Настройка элементов управления CMMC уровня 2 контроль доступа (AC)
Идентификатор Microsoft Entra может помочь вам соответствовать требованиям, связанным с удостоверениями, в каждом уровне сертификации модели зрелости кибербезопасности (CMMC). Чтобы соответствовать требованиям на уровне 2 cmMC версии 2.0, это ответственность компаний, выполняющих работу с, а также от имени министерства обороны США (DoD) для выполнения других конфигураций или процессов.
На уровне 2 CMMC есть 13 доменов, которые имеют одну или несколько методик, связанных с удостоверением:
- контроль доступа (AC)
- Аудит и подотчетность (AU)
- Управление конфигурацией (CM)
- Идентификация и проверка подлинности (IA)
- Реагирование на инциденты (IR)
- Обслуживание (MA)
- Защита мультимедиа (MP)
- Безопасность персонала (PS)
- Физическая защита (PE)
- Оценка рисков (RA)
- Оценка безопасности (ЦС)
- Защита систем и коммуникаций (SC)
- Целостность системы и информации (SI)
Оставшаяся часть этой статьи содержит рекомендации по домену контроль доступа (AC). Существует таблица со ссылками на содержимое, которое предоставляет пошаговые рекомендации по выполнению этой практики.
контроль доступа (AC)
В следующей таблице приведен список практических инструкций и целей, а также рекомендации и рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с идентификатором Microsoft Entra.
| Заявление и цели практики CMMC | Рекомендации и рекомендации Microsoft Entra |
|---|---|
| Переменный ток. L2-3.1.3 Инструкция практики. Управление потоком CUI в соответствии с утвержденными авторизациями. Цели: Определите, если: [a.] Определяются политики управления потоками информации; [b.] определены методы и механизмы принудительного применения для управления потоком CUI; [c.] определены источники и назначения (например, сети, лица и устройства) для CUI в системе и между межквитонными системами; [d.] определены авторизации для управления потоком CUI; и [e.] Утвержденные авторизации для управления потоком CUI применяются. |
Настройте политики условного доступа для управления потоком CUI из надежных расположений, доверенных устройств, утвержденных приложений и требуют политики защиты приложений. Для более детальной авторизации в CUI настройте ограничения, применяемые к приложению (Exchange/SharePoint Online), управление приложениями (с Microsoft Defender для облака приложениями), контекст проверки подлинности. Разверните прокси приложения Microsoft Entra для защиты доступа к локальным приложениям. Условие расположения в условном доступе Microsoft Entra Предоставление элементов управления в политике условного доступа. Требовать, чтобы устройство было помечено как соответствующее Предоставление элементов управления в политике условного доступа . Требуется гибридное устройство, присоединенное к Microsoft Entra Предоставление элементов управления в политике условного доступа . Требуется утвержденное клиентское приложение Предоставление элементов управления в политике условного доступа. Требовать политику защиты приложений Элементы управления сеансами в политике условного доступа — примененные приложения ограничения Защита с помощью управления условным доступом к приложениям Microsoft Defender для облака Облачные приложения, действия и контекст проверки подлинности в политике условного доступа Удаленный доступ к локальным приложениям с помощью прокси приложения Microsoft Entra Контекст проверки подлинности Настройка контекста проверки подлинности и назначение политик условного доступа Защита информации Знание и защита данных; помогает предотвратить потерю данных. Защита конфиденциальных данных с помощью Microsoft Purview Условный доступ Условный доступ для защиты информации Azure (AIP) Прокси приложения Удаленный доступ к локальным приложениям с помощью прокси приложения Microsoft Entra |
| Переменный ток. L2-3.1.4 Практическое заявление: отделяйте обязанности отдельных лиц, чтобы снизить риск злонамеренной деятельности без сговора. Цели: Определите, если: [a.] определяются обязанности лиц, требующих разделения; [b.] обязанности по обязанностям, которым требуется разделение, назначаются отдельным лицам; и [c.] привилегии доступа, позволяющие отдельным лицам выполнять обязанности, требующие разделения, предоставляются отдельным лицам. |
Обеспечение адекватного разделения обязанностей путем определения соответствующего доступа. Настройте пакеты управления правами для управления доступом к приложениям, группам, сайтам Teams и SharePoint. Настройте проверку разделения обязанностей в пакетах доступа, чтобы избежать чрезмерного доступа пользователя. В службе управления правами Microsoft Entra можно настроить несколько политик с различными параметрами для каждого сообщества пользователей, которым потребуется доступ через пакет доступа. Эта конфигурация включает ограничения, такие как пользователь определенной группы или уже назначенный другой пакет доступа, не назначается другим пакетам доступа по политике. Настройте административные единицы в идентификаторе Microsoft Entra для области прав администратора, чтобы администраторы с привилегированными ролями имели только эти привилегии для ограниченного набора объектов каталога (пользователей, групп, устройств). Что такое управление правами? Какие пакеты доступа и какие ресурсы можно управлять с ними? Настройка разделения обязанностей для пакета доступа в службе управления правами Microsoft Entra Административные единицы в идентификаторе Microsoft Entra |
