Configurar controles de acesso de identidade para atender ao nível de impacto alto do FedRAMP
O controle de acesso é uma parte importante da obtenção de um nível de alto impacto do FedRAMP (Federal Risk and Authorization Management Program) para operar.
A lista de controles e aprimoramentos de controle a seguir na família do AC (controle de acesso) pode exigir a configuração em seu locatário do Microsoft Entra.
| Família de controle | Descrição |
|---|---|
| AC-2 | Gerenciamento de contas |
| AC-6 | Privilégio mínimo |
| AC-7 | Tentativas de logon malsucedidas |
| AC-8 | Notificação do uso do sistema |
| AC-10 | Controle de sessões simultâneas |
| AC-11 | Bloqueio de sessão |
| AC-12 | Encerramento da sessão |
| AC-20 | Uso de sistemas de informações externas |
Cada linha na tabela a seguir fornece diretrizes prescritivas para ajudá-lo a desenvolver a resposta da sua organização a quaisquer responsabilidades compartilhadas para o aprimoramento do controle ou controle.
Configurações
| ID e descrição do controle FedRAMP | Orientações e recomendações do Microsoft Entra |
|---|---|
| AC-2 GERENCIAMENTO DE CONTA A Organização (b.) Atribui gerentes de conta para contas do sistema de informações; (c.) Estabelece condições para associação de grupo e função; (d.) Especifica os usuários autorizados do sistema de informações, grupo e associação de função e autorizações de acesso (ou seja, privilégios) e outros atributos (conforme necessário) de cada conta; (e.) Necessita de aprovações do [Atribuição: pessoal ou funções definidas pela organização] para solicitações a fim de criar contas do sistema de informações; (f.) Cria, habilita, modifica, desabilita e remove contas do sistema de informações de acordo com [Atribuição: procedimentos ou condições definidas pela organização]; (g.) Monitora o uso de contas do sistema de informações; (h.) Notifica os gerentes da conta: (i.) Autoriza o acesso ao sistema de informações com base em: (j.) Revisa as contas para conformidade com os requisitos de gerenciamento de conta [Atribuição do FedRAMP: mensal para acesso privilegiado, a cada seis (6) meses para acesso sem privilégios]; e (k.) Estabelece um processo para emitir novamente as credenciais de contas compartilhadas/de grupo (se implantadas) quando os indivíduos são removidos do grupo. |
Implementar o gerenciamento do ciclo de vida da conta para contas controladas pelo cliente. Monitorar o uso de contas e notificar os gerentes de conta sobre eventos de ciclo de vida da conta. Revise as contas quanto à conformidade com os requisitos de gerenciamento de conta, todo o mês para acesso privilegiado e a cada semestre para acesso não privilegiado. Use o Microsoft Entra ID para provisionar contas de sistemas a partir de RH externos, Active Directory local ou diretamente na nuvem. Todas as operações de ciclo de vida da conta são auditadas nos logs de auditoria do Microsoft Entra. É possível coletar e analisar logs usando uma solução de SIEM (gerenciamento de eventos e informações de segurança), como o Microsoft Azure Sentinel. Como alternativa, você pode usar os Hubs de Eventos do Azure para integrar logs com soluções SIEM de terceiros para habilitar o monitoramento e a notificação. Use o gerenciamento de direitos do Microsoft Entra com revisões de acesso para garantir o status de conformidade das contas. Provisionar contas Monitorar contas Examinar contas Recursos
|
| AC-2(1) A organização emprega mecanismos automatizados para dar suporte ao gerenciamento de contas do sistema de informações. |
Empregue mecanismos automatizados para dar suporte ao gerenciamento de contas controladas pelo cliente. Configure o provisionamento automatizado de contas controladas pelo cliente de sistemas de RH externos ou do Active Directory local. Para aplicativos que dão suporte ao provisionamento de aplicativos, configure o Microsoft Entra ID para criar automaticamente identidades de usuário e funções em aplicativos SaaS (software como serviço) aos quais os usuários precisam ter acesso. Além de criar identidades de usuário, o provisionamento automático inclui a manutenção e a remoção de identidades de usuário à medida que o status ou as funções mudam. Para facilitar o monitoramento do uso de conta, você pode transmitir logs do Microsoft Entra ID Protection, que mostram usuários suspeitos, entradas suspeitas, detecções de risco e logs de auditoria diretamente para o Microsoft Azure Sentinel ou os Hubs de Eventos. Provisionar o Monitorar e auditar |
