Microsoft Entra Id ile memorandum 22-09'un kimlik gereksinimlerini karşılama

Ulusun Siber Güvenliğinin Geliştirilmesine İlişkin İdari Emir (14028) federal kurumları federal kamu dijital altyapısına karşı başarılı siber saldırı riskini önemli ölçüde azaltan güvenlik önlemlerini ilerletmeye yönlendirir. 26 Ocak 2022'de, Yönetim Emri (EO) 14028'i desteklemek amacıyla, Yönetim ve Bütçe Ofisi (OMB) M 22-09 İdari Departman ve Ajans başkanları için federal Sıfır Güven stratejisini yayınladı.

Bu makale serisi, not 22-09'da açıklandığı gibi Sıfır Güven ilkeleri uygularken merkezi bir kimlik yönetim sistemi olarak Microsoft Entra ID'yi kullanma yönergelerine sahiptir.

Memorandum 22-09, federal kurumlardaki Sıfır Güven girişimlerini destekler. Federal siber güvenlik ve veri gizliliği yasaları için yasal yönergelere sahiptir. Notta ABD Savunma Bakanlığı (DoD) Sıfır Güven Referans Mimarisi belirtildi:

"Sıfır Güven Modeli'nin temel ağı, güvenlik çevresi dışında veya içinde çalışan hiçbir aktöre, sisteme, ağa veya hizmete güvenilmeme durumudur. Bunun yerine, erişim oluşturmaya çalışan her şeyi ve her şeyi doğrulamamız gerekir. Altyapımızın, ağlarımızın ve verilerimizin güvenliğini sağlama felsefesinde, çevredeki bir kez doğrulamadan her kullanıcının, cihazın, uygulamanın ve işlemin sürekli doğrulanmasına kadar önemli bir paradigma değişikliğidir."

Bu not, Siber Güvenlik Bilgi Sistemleri Mimarisi (CISA) Olgunluk Modeli ile düzenlenen federal kurumların ulaşacakları beş temel hedefi tanımlar. CISA Sıfır Güven modeli beş tamamlayıcı efor alanını veya sütunları açıklar:

• Kimlik
• Cihazlar
• Ağlar
• Uygulamalar ve iş yükleri
• Veriler

Sütunlar aşağıdakilerle kesişmektedir:

• Görünürlük
• Analizler
• Otomasyon
• Düzenleme
• İdare

Kılavuzun kapsamı

Not gereksinimlerini karşılayacak bir plan oluşturmak için makale serisini kullanın. Microsoft 365 ürünlerinin ve bir Microsoft Entra kiracısının kullanıldığı varsayılır.

Daha fazla bilgi edinin: Hızlı Başlangıç: Microsoft Entra Id'de yeni bir kiracı oluşturma.

Makale serisi yönergeleri, Not'un kimlikle ilgili eylemleriyle uyumlu microsoft teknolojilerine yapılan kuruluş yatırımlarını kapsar.

• Ajans kullanıcıları için ajanslar, uygulamalar ve ortak platformlarla tümleştirilebilen merkezi kimlik yönetimi sistemleri kullanır
• Kuruluşlar, kuruluş genelinde güçlü, çok faktörlü kimlik doğrulamasını (MFA) kullanır
  • MFA, ağ katmanında değil uygulama katmanında zorlanır
  • Ajans personeli, yükleniciler ve iş ortakları için kimlik avına dayanıklı MFA gereklidir
  • Genel kullanıcılar için kimlik avına dayanıklı MFA bir seçenektir
  • Parola ilkeleri özel karakterler veya normal döndürme gerektirmez
• Kuruluşlar kullanıcılara kaynaklara erişim yetkisi verince, kimliği doğrulanmış kullanıcı hakkındaki kimlik bilgileriyle birlikte en az bir cihaz düzeyinde sinyal olduğunu düşünürler

Sonraki adımlar

• Kurumsal genelinde kimlik yönetim sistemi
• Memorandum 22-09'un çok faktörlü kimlik doğrulama gereksinimlerini karşılama
• 22-09 muhtırasının yetkilendirme gereksinimlerini karşılama
• 22-09 notunda ele alınan diğer Sıfır Güven alanları
• Sıfır Güven ile kimliğin güvenliğini sağlama