Níveis de garantia do autenticador
O National Institute of Standards and Technology (NIST) desenvolve requisitos técnicos para agências federais dos EUA que implementam soluções de identidade. O NIST SP 800-63B tem as diretrizes técnicas para a implementação da autenticação digital, usando uma estrutura de níveis de garantia de autenticador (AALs). As AALs caracterizam a força de autenticação de uma identidade digital. Você também pode aprender sobre o gerenciamento do ciclo de vida do autenticador, incluindo a revogação.
A norma inclui requisitos AAL para as seguintes categorias:
Tipos de autenticador permitidos
Nível de verificação das Normas Federais de Processamento de Informações 140 (FIPS 140). Os requisitos do FIPS 140 são satisfeitos pelo FIPS 140-2 ou por revisões mais recentes.
Reautenticação
Controlos de segurança
Resistência Man-in-the-middle (MitM)
Resistência à representação do verificador (resistência ao phishing)
Resistência ao compromisso do verificador
Resistência à repetição
Intenção de autenticação
Política de retenção de registros
Controlos de privacidade
AALs NIST no seu ambiente
Em geral, o AAL1 não é recomendado porque aceita soluções somente com senha, a autenticação mais facilmente comprometida. Para obter mais informações, consulte a postagem do blog, Your Pa$$word doesn't matter.
Embora o NIST não exija resistência à representação do verificador (phishing de credenciais) até AAL3, recomendamos que você enfrente essa ameaça em todos os níveis. Você pode selecionar autenticadores que forneçam resistência à representação do verificador, como exigir que os dispositivos sejam associados à ID do Microsoft Entra ou à ID híbrida do Microsoft Entra. Se estiver a utilizar o Office 365, pode utilizar a Proteção Avançada contra Ameaças do Office 365 e as respetivas políticas antiphishing.
Ao avaliar o AAL NIST necessário para sua organização, considere se toda a organização deve atender aos padrões do NIST. Se houver grupos de usuários e recursos específicos que possam ser segregados, você poderá aplicar as configurações do NIST AAL a esses grupos de usuários e recursos.
Gorjeta
Recomendamos que você conheça pelo menos AAL2. Se necessário, atenda ao AAL3 por motivos comerciais, padrões do setor ou requisitos de conformidade.
Controles de segurança, controles de privacidade, política de retenção de registros
A partir do Joint Authorization Board, o Azure e o Azure Government têm autoridade provisória para operar (P-ATO) no nível de Alto Impacto NIST SP 800-53. Esta acreditação FedRAMP autoriza o Azure e o Azure Government a processar dados altamente confidenciais.
Importante
As certificações do Azure e do Azure Government satisfazem os controles de segurança, controles de privacidade e requisitos de política de retenção de registros para AAL1, AAL2 e AAL3.
A auditoria FedRAMP do Azure e do Azure Government incluiu o sistema de gerenciamento de segurança da informação para infraestrutura, desenvolvimento, operações, gerenciamento e suporte de serviços no escopo. Quando um P-ATO é concedido, um provedor de serviços de nuvem requer uma autorização (uma ATO) de agências governamentais com as quais trabalha. Agências governamentais ou organizações podem usar o Azure P-ATO em seu processo de autorização de segurança e usá-lo como base para emitir um ATO de agência que atenda aos requisitos do FedRAMP.
O Azure suporta vários serviços no FedRAMP High Impact. O FedRAMP High na nuvem pública do Azure atende às necessidades dos clientes do governo dos EUA, no entanto, agências com requisitos mais rigorosos usam o Azure Government. As proteções do Azure Government incluem uma triagem de pessoal reforçada. No Azure Government, a Microsoft lista os serviços públicos do Azure disponíveis, até o limite Alto do FedRAMP, e os serviços para o ano atual.
Além disso, a Microsoft está comprometida em proteger e gerenciar os dados dos clientes com políticas de retenção de registros claramente declaradas. A Microsoft tem um grande portfólio de conformidade. Para ver mais, vá para Ofertas de conformidade da Microsoft.
Próximos passos
Noções básicas de autenticação
Alcance o NIST AAL1 com o Microsoft Entra ID