| AC-2(2) O sistema de informações automaticamente [Seleção do FedRAMP: desabilita] contas temporárias e de emergência após [Atribuição do FedRAMP: 24 horas do último uso]. AC-02(3) AC-2 (3) Requisitos e Diretrizes Adicionais do FedRAMP: |
Empregue mecanismos automatizados para dar suporte à remoção ou desabilitação automática de contas temporárias e de emergência após 24 horas desde o último uso e todas as contas controladas pelo cliente após 35 dias de inatividade. Implemente a automação de gerenciamento de contas com o Microsoft Graph e o PowerShell do Microsoft Graph. Use o Microsoft Graph para monitorar a atividade de entrada e o PowerShell do Microsoft Graph para executar uma ação em contas dentro do período necessário. Determinar inatividade Remover ou desabilitar contas Trabalhar com dispositivos no Microsoft Graph |
| AC-2(4) O sistema de informações audita automaticamente as ações de criação, modificação, habilitação, desabilitação e remoção da conta e notifica a [Atribuição do FedRAMP: organização e/ou proprietário do sistema do provedor de serviços]. |
Implemente um sistema automatizado de auditoria e notificação para o ciclo de vida do gerenciamento de contas controladas pelo cliente. Todas as operações de ciclo de vida da conta, como ações de criação, modificação, habilitação, desabilitação e remoção da conta, são auditadas nos logs de auditoria do Azure. É possível transmitir os logs diretamente para o Microsoft Azure Sentinel ou Hubs de Eventos do Azure para ajudar com a notificação. Audit Notification |
| AC-2(5) A organização exige que os usuários façam logoff quando a [Atribuição do FedRAMP: inatividade exceder quinze (15) minutos]. AC-2 (5) Requisitos e Diretrizes Adicionais do FedRAMP: |
Implemente o log do dispositivo após um período de 15 minutos de inatividade. Implemente o bloqueio de dispositivo usando uma política de Acesso Condicional para restringir o acesso a dispositivos compatíveis. Defina as configurações de política no dispositivo para impor o bloqueio de dispositivo no nível do sistema operacional com soluções de MDM (gerenciamento de dispositivo móvel), como o Intune. O Endpoint Manager ou os objetos de política de grupo também podem ser considerados em implantações híbridas. Para dispositivos não gerenciados, defina a configuração de Frequência de entrada para forçar os usuários a autenticar novamente. Acesso condicional Política do MDM |
| AC-2(7) A organização: |
Administrar e monitorar atribuições de função com privilégios seguindo um esquema de acesso baseado em função para contas controladas pelo cliente. Desabilitar ou revogar o acesso de privilégio para contas quando não for mais apropriado. Implemente o Privileged Identity Management do Microsoft Entra com revisões de acesso para funções com privilégios no Microsoft Entra ID a fim de monitorar atribuições de função e removê-las quando não forem mais apropriadas. É possível transmitir logs de auditoria diretamente para o Microsoft Azure Sentinel ou Hubs de Eventos do Azure para ajudar no monitoramento. Administrar Monitor |
| AC-2(11) O sistema de informações força [Atribuição: circunstâncias definidas pela organização e/ou condições de uso] para [Atribuição: contas do sistema de informações definidas pela organização]. |
Imponha o uso de contas controladas pelo cliente para atender às condições ou às circunstâncias definidas pelo cliente. Crie políticas de Acesso Condicional para impor decisões de controle de acesso entre usuários e dispositivos. Acesso condicional |
| AC-2(12) A organização: AC-2 (12) (a) e AC-2 (12) (b) Requisitos e Diretrizes Adicionais do FedRAMP: |
Monitore e relate contas controladas pelo cliente com acesso privilegiado para uso atípico. Para obter ajuda com o monitoramento de uso atípico, transmita logs do Microsoft Entra ID Protection, que mostram usuários suspeitos, entradas suspeitas e detecções de risco e logs de auditoria, que ajudam com a correlação com a atribuição de privilégios, diretamente em uma solução SIEM, como o Microsoft Azure Sentinel. Você também pode usar os Hubs de Eventos para integrar logs com soluções SIEM de terceiros. Proteção de ID Monitorar contas |
