Configurar controles de acesso de identidade para atender ao nível de alto impacto do FedRAMP
O controle de acesso é uma parte importante para alcançar um nível de Alto Impacto do Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP) para operar.
A lista a seguir de controles e aprimoramentos de controle na família de controle de acesso (AC) pode exigir configuração em seu locatário do Microsoft Entra.
| Família de controlos | Description |
|---|---|
| CA-2 | Gestão de contas |
| AC-6 | Privilégio mínimo |
| AC-7 | Tentativas de início de sessão sem êxito |
| AC-8 | Notificação de utilização do sistema |
| AC-10 | Controle de sessão simultânea |
| AC-11 | Bloqueio de sessão |
| AC-12 | Encerramento da sessão |
| AC-20 | Utilização de sistemas de informação externos |
Cada linha na tabela a seguir fornece orientação prescritiva para ajudá-lo a desenvolver a resposta da sua organização a quaisquer responsabilidades compartilhadas para o controle ou aprimoramento do controle.
Configurações
| ID de controle FedRAMP e descrição | Orientações e recomendações do Microsoft Entra |
|---|---|
| GESTÃO DE CONTAS AC-2 A Organização b) Atribui gestores de contas para contas do sistema de informação; c) Estabelece condições para a participação em grupos e funções; d) Especifica usuários autorizados do sistema de informações, associação de grupo e função, e autorizações de acesso (ou seja, privilégios) e outros atributos (conforme necessário) para cada conta; e) Requer aprovações por [Atribuição: pessoal ou funções definidas pela organização] para solicitações de criação de contas do sistema de informações; f) Cria, habilita, modifica, desabilita e remove contas do sistema de informações de acordo com [Atribuição: procedimentos ou condições definidos pela organização]; g) Monitoriza a utilização das contas do sistema de informação; h) Notifica os gerentes de conta: i) Autoriza o acesso ao sistema de informação com base em: j.) Analisa as contas quanto à conformidade com os requisitos de gerenciamento de conta [Atribuição FedRAMP: mensalmente para acesso privilegiado, a cada 6 (seis) meses para acesso não privilegiado]; e k) Estabelece um processo para reemitir credenciais de conta compartilhada/de grupo (se implantadas) quando indivíduos são removidos do grupo. |
Implemente o gerenciamento do ciclo de vida da conta para contas controladas pelo cliente. Monitore o uso de contas e notifique os gerentes de conta sobre eventos do ciclo de vida da conta. Analise as contas quanto à conformidade com os requisitos de gerenciamento de contas todos os meses para acesso privilegiado e a cada seis meses para acesso não privilegiado. Use o Microsoft Entra ID para provisionar contas de sistemas de RH externos, Ative Directory local ou diretamente na nuvem. Todas as operações do ciclo de vida da conta são auditadas nos logs de auditoria do Microsoft Entra. Você pode coletar e analisar logs usando uma solução de Gerenciamento de Informações e Eventos de Segurança (SIEM), como o Microsoft Sentinel. Como alternativa, você pode usar os Hubs de Eventos do Azure para integrar logs com soluções SIEM de terceiros para habilitar o monitoramento e a notificação. Use o gerenciamento de direitos do Microsoft Entra com revisões de acesso para garantir o status de conformidade das contas. Contas de provisão Monitorar contas Rever contas Recursos
|
| AC-2(1) A organização emprega mecanismos automatizados para apoiar a gestão de contas do sistema de informação. |
Empregar mecanismos automatizados para dar suporte ao gerenciamento de contas controladas pelo cliente. Configure o provisionamento automatizado de contas controladas pelo cliente a partir de sistemas de RH externos ou do Ative Directory local. Para aplicativos que oferecem suporte ao provisionamento de aplicativos, configure o Microsoft Entra ID para criar automaticamente identidades de usuário e funções em aplicativos de software de nuvem como uma solução (SaaS) aos quais os usuários precisam acessar. Além de criar identidades de usuário, o provisionamento automático inclui a manutenção e a remoção de identidades de usuário à medida que o status ou as funções mudam. Para facilitar o monitoramento do uso da conta, você pode transmitir logs de Proteção de ID do Microsoft Entra, que mostram usuários arriscados, entradas arriscadas e deteções de risco, e logs de auditoria diretamente no Microsoft Sentinel ou Hubs de Eventos. Aprovisionar o Monitorizar e auditar |