| Переменный ток. L2-3.1.5 Инструкция практики. Использование принципа наименьших привилегий, включая определенные функции безопасности и привилегированные учетные записи. Цели: Определите, если: [a.] Идентифицируются привилегированные учетные записи; [b.] доступ к привилегированным учетным записям разрешен в соответствии с принципом наименьших привилегий; [c.] определяются функции безопасности; и [d.] доступ к функциям безопасности разрешен в соответствии с принципом наименьших привилегий. |
Вы несете ответственность за реализацию и применение правила наименьших привилегий. Это действие можно выполнить с помощью управление привилегированными пользователями для настройки принудительного применения, мониторинга и оповещения. Задайте требования и условия для членства в роли. После определения и управления привилегированными учетными записями используйте проверки жизненного цикла прав и доступа для установки, поддержания и аудита достаточного доступа. Используйте API MS Graph для обнаружения и мониторинга ролей каталога. Назначение ролей Назначение ролей Microsoft Entra в PIM Назначение ролей ресурсов Azure в управление привилегированными пользователями Назначение соответствующих владельцев и участников для PIM для групп Настройка параметров роли Настройка параметров роли Microsoft Entra в PIM Настройка параметров роли ресурсов Azure в PIM Настройка параметров PIM для групп в PIM Настройка оповещений Оповещения системы безопасности для ролей Microsoft Entra в PIM Настройка оповещений системы безопасности для ролей ресурсов Azure в управление привилегированными пользователями |
| Переменный ток. L2-3.1.6 Инструкция практики. При доступе к функциям безопасности используйте не привилегированные учетные записи или роли. Цели: Определите, если: [a.] Идентифицируются функции, не относящиеся к безопасности; и [b.] пользователям необходимо использовать не привилегированные учетные записи или роли при доступе к функциям безопасности, не относящихся к безопасности. Переменный ток. L2-3.1.7 Инструкция практики. Запретить пользователям, не допускающим привилегий, выполнять привилегированные функции и записывать выполнение таких функций в журналах аудита. Цели: Определите, если: [a.] Определены привилегированные функции; [b.] Определены не привилегированные пользователи; [c.] Не привилегированные пользователи не могут выполнять привилегированные функции; и [d.] Выполнение привилегированных функций фиксируется в журналах аудита. |
Требования в AC. L2-3.1.6 и AC. L2-3.1.7 дополняют друг друга. Требовать отдельные учетные записи для использования привилегированных и не привилегированных учетных записей. Настройте управление привилегированными пользователями (PIM), чтобы обеспечить jit-доступ с привилегированным доступом и удалить постоянный доступ. Настройте политики условного доступа на основе ролей, чтобы ограничить доступ к приложению производительности для привилегированных пользователей. Для пользователей с высоким уровнем привилегий безопасные устройства в рамках истории привилегированного доступа. Все привилегированные действия фиксируются в журналах аудита Microsoft Entra. Обзор защиты привилегированного доступа Настройка параметров роли Microsoft Entra в PIM Пользователи и группы в политике условного доступа Почему важны устройства с привилегированным доступом |
| Переменный ток. L2-3.1.8 Оператор практики. Ограничение неудачных попыток входа. Цели: Определите, если: [a.] определяется средство ограничения неудачных попыток входа; и [b.] определенный способ ограничения неудачных попыток входа реализуется. |
Включите настраиваемые параметры интеллектуальной блокировки. Настройте пороговое значение блокировки и длительность блокировки в секундах для реализации этих требований. Защита учетных записей пользователей от атак с помощью смарт-блокировки Microsoft Entra Управление значениями смарт-блокировки Microsoft Entra |
| Переменный ток. L2-3.1.9 Заявление о практике. Предоставление уведомлений о конфиденциальности и безопасности в соответствии с применимыми правилами CUI. Цели: Определите, если: [a.] Уведомления о конфиденциальности и безопасности, необходимые указанным правилам CUI, определяются, согласованы и связаны с определенной категорией CUI; и [b.] Отображаются уведомления о конфиденциальности и безопасности. |
С помощью идентификатора Microsoft Entra вы можете доставлять уведомления или баннерные сообщения для всех приложений, которым требуется подтверждение и запись перед предоставлением доступа. Эти условия использования можно детализировать для определенных пользователей (участника или гостя). Их можно также настроить для каждого приложения с помощью политик условного доступа. Условный доступ Что такое условный доступ в идентификаторе Microsoft Entra? Условия использования Условия использования Microsoft Entra Просмотр отчета о том, кто принял и отказался |