| AC-2(13) A organização desativa as contas de usuários que demonstrem um risco significativo em [Atribuição do FedRAMP: uma (1) hora] de descoberta do risco. |
Desabilite contas controladas pelo cliente de usuários que apresenta um risco significativo em uma hora. No Microsoft Entra ID Protection, configure e habilite uma política de risco de usuário com o limite definido como Alto. Crie políticas de Acesso Condicional para bloquear o acesso a usuários suspeitos e entradas suspeitas. Configure as políticas de risco para permitir que os usuários recorram e desbloqueiem tentativas de entrada subsequentes. Proteção de ID Acesso Condicional |
| AC-6(7) A organização: |
Revisar e validar todos os usuários com acesso privilegiado todos os anos. Verificar se os privilégios são reatribuídos (ou removidos, se necessário) para se alinharem aos requisitos de negócios e missão da organização. Use o gerenciamento de direitos do Microsoft Entra com revisões de acesso para que usuários com privilégios verifiquem se o acesso privilegiado é necessário. Análises de acesso |
| AC-7 Tentativas de Logon Malsucedidas A organização: |
Impor um limite de no máximo três tentativas de logon com falha consecutivas em recursos implantados pelo cliente em um período de 15 minutos. Bloquear a conta por, no mínimo, três horas ou até ser desbloqueada por um administrador. Habilite configurações de bloqueio inteligente personalizadas. Configure o limite de bloqueio e a duração do bloqueio em segundos para implementar esses requisitos. Bloqueio inteligente |
| AC-8 Notificação de Uso do Sistema O sistema de informações: (b.) Mantém a mensagem de notificação ou faixa na tela até que os usuários reconheçam as condições de uso e tomem medidas explícitas para fazer logon ou acessar posteriormente o sistema de informações; e (c.) Para sistemas publicamente acessíveis: AC-8 Requisitos e Diretrizes Adicionais do FedRAMP: |
Exiba os avisos de privacidade e segurança e exija que o usuário os aceite antes de conceder acesso a sistemas de informações. Com o Microsoft Entra ID, é possível entregar mensagens de notificação ou de banner para todos os aplicativos que exigem e registram a confirmação antes de conceder acesso. Você pode direcionar de maneira granular esses termos de uso de políticas para usuários específicos (membro ou convidado). Você também pode personalizá-los por aplicativo por meio de políticas de Acesso Condicional. Termos de uso |
| AC-10 Controle de Sessões Simultâneas O sistema de informações limita o número de sessões simultâneas para cada [Atribuição: conta definida pela organização e/ou tipo de conta] para [Atribuição do FedRAMP: três (3) sessões para acesso privilegiado e duas (2) sessões para acesso não privilegiado]. |
Limite sessões simultâneas a três sessões para acesso privilegiado e a duas para acesso sem privilégios. Atualmente, os usuários se conectam de vários dispositivos, às vezes simultaneamente. Limitar sessões simultâneas leva a uma experiência de usuário degradada e fornece um valor de segurança limitado. Uma abordagem melhor para resolver a intenção por trás desse controle é adotar uma postura de segurança de confiança zero. As condições são validadas explicitamente antes que uma sessão seja criada e continuamente validada durante toda a vida útil de uma sessão. Além disso, use os controles de compensação a seguir. Use políticas de Acesso Condicional para restringir o acesso a dispositivos compatíveis. Configure as configurações de política no dispositivo para impor as restrições de entrada do usuário no nível do sistema operacional com soluções de MDM, como o Intune. O Endpoint Manager ou os objetos de política de grupo também podem ser considerados em implantações híbridas. Use o Privileged Identity Management para restringir e controlar ainda mais as contas com controles privilegiados. Configure o bloqueio de conta inteligente para tentativas de entrada inválidas. Diretrizes de implementação Confiança zero Acesso Condicional Políticas de dispositivo Recursos Confira o AC-12 para obter mais diretrizes de reavaliação de sessão e mitigação de risco. |