| AC-2(2) O sistema de informação automaticamente [FedRAMP Selection: desativa] contas temporárias e de emergência após [FedRAMP Assignment: 24 horas a partir da última utilização]. AC-02(3) AC-2 (3) Requisitos e orientações adicionais do FedRAMP: |
Utilize mecanismos automatizados para suportar a remoção ou desativação automática de contas temporárias e de emergência após 24 horas da última utilização e todas as contas controladas pelo cliente após 35 dias de inatividade. Implemente a automação do gerenciamento de contas com o Microsoft Graph e o Microsoft Graph PowerShell. Use o Microsoft Graph para monitorar a atividade de entrada e o Microsoft Graph PowerShell para executar ações em contas no período de tempo necessário. Determinar inatividade Remover ou desativar contas Trabalhar com dispositivos no Microsoft Graph |
| CA-2(4) O sistema de informação audita automaticamente as ações de criação, modificação, ativação, desativação e remoção de contas e notifica [Atribuição FedRAMP: proprietário do sistema da organização e/ou do provedor de serviços]. |
Implemente um sistema automatizado de auditoria e notificação para o ciclo de vida do gerenciamento de contas controladas pelo cliente. Todas as operações do ciclo de vida da conta, como ações de criação, modificação, habilitação, desativação e remoção de contas, são auditadas nos logs de auditoria do Azure. Você pode transmitir os logs diretamente para o Microsoft Sentinel ou Hubs de Eventos para ajudar com a notificação. Audit Notificação |
| CA-2(5) A organização exige que os usuários efetuem logout quando [Atribuição FedRAMP: a inatividade deve exceder quinze (15) minutos]. AC-2 (5) Requisitos e orientações adicionais do FedRAMP: |
Implemente o logout do dispositivo após um período de 15 minutos de inatividade. Implemente o bloqueio de dispositivo usando uma política de Acesso Condicional que restrinja o acesso a dispositivos compatíveis. Configure as definições de política no dispositivo para impor o bloqueio do dispositivo ao nível do SO com soluções de gestão de dispositivos móveis (MDM), como o Intune. O Endpoint Manager ou objetos de política de grupo também podem ser considerados em implantações híbridas. Para dispositivos não gerenciados, configure a configuração Freqüência de entrada para forçar os usuários a se autenticarem novamente. Acesso Condicional Política de MDM |
| AC-2(7) A organização: |
Administre e monitore atribuições de funções privilegiadas seguindo um esquema de acesso baseado em função para contas controladas pelo cliente. Desative ou revogue o acesso de privilégio para contas quando não for mais apropriado. Implemente o Microsoft Entra Privileged Identity Management com revisões de acesso para funções privilegiadas no Microsoft Entra ID para monitorar atribuições de função e remover atribuições de função quando não forem mais apropriadas. Você pode transmitir logs de auditoria diretamente para o Microsoft Sentinel ou Hubs de Eventos para ajudar no monitoramento. Administrar Monitor |
| CA-2(11) O sistema de informações impõe [Atribuição: circunstâncias definidas pela organização e/ou condições de uso] para [Atribuição: contas do sistema de informações definidas pela organização]. |
Impor o uso de contas controladas pelo cliente para atender às condições ou circunstâncias definidas pelo cliente. Crie políticas de Acesso Condicional para impor decisões de controle de acesso entre usuários e dispositivos. Acesso Condicional |
| AC-2(12) A organização: AC-2 (12) (a) e AC-2 (12) (b) Requisitos e orientações adicionais do FedRAMP: |
Monitore e relate contas controladas pelo cliente com acesso privilegiado para uso atípico. Para obter ajuda com o monitoramento do uso atípico, você pode transmitir logs de Proteção de Identidade, que mostram usuários arriscados, entradas arriscadas e deteções de risco, e logs de auditoria, que ajudam na correlação com a atribuição de privilégios, diretamente em uma solução SIEM, como o Microsoft Sentinel. Você também pode usar Hubs de Eventos para integrar logs com soluções SIEM de terceiros. Proteção de identidade Monitorar contas |