| Переменный ток. L2-3.1.10 Инструкция практики. Использование блокировки сеанса с отображением шаблонов для предотвращения доступа и просмотра данных после периода бездействия. Цели: Определите, если: [a.] период бездействия, после которого система инициирует блокировку сеанса; [b.] доступ к системе и просмотр данных предотвращается путем инициирования блокировки сеанса после определенного периода бездействия; и [c.] ранее видимые сведения скрываются через экран скрытия шаблонов после определенного периода бездействия. |
Реализуйте блокировку устройства с помощью политики условного доступа, чтобы ограничить доступ к соответствующим устройствам или гибридным устройствам, присоединенным к Microsoft Entra. Настройте параметры политики на устройстве, чтобы применить блокировку устройства на уровне ОС с помощью решений MDM, таких как Intune. Объекты Microsoft Intune, Configuration Manager или групповой политики также можно рассматривать в гибридных развертываниях. Для неуправляемых устройств настройте параметр частоты входа, чтобы принудить пользователей повторно выполнить проверку подлинности. Требовать, чтобы устройство было помечено как соответствующее Предоставление элементов управления в политике условного доступа . Требуется гибридное устройство, присоединенное к Microsoft Entra Частота входа пользователя Настройте устройства в течение максимальной минуты бездействия до блокировки экрана (Android, iOS, Windows 10). |
| Переменный ток. L2-3.1.11 Оператор практики: завершение (автоматически) сеанса пользователя после определенного условия. Цели: Определите, если: [a.] определяются условия, требующие завершения сеанса пользователя; и [b.] Сеанс пользователя автоматически завершается после выполнения любого из определенных условий. |
Включите оценку непрерывного доступа (CAE) для всех поддерживаемых приложений. Для приложений, которые не поддерживают CAE или условий, не применимых к CAE, реализуйте политики в Microsoft Defender для облака Приложения для автоматического завершения сеансов при возникновении условий. Кроме того, настройте Защита идентификации Microsoft Entra для оценки риска пользователя и входа. Используйте условный доступ с Защита идентификации Microsoft Entra, чтобы разрешить пользователю автоматически устранять риск. Оценка непрерывного доступа в идентификаторе Microsoft Entra Управление использованием облачных приложений путем создания политик Что такое Защита идентификации Microsoft Entra? |
| Переменный ток. L2-3.1.12 Инструкция практики: мониторинг сеансов удаленного доступа и управление ими. Цели: Определите, если: [a.] Разрешены сеансы удаленного доступа; [b.] определены типы разрешенного удаленного доступа; [c.] Сеансы удаленного доступа управляются; и [d.] Сеансы удаленного доступа отслеживаются. |
В современном мире пользователи получают доступ к облачным приложениям практически исключительно удаленно от неизвестных или ненадежных сетей. Важно обеспечить защиту этого шаблона доступа для внедрения субъектов нулевого доверия. Чтобы удовлетворить эти требования к элементам управления в современном облачном мире, необходимо явно проверить каждый запрос доступа, реализовать наименьшие привилегии и предположить нарушение. Настройте именованные расположения для делайнирования внутренних и внешних сетей. Настройте элемент управления условным доступом для маршрутизации доступа через приложения Microsoft Defender для облака. Настройте Defender для облака Приложения для управления всеми сеансами и мониторинга. Руководство по развертыванию нулевого доверия для идентификатора Microsoft Entra Условие расположения в условном доступе Microsoft Entra Развертывание управления условным доступом Cloud App Security для приложений Microsoft Entra Что такое приложения Microsoft Defender для облака? Мониторинг оповещений, возникающих в приложениях Microsoft Defender для облака |
| Переменный ток. L2-3.1.13 Инструкция практики. Использование криптографических механизмов для защиты конфиденциальности сеансов удаленного доступа. Цели: Определите, если: [a.] Определены механизмы шифрования для защиты конфиденциальности сеансов удаленного доступа; и [b.] Реализованы механизмы шифрования для защиты конфиденциальности сеансов удаленного доступа. |
Все веб-службы Microsoft Entra, подключенные к клиенту, защищены протоколом TLS и реализуются с помощью криптографии, проверенной FIPS. Вопросы безопасности данных Microsoft Entra (microsoft.com) |
| Переменный ток. L2-3.1.14 Инструкция практики. Маршрутизация удаленного доступа с помощью управляемых точек управления доступом. Цели: Определите, если: [a.] Идентифицируются и реализуются управляемые точки управления доступом; и [b.] удаленный доступ направляется через точки управления доступом к управляемой сети. |
Настройте именованные расположения для делайнирования внутренних и внешних сетей. Настройте элемент управления условным доступом для маршрутизации доступа через приложения Microsoft Defender для облака. Настройте Defender для облака Приложения для управления всеми сеансами и мониторинга. Безопасные устройства, используемые привилегированными учетными записями в рамках истории привилегированного доступа. Условие расположения в условном доступе Microsoft Entra Элементы управления сеансами в политике условного доступа Обзор защиты привилегированного доступа |