| AC-11 Bloqueio de Sessão O sistema de informações: (a) Impede o acesso adicional ao sistema iniciando um bloqueio de sessão após [Atribuição do FedRAMP: quinze (15) minutos] de inatividade ou ao receber uma solicitação de um usuário; e (b) Mantém o bloqueio de sessão até que o usuário restabeleça o acesso usando procedimentos estabelecidos de identificação e autenticação. AC-11(1) |
Implementar um bloqueio de sessão após um período de 15 minutos de inatividade ou após receber uma solicitação de um usuário. Manter o bloqueio de sessão até que o usuário seja autenticado novamente. Ocultar informações visíveis anteriormente quando um bloqueio de sessão for iniciado. Implemente o bloqueio de dispositivo usando uma política de Acesso Condicional para restringir o acesso a dispositivos em conformidade. Defina as configurações de política no dispositivo para impor o bloqueio de dispositivo no nível do sistema operacional com soluções de MDM, como o Intune. O Endpoint Manager ou os objetos de política de grupo também podem ser considerados em implantações híbridas. Para dispositivos não gerenciados, defina a configuração de Frequência de entrada para forçar os usuários a autenticar novamente. Acesso condicional Política do MDM |
| AC-12 Encerramento da Sessão O sistema de informações encerra automaticamente uma sessão de usuário após [Atribuição: condições ou eventos que desencadeiam a necessidade de desconectar da sessão definidos pela organização]. |
Encerre automaticamente as sessões de usuário quando ocorrerem condições ou eventos de gatilho definidos pela organização. Implemente a reavaliação automática da sessão de usuário com recursos do Microsoft Entra, como o Acesso Condicional baseado em risco e a avaliação contínua de acesso. Você pode implementar as condições de inatividade no nível de dispositivo, conforme descrito no AC-11. Recursos |
| AC-12(1) O sistema de informações: (a.) Fornece uma funcionalidade de logoff para sessões de comunicação iniciadas pelo usuário sempre que a autenticação for usada para acessar [Atribuição: recursos de informações definidos pela organização]; e (b.) Exibe uma mensagem de logoff explícita para os usuários indicando o encerramento confiável de sessões de comunicação autenticadas. AC-8 Requisitos e Diretrizes Adicionais do FedRAMP: |
Forneça uma funcionalidade de logoff para todas as sessões e exiba uma mensagem de logoff explícita. Todas as interfaces da Web exibidas no Microsoft Entra ID fornecem um recurso de logoff para sessões de comunicação iniciadas pelo usuário. Quando os aplicativos SAML forem integrados ao Microsoft Entra ID, implemente o logoff único. Recurso de logout Exibir mensagem
Recursos |
| AC-20 Uso de Sistemas de Informações Externas A organização estabelece termos e condições, consistentes com quaisquer relações de confiança estabelecidas com outras organizações proprietárias, operadoras e/ou mantenedoras de sistemas externos de informação, permitindo as pessoas autorizadas: (a.) Acessar o sistema de informações de sistemas de informações externos; e (b.) Processar, armazenar ou transmitir informações controladas pela organização usando sistemas de informações externos. AC-20(1) |
Estabeleça termos e condições que permitem que indivíduos autorizados acessem os recursos implantados pelo cliente de sistemas de informações externas, como dispositivos não gerenciados e redes externas. Exija a aceitação dos termos de uso para usuários autorizados que acessam recursos de sistemas externos. Implemente políticas de Acesso Condicional para restringir o acesso de sistemas externos. As políticas de Acesso Condicional podem ser integradas ao Defender para Aplicativos de Nuvem para fornecer controles para aplicativos locais e de nuvem de sistemas externos. O gerenciamento de aplicativo móvel no Intune pode proteger dados da organização no nível do aplicativo, o que inclui aplicativos personalizados e aplicativos da loja, de dispositivos gerenciados que interagem com sistemas externos. Um exemplo seria acessar serviços de nuvem. Você pode usar o gerenciamento de aplicativos em dispositivos pessoais e de propriedade da organização. Termos e condições Acesso Condicional MDM Recurso |
