Configurar o Microsoft Entra ID para atender ao nível de alto impacto do FedRAMP

O Federal Risk and Authorization Management Program (FedRAMP) é um processo de avaliação e autorização para provedores de serviços em nuvem (CSPs). Especificamente, o processo é para CSPs que criam ofertas de soluções em nuvem (CSOs) para uso com agências federais. O Azure e o Azure Government ganharam uma Autoridade Provisória para Operar (P-ATO) no nível de Alto Impacto do Joint Authorization Board, a barra mais alta para o credenciamento FedRAMP.

O Azure fornece a capacidade de cumprir todos os requisitos de controlo para obter uma classificação elevada do FedRAMP para a sua OSC ou como uma agência federal. É responsabilidade da sua organização concluir configurações ou processos adicionais para estar em conformidade. Esta responsabilidade aplica-se tanto aos CSPs que procuram uma autorização elevada do FedRAMP para as suas OSC, como às agências federais que procuram uma Autoridade para Operar (ATO).

Microsoft e FedRAMP

O Microsoft Azure oferece suporte a mais serviços em níveis de alto impacto do FedRAMP do que qualquer outro CSP. E embora esse nível na nuvem pública do Azure atenda às necessidades de muitos clientes do governo dos EUA, as agências com requisitos mais rigorosos podem confiar na nuvem do Azure Governamental. O Azure Government fornece salvaguardas adicionais, como a triagem reforçada de pessoal.

A Microsoft é obrigada a recertificar seus serviços de nuvem a cada ano para manter suas autorizações. Para fazer isso, a Microsoft monitora e avalia continuamente seus controles de segurança e demonstra que a segurança de seus serviços permanece em conformidade. Para obter mais informações, consulte Autorizações FedRAMP dos serviços de nuvem da Microsoft e Relatórios de auditoria do Microsoft FedRAMP. Para receber outros relatórios do FedRAMP, envie um email para a Documentação Federal do Azure.

Existem vários caminhos para a autorização do FedRAMP. Você pode reutilizar o pacote de autorização existente do Azure e as orientações aqui para reduzir significativamente o tempo e o esforço necessários para obter um ATO ou um P-ATO.

Âmbito das orientações

A linha de base alta do FedRAMP é composta por 421 controles e aprimoramentos de controle do NIST 800-53 Security Controls Catalog Revision 4. Quando aplicável, incluímos informações esclarecedoras da revisão 5 do artigo 800-53. Este conjunto de artigos abrange um subconjunto desses controles relacionados à identidade e que você deve configurar.

Fornecemos orientação prescritiva para ajudá-lo a alcançar a conformidade com os controles que você é responsável por configurar no Microsoft Entra ID. Para atender totalmente a alguns requisitos de controle de identidade, talvez seja necessário usar outros sistemas. Outros sistemas podem incluir uma ferramenta de gerenciamento de eventos e informações de segurança, como o Microsoft Sentinel. Se você estiver usando os serviços do Azure fora do Microsoft Entra ID, haverá outros controles que você precisa considerar e você pode usar os recursos que o Azure já tem em vigor para atender aos controles.

A seguir está uma lista de recursos do FedRAMP:

• Programa Federal de Gestão de Riscos e Autorizações

• Estrutura de Avaliação de Segurança do FedRAMP

• Guia da Agência para Autorizações FedRAMP

• Gerenciando a conformidade na nuvem na Microsoft

• Nuvem do governo da Microsoft

• Ofertas de conformidade do Azure

• Definição de iniciativa interna da Política do FedRAMP High Azure

• Portal de conformidade do Microsoft Purview

• Gerente de Conformidade Microsoft Purview

Próximos passos

Configurar controles de acesso

Configurar controles de identificação e autenticação

Configurar outros controles