Doğrulayıcı güvence düzeyleri
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), kimlik çözümleri uygulayan ABD federal kurumları için teknik gereksinimler geliştirmektedir. NIST SP 800-63B , kimlik doğrulayıcı güvence düzeyleri (ACL) çerçevesi kullanarak dijital kimlik doğrulama uygulaması için teknik yönergelere sahiptir. ACL'ler, dijital kimliğin kimlik doğrulama gücünü belirtir. İptal de dahil olmak üzere kimlik doğrulayıcı yaşam döngüsü yönetimi hakkında da bilgi edinebilirsiniz.
Standart, aşağıdaki kategoriler için AAL gereksinimlerini içerir:
İzin verilen kimlik doğrulayıcı türleri
Federal Bilgi İşleme Standartları 140 (FIPS 140) doğrulama düzeyi. FIPS 140 gereksinimleri FIPS 140-2 veya daha yeni düzeltmelerle karşılanmıştır.
Yeniden kimlik doğrulama
Güvenlik denetimleri
Ortadaki adam (MitM) direnci
Doğrulayıcı kimliğe bürünme direnci (kimlik avı direnci)
Doğrulayıcı güvenliğinin aşılmasına karşı dayanıklılık
Yeniden yürütme direnci
Kimlik doğrulama amacı
Kayıt saklama ilkesi
Gizlilik denetimleri
Ortamınızdaki NIST AAL'leri
Genel olarak AAL1, en kolay güvenliği aşılmış kimlik doğrulaması olan yalnızca parola çözümlerini kabul ettiğinden önerilmez. Daha fazla bilgi için Pa$$word önemli değil blog gönderisine bakın.
NIST, AAL3'e kadar doğrulayıcı kimliğine bürünme (kimlik bilgisi kimlik avı) direnci gerektirmez ancak bu tehdidi her düzeyde ele almanızı öneririz. Cihazların Microsoft Entra Kimliğine veya karma Microsoft Entra Kimliği'ne katılmasını gerektirme gibi doğrulayıcı kimliğe bürünme direnci sağlayan kimlik doğrulayıcıları seçebilirsiniz. Office 365 kullanıyorsanız, Office 365 Gelişmiş Tehdit Koruması ve kimlik avı önleme ilkelerini kullanabilirsiniz.
Kuruluşunuz için gereken NIST AAL değerini değerlendirirken, kuruluşunuzun tamamının NIST standartlarına uygun olup olmadığını göz önünde bulundurun. Ayrıştırılabilir belirli kullanıcı grupları ve kaynaklar varsa, bu kullanıcı gruplarına ve kaynaklarına NIST AAL yapılandırmaları uygulayabilirsiniz.
Bahşiş
En az AAL2 ile tanışmanızı öneririz. Gerekirse, iş nedeniyle, endüstri standartlarıyla veya uyumluluk gereksinimleriyle AAL3'e uyun.
Güvenlik denetimleri, gizlilik denetimleri, kayıt saklama ilkesi
Ortak Yetkilendirme Kurulu'ndan Azure ve Azure Kamu, NIST SP 800-53 Yüksek Etki düzeyinde (P-ATO) çalışmak için geçici yetkiye sahiptir. Bu FedRAMP akreditasyonu, Azure'a ve Azure Kamu son derece hassas verileri işleme yetkisi vermektedir.
Önemli
Azure ve Azure Kamu sertifikaları AAL1, AAL2 ve AAL3 için güvenlik denetimlerini, gizlilik denetimlerini ve kayıt bekletme ilkesi gereksinimlerini karşılar.
Azure ve Azure Kamu için FedRAMP denetimi altyapı, geliştirme, operasyonlar, yönetim ve kapsam içi hizmetlerin desteği için bilgi güvenliği yönetim sistemini içeriyordu. Bir P-ATO'ya izin verildiğinde bulut hizmeti sağlayıcısı, birlikte çalıştığı kamu kurumlarından yetkilendirme (ATO) gerektirir. Kamu kuruluşları veya kuruluşlar, Azure P-ATO'larını güvenlik yetkilendirme sürecinde kullanabilir ve FedRAMP gereksinimlerini karşılayan bir ATO kuruluşunu oluşturmak için temel olarak kullanabilir.
Azure desteği FedRAMP High Impact'te birden çok hizmet vardır. Azure genel bulutunda FedRAMP High, ABD kamu müşterilerinin ihtiyaçlarını karşılar ancak daha katı gereksinimleri olan kurumlar Azure Kamu kullanır. Azure Kamu korumalar yüksek personel taraması içerir. Azure Kamu'de Microsoft, FedRAMP Yüksek sınırına kadar kullanılabilir Azure genel hizmetlerini ve geçerli yıla ilişkin hizmetleri listeler.
Ayrıca Microsoft, açıkça belirtilen kayıt saklama ilkeleriyle müşteri verilerini korumaya ve yönetmeye kararlıdır. Microsoft'un büyük bir uyumluluk portföyü vardır. Daha fazla bilgi için Microsoft uyumluluk teklifleri'ne gidin.
Sonraki adımlar
Kimlik doğrulaması temel bilgileri
NIST kimlik doğrulayıcı türleri
Microsoft Entra Id ile NIST AAL1 elde edin