验证器保证级别

美国国家标准与技术研究院 (NIST) 为实现标识解决方案的美国联邦机构制定了技术要求。 NIST SP 800-63B 具有使用验证器保证级别 (AALS) 框架实现数字身份验证的技术准则。 AAL 描述了数字标识的身份验证强度。 还可了解验证器生命周期管理,包括吊销。

该标准包含以下类别的 AAL 要求:

  • 允许的验证器类型

  • 美国联邦信息处理标准 140 (FIPS 140) 验证级别。 FIPS 140-2 或更高版本满足 FIPS 140 要求。

  • 重新身份验证

  • 安全控件

  • 抵御中间人 (MitM) 攻击

  • 验证程序模拟抵抗(抵御网络钓鱼攻击)

  • 验证程序泄露抵抗

  • 重放抵抗

  • 身份验证意向

  • 记录保留策略

  • 隐私控制

环境中的 NIST AAL

通常,不建议使用 AAL1,因为它接受仅使用密码的解决方案,这是最容易被盗用的身份验证方法。 有关详细信息,请参阅博客文章:密码并不重要

虽然 NIST 规定在达到 AAL3 之前,无需验证程序模拟(凭据网络钓鱼)抵抗,但仍建议你在所有级别解决此威胁。 可以选择提供验证程序模拟抵抗(例如要求设备联接到 Microsoft Entra ID 或混合 Microsoft Entra ID)的验证器。 如果使用的是 Office 365,则可使用 Office 365 高级威胁防护及其防钓鱼策略

在评估组织所需的 NIST AAL 时,请考虑整个组织是否必须满足 NIST 标准。 如果可以隔离特定的用户组和资源,则可将 NIST AAL 配置应用于这些用户组和资源。

提示

建议至少满足 AAL2 要求。 如果出于业务原因、行业标准或合规性要求而需要满足 AAL3 要求,请满足 AAL3 要求。

安全控制、隐私控制、记录保留策略

Azure 和 Azure 政府已从联合授权委员会获得了 NIST SP 800-53 High Impact 级别的暂时运营授权 (P-ATO)。 此 FedRAMP 认证授权 Azure 和 Azure 政府处理高度敏感的数据。

重要

Azure 和 Azure 政府认证满足 AAL1、AAL2 和 AAL3 对安全控制、隐私控制和记录保留策略的要求。

对 Azure 和 Azure 政府的 FedRAMP 审核包括信息安全管理系统,该系统包含范围内服务的基础结构、开发、操作、管理和支持。 获得 P-ATO 授权后,云服务提供商需要从与之合作的政府机构获得授权 (ATO)。 政府机构或组织可以在其安全授权过程中使用 Azure P-ATO,并以此为基础来发布满足 FedRAMP 要求的机构 ATO。

Azure 在 FedRAMP High Impact 支持多个服务。 Azure 公有云中的 FedRAMP High 可满足美国政府客户的需求,但要求更严格的机构会使用 Azure 政府。 Azure 政府安全措施包括加强人员筛选。 在 Azure 政府中,Microsoft 列出了可用的 Azure 公共服务(最高可达 FedRAMP High 边界),以及本年度的服务。

此外,Microsoft 还致力于通过明确规定的记录保留策略来保护和管理客户数据。 Microsoft 具有庞大的合规性项目组合。 有关详细信息,请转到 Microsoft 合规性产品/服务

后续步骤

NIST 概述

了解 AAL

身份验证基础知识

NIST 验证器类型

使用 Microsoft Entra ID 实现 NIST AAL1

使用 Microsoft Entra ID 实现 NIST AAL2

使用 Microsoft Entra ID 实现 NIST AAL3