使用 Microsoft Entra ID 满足 22-09 备忘录中的标识要求
《改善国家网络安全的行政命令 (14028)》指示联邦机构推进安全措施,大幅降低联邦政府数字基础设施遭受网络攻击的风险。 2022 年 1 月 26 日,为了支持行政命令 (EO) 14028,管理和预算办公室 (OMB) 在 M 22-09《行政部门和机构负责人记要》中发布了联邦零信任战略。
本文章系列提供了在实施零信任原则时使用 Microsoft Entra ID 作为集中式标识管理系统的指导,如 22-09 备忘录所述。
记要 22-09 支持联邦机构的零信任举措。 它为联邦网络安全和数据隐私法提供监管指导。 该记要引用了美国国防部 (DoD) 零信任参考体系结构:
“零信任模型的基本原则是,在安全外围之外或安全外围之内运行的任何行动者、系统、网络或服务都不受信任。相反,我们必须验证尝试建立访问的任何东西。这是对关于我们如何保护基础结构、网络和数据的理念的颠覆性转变,我们将从外围处的一次性验证转变为对每个用户、设备、应用程序和事务的持续验证。”
此记要确定了联邦机构要实现的五个核心目标,这些目标是根据网络安全信息系统体系结构 (CISA) 成熟度模型组织的。 CISA 零信任模型描述了五个互补的工作领域或支柱:
- 标识
- 设备
- 网络
- 应用程序和工作负载
- 数据
这些支柱贯穿:
- 可见性
- 分析
- 自动化
- 资源协调
- 调控
指南范围
使用该系列文章来制定计划,以满足记要的要求。 它假定使用 Microsoft 365 产品和 Microsoft Entra 租户。
详细了解:快速入门:在 Microsoft Entra ID 中创建新租户。
该文章系列说明涵盖 Microsoft 技术的机构投资,与记要中与标识相关的措施一致。
- 对于机构用户,机构采用可与应用程序和通用平台集成的集中式标识管理系统
- 机构使用企业范围的强多重身份验证 (MFA)
- MFA 在应用程序层而不是网络层强制实施
- 对于机构人员、承包商和合作伙伴,需要采用防钓鱼 MFA
- 对于公共用户,防钓鱼 MFA 是一种选择
- 密码策略不需要特殊字符或定期轮换
- 当机构授权用户访问资源时,他们会考虑至少一个设备级信号,以及有关经过身份验证的用户的标识信息