Configurar a ID do Microsoft Entra para o nível de Alto Impacto do FedRAMP

O FedRAMP (Programa Federal de Gerenciamento de Autorização e Risco) é um processo de avaliação e autorização para CSPs (provedores de serviços de nuvem). Especificamente, o processo é para CSPs que criam CSOs (ofertas de soluções na nuvem) para uso com agências federais. O Azure e o Azure Governamental ganharam uma P-ATO (Provisional Authority to Operate) no nível de Alto Impacto do Joint Authorization Board, o nível mais alto para a acreditação do FedRAMP.

O Azure fornece a capacidade de atender a todos os requisitos de controle para obter uma classificação alta do FedRAMP para seu CSO ou como uma agência federal. É responsabilidade da organização concluir as configurações ou os processos adicionais para estar em conformidade. Essa responsabilidade se aplica a ambos os CSPs que buscam uma alta autorização do FedRAMP para seu CSO e a agências federais que buscam uma ATO (Autoridade para Operar).

Microsoft e FedRAMP

Microsoft Azure dá suporte a mais serviços em níveis de impacto FedRAMP High do que qualquer outro CSP. E, embora esse nível na nuvem pública do Azure atenda às necessidades de muitos clientes do governo dos EUA, as agências com requisitos mais rigorosos podem recorrer à nuvem do Azure Governamental. O Azure Governamental fornece proteções adicionais, como a triagem intensificada de pessoal.

A Microsoft é obrigada a recertificar seus serviços em nuvem a cada ano para manter suas autorizações. Para fazer isso, a Microsoft monitora e avalia continuamente os controles de segurança e demonstra que a segurança dos serviços permanece em conformidade. Para obter mais informações,consulte Autorizações do FedRAMP de serviços em nuvem da Microsoft e Relatórios de auditoria do Microsoft FedRAMP. Para receber outros relatórios do FedRAMP, envie um email para a Documentação Federal do Azure.

Há vários caminhos para a autorização do FedRAMP. É possível reutilizar o pacote de autorização existente do Azure e as diretrizes aqui descritas para reduzir significativamente o tempo e o esforço necessários para obter um ATO ou P-ATO.

Escopo das diretrizes

A linha de base alta do FedRAMP é composta de 421 controles e aprimoramentos de controle de controles de segurança NIST 800-53, revisão 4 do catálogo. Quando aplicável, incluímos informações de esclarecimento da 800-53 revisão 5. Este conjunto de artigos aborda um subconjunto dos controles relacionados à identidade que devem ser configurados.

Fornecemos as diretrizes prescritivas para ajudá-lo a alcançar a conformidade com os controles cujas configurações na ID do Microsoft Entra são de sua responsabilidade. Para atender totalmente a alguns requisitos de controle de identidade, poderá ser necessário usar outros sistemas. Outros sistemas podem incluir uma ferramenta de gerenciamento de informações e eventos de segurança, como o Microsoft Azure Sentinel. Se você estiver usando os serviços da ID do Microsoft Entra, haverá outros controles que deverão ser considerados e você poder usar os recursos que o Azure já possui para atender aos controles.

A seguir está uma lista de recursos FedRAMP:

• FedRAMP (Federal Risk and Authorization Management Program)

• Estrutura de avaliação de segurança do FedRAMP

• Guia da Agência para autorizações do FedRAMP

• Gerenciar a conformidade na nuvem na Microsoft

• Microsoft Government Cloud

• Ofertas de conformidade do Azure

• Definição da iniciativa interna FedRAMP High do Azure Policy

• Portal de conformidade do Microsoft Purview

• Gerenciador de Conformidade do Microsoft Purview

Próximas etapas

Configurar controles de acesso

Configurar os controles de autenticação e identificação

Configurar outros controles