設定 Microsoft Entra ID 以符合 FedRAMP 高影響層級
聯邦風險和授權管理計畫 (FedRAMP)是雲端服務提供者(CSP)的評估和授權程式。 具體來說,此程式適用于建立雲端解決方案供應專案(CSO)以搭配聯邦機構使用的 CSP。 Azure 和 Azure Government 已 從聯合授權委員會獲得最高影響層級 的臨時授權單位(P-ATO),這是 FedRAMP 認證的最高標準。
Azure 提供滿足所有控制需求的功能,以達到 CSO 或聯邦機構 FedRAMP 的高評等。 貴組織有責任完成其他設定或程式以符合規範。 這兩個 CSP 都適用這項責任,要求其 CSO 獲得 FedRAMP 高授權,以及尋求授權機構(ATO)的聯邦機構。
Microsoft 和 FedRAMP
Microsoft Azure 支援 FedRAMP 高影響 層級的服務 比任何其他 CSP 都多。 雖然 Azure 公用雲端中的這個層級符合許多美國政府客戶的需求,但具有更嚴格需求的機構可能會依賴 Azure Government 雲端。 Azure Government 提供額外的保護措施,例如加強人員篩選。
Microsoft 必須每年重新認證其雲端服務,才能維護其授權。 為了這樣做,Microsoft 會持續監視及評估其安全性控制措施,並示範其服務的安全性仍符合規範。 如需詳細資訊,請參閱 Microsoft 雲端服務 FedRAMP 授權 和 Microsoft FedRAMP 稽核報告 。 若要接收其他 FedRAMP 報告,請將電子郵件傳送至 Azure 聯邦檔 。
FedRAMP 授權有多個路徑。 您可以重複使用 Azure 的現有授權套件和這裡的指引,大幅減少取得 ATO 或 P-ATO 所需的時間和精力。
指引範圍
FedRAMP 高基準是由 NIST 800-53 安全性控制目錄修訂 4 的 421 控制項和控制增強功能 所組成。 在適用的情況下,我們包含厘清 800-53 修訂 5 中 的資訊 。 本文集涵蓋與身分識別相關的這些控制項子集,以及您必須設定的控制項子集。
我們提供規範性指引,協助您符合您在 Microsoft Entra ID 中設定所負責的控制項的合規性。 若要完全解決某些身分識別控制需求,您可能需要使用其他系統。 其他系統可能包含安全性資訊和事件管理工具,例如 Microsoft Sentinel。 如果您在 Microsoft Entra ID 之外使用 Azure 服務,則需要考慮其他控制項,而且您可以使用 Azure 已具備的功能來符合控制項。
以下是 FedRAMP 資源的清單: