Соответствие требованиям к удостоверениям меморандума 22-09 с идентификатором Microsoft Entra

Исполнительный указ по улучшению кибербезопасности страны (14028) направляет федеральные учреждения на продвижение мер безопасности, которые значительно снижают риск успешных кибератак против федеральной цифровой инфраструктуры правительства. 26 января 2022 года в поддержку Исполнительного указа (EO) 14028 года Управление по управлению и бюджету (O МБ) выпустило федеральную стратегию нулевого доверия в M 22-09 меморандума для руководителей исполнительных департаментов и учреждений.

В этой серии статей содержатся рекомендации по использованию идентификатора Microsoft Entra в качестве централизованной системы управления удостоверениями при реализации принципов нулевого доверия, как описано в меморандуме 22-09.

Меморандум 22-09 поддерживает инициативы Нулевого доверия в федеральных учреждениях. Он имеет нормативные рекомендации по федеральным законам о кибербезопасности и конфиденциальности данных. В записке приводится эталонная архитектура Министерства обороны США (DoD) Zero Trust:

"Базовый принцип модели нулевого доверия заключается в том, что не является доверенным субъект, система, сеть или служба, работающая вне периметра безопасности или в пределах периметра безопасности. Вместо этого необходимо проверить все и все, что пытается установить доступ. Это драматический сдвиг парадигмы в философии того, как мы защитим нашу инфраструктуру, сети и данные, от проверки сразу на периметре до постоянной проверки каждого пользователя, устройства, приложения и транзакции".

Памятка определяет пять основных целей для достижения федеральных учреждений, организованных с использованием модели зрелости информационных систем кибербезопасности (CISA). Модель CISA Zero Trust описывает пять дополнительных областей усилий или основных принципов:

• Идентификация
• .
• Сети
• Приложения и рабочие нагрузки
• Data

Столбы пересекаются со следующими элементами:

• Visibility
• Аналитика
• Автоматизация
• Оркестрация
• Система управления

Область действия руководства

Используйте серию статей для создания плана для удовлетворения требований к memo. Предполагается использование продуктов Microsoft 365 и клиента Microsoft Entra.

Дополнительные сведения: краткое руководство. Создание нового клиента в идентификаторе Microsoft Entra.

Инструкции серии статей охватывают инвестиции агентства в технологии Майкрософт, которые соответствуют действиям, связанным с удостоверениями.

• Для пользователей агентства учреждения используют централизованные системы управления удостоверениями, которые можно интегрировать с приложениями и общими платформами.
• Агентства используют корпоративную многофакторную проверку подлинности (MFA)
  • MFA применяется на уровне приложения, а не сетевом уровне.
  • Для сотрудников агентства, подрядчиков и партнеров требуется фишинговый MFA
  • Для общедоступных пользователей фишинговый MFA является вариантом
  • Политики паролей не требуют специальных символов или регулярного поворота
• Когда агентства авторизуют доступ пользователей к ресурсам, они считают по крайней мере один сигнал на уровне устройства с информацией об удостоверениях пользователя, прошедшего проверку подлинности.

Следующие шаги

• Система управления удостоверениями на уровне предприятия
• Соответствие требованиям многофакторной проверки подлинности меморандума 22-09
• Соответствие требованиям авторизации меморандума 22-09
• Другие области нулевого доверия, рассмотренные в меморандуме 22-09
• Защита удостоверения с использованием нулевого доверия