyklem życia wystawcy uwierzytelniania, w tym o odwołaniu.

Standard obejmuje wymagania dotyczące biblioteki AAL dla następujących kategorii:

  • Dozwolone typy wystawców uwierzytelnionych

  • Federal Information Processing Standards 140 (FIPS 140) poziom weryfikacji. Wymagania dotyczące standardu FIPS 140 są spełnione przez standard FIPS 140-2 lub nowsze wersje.

  • Ponowne uwierzytelnianie

  • Mechanizmy zabezpieczeń

  • Opór man-in-the-middle (MitM)

  • Odporność na personifikację weryfikatora (odporność na wyłudzanie informacji)

  • Odporność na naruszenia zabezpieczeń weryfikatora

  • Odporność odtwarzania

  • Intencja uwierzytelniania

  • Zasady przechowywania rekordów

  • Mechanizmy kontroli prywatności

Listy AALS NIST w środowisku

Ogólnie rzecz biorąc, usługa AAL1 nie jest zalecana, ponieważ akceptuje rozwiązania tylko do hasła, co jest najprostszym naruszeniem zabezpieczeń uwierzytelniania. Aby uzyskać więcej informacji, zobacz wpis w blogu, Twój pa$$word nie ma znaczenia.

Chociaż NIST nie wymaga odporności personifikacji weryfikatora (wyłudzania informacji poświadczeń) do czasu AAL3, zalecamy rozwiązanie tego zagrożenia na wszystkich poziomach. Możesz wybrać wystawcy uwierzytelniania, które zapewniają odporność personifikatora weryfikatora, takie jak wymaganie, aby urządzenia zostały dołączone do identyfikatora Entra firmy Microsoft lub hybrydowego identyfikatora Entra firmy Microsoft. Jeśli używasz usługi Office 365, możesz użyć usługi Office 365 Advanced Threat Protection i zasad ochrony przed wyłudzaniem informacji.

Podczas oceny wymaganej aplikacji NIST AAL dla organizacji należy rozważyć, czy cała organizacja musi spełniać standardy NIST. Jeśli istnieją określone grupy użytkowników i zasoby, które można segregować, możesz zastosować konfiguracje AAL NIST do tych grup użytkowników i zasobów.

Napiwek

Zalecamy spełnienie co najmniej AAL2. W razie potrzeby należy spełnić wymagania dotyczące rozwiązań AAL3 ze względów biznesowych, standardów branżowych lub wymagań dotyczących zgodności.

Mechanizmy kontroli zabezpieczeń, mechanizmy kontroli prywatności, zasady przechowywania rekordów

Ze wspólnego zarządu autoryzacji platforma Azure i platforma Azure Government mają tymczasowe uprawnienia do działania (P-ATO) na poziomie NIST SP 800-53 High Impact . Ta akredytacja FedRAMP upoważnia platformę Azure i platformę Azure Government do przetwarzania wysoce poufnych danych.

Ważne

Certyfikaty platformy Azure i platformy Azure Government spełniają wymagania zasad zabezpieczeń, mechanizmów kontroli prywatności i rekordów dla usług AAL1, AAL2 i AAL3.

Inspekcja FedRAMP platformy Azure i platformy Azure Government obejmowała system zarządzania zabezpieczeniami informacji na potrzeby infrastruktury, programowania, operacji, zarządzania i obsługi usług w zakresie. Po udzieleniu P-ATO dostawca usług w chmurze wymaga autoryzacji (ATO) od agencji rządowych, z których współpracuje. Agencje rządowe lub organizacje mogą używać usługi Azure P-ATO w procesie autoryzacji zabezpieczeń i używać jej jako podstawy do wystawiania agencji ATO spełniającej wymagania FedRAMP.

pomoc techniczna platformy Azure wiele usług w witrynie FedRAMP High Impact. FedRAMP High w chmurze publicznej platformy Azure spełnia potrzeby klientów rządowych USA, jednak agencje z bardziej rygorystycznymi wymaganiami korzystają z platformy Azure Government. Zabezpieczenia platformy Azure Government obejmują zwiększone badania personelu. Na platformie Azure Government firma Microsoft wyświetla listę dostępnych usług publicznych platformy Azure, do granicy FedRAMP High i usług w bieżącym roku.

Ponadto firma Microsoft zobowiązuje się do ochrony danych klientów i zarządzania nimi za pomocą jasno określonych zasad przechowywania rekordów. Firma Microsoft ma duży portfel zgodności. Aby zobaczyć więcej, przejdź do ofert zgodności firmy Microsoft.

Następne kroki

Omówienie NIST

Dowiedz się więcej o listach AALS

Informacje podstawowe o uwierzytelnianiu

Typy wystawców uwierzytelnianych NIST

Uzyskiwanie identyfikatora NIST AAL1 za pomocą identyfikatora Entra firmy Microsoft

Uzyskiwanie identyfikatora NIST AAL2 za pomocą identyfikatora Entra firmy Microsoft

Uzyskiwanie identyfikatora NIST AAL3 za pomocą identyfikatora Entra firmy Microsoft