| CA-2(13) A organização desativa contas de usuários que representam um risco significativo em [Atribuição FedRAMP: uma (1) hora] de descoberta do risco. |
Desative contas controladas pelo cliente de usuários que representam um risco significativo em uma hora. No Microsoft Entra ID Protection, configure e habilite uma política de risco do usuário com o limite definido como Alto. Crie políticas de Acesso Condicional para bloquear o acesso de utilizadores arriscados e entradas arriscadas. Configure políticas de risco para permitir que os usuários se autocorrijam e desbloqueiem tentativas de entrada subsequentes. Proteção de identidade Acesso Condicional |
| AC-6(7) A organização: |
Revise e valide todos os usuários com acesso privilegiado todos os anos. Certifique-se de que os privilégios sejam reatribuídos (ou removidos, se necessário) para se alinharem com a missão organizacional e os requisitos de negócios. Use o gerenciamento de direitos do Microsoft Entra com revisões de acesso para usuários privilegiados para verificar se o acesso privilegiado é necessário. Revisões de acesso |
| AC-7 Tentativas de login sem sucesso A organização: |
Imponha um limite de no máximo três tentativas consecutivas de login com falha em recursos implantados pelo cliente dentro de um período de 15 minutos. Bloqueie a conta por um período mínimo de três horas ou até ser desbloqueada por um administrador. Habilite as configurações personalizadas de bloqueio inteligente. Configure o limite e a duração do bloqueio em segundos para implementar esses requisitos. Bloqueio inteligente |
| Notificação de uso do sistema AC-8 O sistema de informação: b) Retém a mensagem de notificação ou banner na tela até que os usuários reconheçam as condições de uso e tomem ações explícitas para fazer logon ou acessar ainda mais o sistema de informação; e ainda c) Para os sistemas acessíveis ao público: AC-8 Requisitos e orientações adicionais do FedRAMP: |
Exibir e exigir que o usuário reconheça os avisos de privacidade e segurança antes de conceder acesso aos sistemas de informação. Com o Microsoft Entra ID, você pode enviar mensagens de notificação ou banner para todos os aplicativos que exigem e registrar confirmação antes de conceder acesso. Você pode segmentar granularmente essas políticas de termos de uso para usuários específicos (Membro ou Convidado). Você também pode personalizá-los por aplicativo por meio de políticas de Acesso Condicional. Termos de utilização |
| Controle de sessão simultânea AC-10 O sistema de informação limita o número de sessões simultâneas para cada [Atribuição: conta definida pela organização e/ou tipo de conta] a [Atribuição FedRAMP: três (3) sessões para acesso privilegiado e duas (2) sessões para acesso não privilegiado]. |
Limite as sessões simultâneas a três sessões para acesso privilegiado e duas para acesso não privilegiado. Atualmente, os usuários se conectam a partir de vários dispositivos, às vezes simultaneamente. Limitar sessões simultâneas leva a uma experiência de usuário degradada e fornece valor de segurança limitado. Uma abordagem melhor para lidar com a intenção por trás desse controle é adotar uma postura de segurança de confiança zero. As condições são explicitamente validadas antes de uma sessão ser criada e continuamente validadas ao longo da vida de uma sessão. Além disso, use os seguintes controles de compensação. Use políticas de Acesso Condicional para restringir o acesso a dispositivos compatíveis. Configure as definições de política no dispositivo para impor restrições de início de sessão ao nível do SO com soluções MDM, como o Intune. O Endpoint Manager ou objetos de política de grupo também podem ser considerados em implantações híbridas. Use o Privileged Identity Management para restringir e controlar ainda mais as contas privilegiadas. Configure o bloqueio de conta inteligente para tentativas de entrada inválidas. Orientações para a aplicação Confiança zero Acesso Condicional Políticas de dispositivos Recursos Consulte o AC-12 para obter mais orientações sobre reavaliação de sessão e mitigação de riscos. |
