Autentiseringssäkerhetsnivåer
National Institute of Standards and Technology (NIST) utvecklar tekniska krav för amerikanska federala myndigheter som implementerar identitetslösningar. NIST SP 800-63B har de tekniska riktlinjerna för implementering av digital autentisering med hjälp av ett AALs-ramverk (Authenticator Assurance Levels). AALs karakteriserar autentiseringsstyrkan för en digital identitet. Du kan också lära dig mer om autentiseringslivscykelhantering, inklusive återkallande.
Standarden innehåller AAL-krav för följande kategorier:
Tillåtna autentiseringstyper
Verifieringsnivå för Federal Information Processing Standards 140 (FIPS 140). FIPS 140-kraven uppfylls av FIPS 140-2 eller senare revisioner.
Autentisering igen
Säkerhetskontroller
Man-in-the-middle (MitM) motstånd
Motstånd mot verifier-personifiering (nätfiskemotstånd)
Motstånd mot verifier-kompromiss
Återuppspelningsmotstånd
Avsikt för autentisering
Kvarhållningsprincip för poster
Sekretesskontroller
NIST AALs i din miljö
I allmänhet rekommenderas inte AAL1 eftersom det accepterar lösningar med endast lösenord, den enklaste komprometterade autentiseringen. Mer information finns i blogginlägget Din Pa$$word spelar ingen roll.
Även om NIST inte kräver skydd mot verifierare (nätfiske med autentiseringsuppgifter) förrän AAL3 rekommenderar vi att du tar itu med det här hotet på alla nivåer. Du kan välja autentiserare som tillhandahåller personifieringsmotstånd för verifierare, till exempel att kräva att enheter är anslutna till Microsoft Entra-ID eller Microsoft Entra-hybrid-ID. Om du använder Office 365 kan du använda Office 365 Advanced Threat Protection och dess principer för skydd mot nätfiske.
När du utvärderar den NIST AAL som behövs för din organisation bör du överväga om hela organisationen måste uppfylla NIST-standarder. Om det finns specifika användargrupper och resurser som kan separeras kan du använda NIST AAL-konfigurationer för dessa användargrupper och resurser.
Dricks
Vi rekommenderar att du träffar minst AAL2. Om det behövs kan du uppfylla AAL3 av affärsskäl, branschstandarder eller efterlevnadskrav.
Säkerhetskontroller, sekretesskontroller, kvarhållningsprincip för arkivhandlingar
Från Joint Authorization Board har Azure och Azure Government preliminär behörighet att arbeta (P-ATO) på NIST SP 800-53 high impact-nivån . Den här FedRAMP-ackreditering tillåter Azure och Azure Government att bearbeta mycket känsliga data.
Viktigt!
Azure- och Azure Government-certifieringar uppfyller säkerhetskontroller, sekretesskontroller och registrerar krav på kvarhållningsprinciper för AAL1, AAL2 och AAL3.
FedRAMP-granskningen av Azure och Azure Government inkluderade informationssäkerhetshanteringssystemet för infrastruktur, utveckling, drift, hantering och stöd för tjänster inom omfånget. När en P-ATO beviljas kräver en molntjänstleverantör en auktorisering (ATO) från myndigheter som den arbetar med. Myndigheter, eller organisationer, kan använda Azure P-ATO i sin säkerhetsauktoriseringsprocess och använda den som grund för att utfärda en agentur-ATO som uppfyller FedRAMP-kraven.
Azure har stöd för flera tjänster på FedRAMP High Impact. FedRAMP High i det offentliga Azure-molnet uppfyller behoven hos amerikanska myndighetskunder, men myndigheter med strängare krav använder Azure Government. Azure Government-skydd omfattar ökad personalkontroll. I Azure Government listar Microsoft tillgängliga offentliga Azure-tjänster, upp till FedRAMP High-gränsen och tjänster för innevarande år.
Dessutom har Microsoft åtagit sig att skydda och hantera kunddata med tydligt angivna kvarhållningsprinciper för arkivhandlingar. Microsoft har en stor efterlevnadsportfölj. Mer information finns i Microsofts efterlevnadserbjudanden.
Nästa steg
Grundläggande om autentisering
Uppnå NIST AAL1 med Microsoft Entra ID