| Переменный ток. L2-3.1.15 Инструкция практики. Авторизация удаленного выполнения привилегированных команд и удаленного доступа к информации, соответствующей безопасности. Цели: Определите, если: [a.] Определены привилегированные команды, авторизованные для удаленного выполнения; [b.] Данные, относящиеся к безопасности, разрешенные для удаленного доступа, определяются; [c.] Выполнение определенных привилегированных команд с помощью удаленного доступа разрешено; и [d.] доступ к определенной информации, относяющейся к безопасности, через удаленный доступ разрешен. |
Условный доступ — это плоскость управления "Нулевое доверие" для целевых политик для доступа к приложениям при сочетании с контекстом проверки подлинности. В этих приложениях можно применять различные политики. Безопасные устройства, используемые привилегированными учетными записями в рамках истории привилегированного доступа. Настройте политики условного доступа для использования этих защищенных устройств привилегированными пользователями при выполнении привилегированных команд. Облачные приложения, действия и контекст проверки подлинности в политике условного доступа Обзор защиты привилегированного доступа Фильтрация устройств в качестве условия в политике условного доступа |
| Переменный ток. L2-3.1.18 Инструкция практики: управление подключением мобильных устройств. Цели: Определите, если: [a.] определяются мобильные устройства, которые обрабатывают, хранят или передают CUI; [b.] подключения к мобильным устройствам авторизованы; и [c.] Подключения к мобильным устройствам отслеживаются и регистрируются. |
Настройте политики управления устройствами с помощью MDM (например, Microsoft Intune), Configuration Manager или объектов групповой политики (GPO), чтобы применить конфигурацию и профиль подключения мобильных устройств. Настройте политики условного доступа для обеспечения соответствия устройств. Условный доступ Требовать, чтобы устройство было помечено как соответствующее Требовать гибридное устройство, присоединенное к Microsoft Entra InTune Политики соответствия устройств в Microsoft Intune Что такое управление приложениями в Microsoft Intune? |
| Переменный ток. L2-3.1.19 Инструкция практики. Шифрование CUI на мобильных устройствах и мобильных вычислительных платформах. Цели: Определите, если: [a.] определяются мобильные устройства и платформы мобильных вычислений, которые обрабатывают, хранят или передают CUI; и [b.] шифрование используется для защиты CUI на определенных мобильных устройствах и мобильных вычислительных платформах. |
Управляемое устройство Настройте политики условного доступа для обеспечения соответствия требованиям или гибридного присоединенного устройства Microsoft Entra и убедитесь, что управляемые устройства настроены соответствующим образом с помощью решения по управлению устройствами для шифрования CUI. Неуправляемые устройства Настройте политики условного доступа, чтобы требовать политики защиты приложений. Предоставление элементов управления в политике условного доступа. Требовать, чтобы устройство было помечено как соответствующее Предоставление элементов управления в политике условного доступа . Требуется гибридное устройство, присоединенное к Microsoft Entra Предоставление элементов управления в политике условного доступа. Требовать политику защиты приложений |
| Переменный ток. L2-3.1.21 Инструкция практики. Ограничение использования переносимых устройств хранения на внешних системах. Цели: Определите, если: [a.] Использование переносимых устройств хранения, содержащих CUI во внешних системах, определяется и документируется; [b.] определяются ограничения на использование переносимых устройств хранения, содержащих CUI во внешних системах; и [c.] Использование переносимых устройств хранения, содержащих CUI во внешних системах, ограничено как определено. |
Настройте политики управления устройствами с помощью MDM (например, Microsoft Intune), Configuration Manager или объектов групповой политики для управления использованием переносимых устройств хранения в системах. Настройте параметры политики на устройстве Windows, чтобы полностью запретить или ограничить использование переносимого хранилища на уровне ОС. Для всех остальных устройств, где вы не сможете детально контролировать доступ к переносимому блоку хранения полностью с помощью Microsoft Defender для облака Apps. Настройте политики условного доступа для обеспечения соответствия устройств. Условный доступ Требовать, чтобы устройство было помечено как соответствующее Требовать гибридное устройство, присоединенное к Microsoft Entra Настройка управления сеансами проверки подлинности Intune Политики соответствия устройств в Microsoft Intune Ограничение USB-устройств с помощью административных шаблонов в Microsoft Intune приложения Microsoft Defender для облака Создание политик сеанса в приложениях Defender для облака |