| Bloqueio de sessão AC-11 O sistema de informação: (a) Impede o acesso adicional ao sistema iniciando um bloqueio de sessão após [Atribuição FedRAMP: quinze (15) minutos] de inatividade ou após receber uma solicitação de um usuário; (b) Retém o bloqueio da sessão até que o utilizador restabeleça o acesso utilizando os procedimentos de identificação e autenticação estabelecidos. AC-11(1) |
Implemente um bloqueio de sessão após um período de 15 minutos de inatividade ou ao receber uma solicitação de um usuário. Mantenha o bloqueio de sessão até que o usuário se autentique novamente. Ocultar informações visíveis anteriormente quando um bloqueio de sessão é iniciado. Implemente o bloqueio de dispositivo usando uma política de Acesso Condicional para restringir o acesso a dispositivos compatíveis. Configure as definições de política no dispositivo para impor o bloqueio do dispositivo ao nível do SO com soluções MDM, como o Intune. O Endpoint Manager ou objetos de política de grupo também podem ser considerados em implantações híbridas. Para dispositivos não gerenciados, configure a configuração Freqüência de entrada para forçar os usuários a se autenticarem novamente. Acesso Condicional Política de MDM |
| Encerramento da sessão AC-12 O sistema de informações encerra automaticamente uma sessão de usuário após [Atribuição: condições definidas pela organização ou eventos de gatilho que exigem desconexão da sessão]. |
Encerre automaticamente as sessões do usuário quando ocorrerem condições definidas pela organização ou eventos de gatilho. Implemente a reavaliação automática da sessão do usuário com recursos do Microsoft Entra, como Acesso Condicional baseado em risco e avaliação contínua de acesso. Você pode implementar condições de inatividade em um nível de dispositivo, conforme descrito em AC-11. Recursos |
| AC-12(1) O sistema de informação: a) Fornece um recurso de logout para sessões de comunicação iniciadas pelo usuário sempre que a autenticação é usada para obter acesso a [Atribuição: recursos de informações definidos pela organização]; e ainda b) Exibe uma mensagem de logout explícita para os usuários indicando o término confiável de sessões de comunicações autenticadas. AC-8 Requisitos e orientações adicionais do FedRAMP: |
Forneça um recurso de logout para todas as sessões e exiba uma mensagem de logout explícita. Todas as interfaces da Web com ID do Microsoft Entra fornecem um recurso de logout para sessões de comunicação iniciadas pelo usuário. Quando os aplicativos SAML são integrados com o Microsoft Entra ID, implemente o logon único. Capacidade de logout Apresentar mensagem
Recursos |
| AC-20 Utilização de Sistemas de Informação Externos A organização estabelece termos e condições, consistentes com quaisquer relações de confiança estabelecidas com outras organizações que possuam, operem e/ou mantenham sistemas de informação externos, permitindo que indivíduos autorizados: a) Aceder ao sistema de informação a partir de sistemas de informação externos; e ainda b) Processar, armazenar ou transmitir informações controladas pela organização usando sistemas de informação externos. AC-20(1) |
Estabeleça termos e condições que permitam que indivíduos autorizados acessem os recursos implantados pelo cliente a partir de sistemas de informação externos, como dispositivos não gerenciados e redes externas. Exigir a aceitação dos termos de uso para usuários autorizados que acessam recursos de sistemas externos. Implementar políticas de Acesso Condicional para restringir o acesso de sistemas externos. As políticas de Acesso Condicional podem ser integradas ao Defender for Cloud Apps para fornecer controles para aplicativos na nuvem e locais de sistemas externos. O gerenciamento de aplicativos móveis no Intune pode proteger os dados da organização no nível do aplicativo, incluindo aplicativos personalizados e aplicativos da loja, de dispositivos gerenciados que interagem com sistemas externos. Um exemplo seria o acesso a serviços em nuvem. Você pode usar o gerenciamento de aplicativos em dispositivos de propriedade da organização e dispositivos pessoais. Termos e condições da pré-visualização Acesso Condicional MDM Recurso |
