符合具有 Microsoft Entra 識別碼的備忘錄 22-09 身分識別需求
改善 國家網路安全的行政命令(14028年) 指示聯邦機構推進安全措施,大幅降低對聯邦政府數位基礎設施成功網路攻擊的風險。 2022年1月26日,為支援行政命令(EO)14028年1月26日, 管理與預算辦公室(OMB) 在M 22-09《行政部門和機構 負責人備忘錄》中 發佈了聯邦零信任戰略。
本文系列提供在實作零信任原則時,採用 Microsoft Entra ID 作為集中式身分識別管理系統的指導,如備忘錄 22-09 中所述。
備忘錄22-09支援聯邦機構零信任倡議。 它具有聯邦網路安全和資料隱私權法的法規指引。 備忘錄引用 了美國國防部(DoD)零信任參考架構 :
「 零信任模型的基礎原則是信任安全性周邊外部或內部運作的動作專案、系統、網路或服務。相反地,我們必須驗證任何嘗試建立存取權的任何專案和所有專案。這是一個戲劇性的範例轉變,說明我們如何保護基礎結構、網路和資料,從周邊的驗證一次到持續驗證每個使用者、裝置、應用程式和交易。
備忘錄確定了聯邦機構要達到的五個核心目標,該目標由網路安全資訊系統架構(CISA)成熟度模型組織。 CISA 零信任模型描述五個互補的工作領域,或支柱:
- 身分識別
- 裝置
- [網路]
- 應用程式和工作負載
- 資料
柱子與下列專案交集:
- 能見度
- 分析
- 自動化
- 協調流程
- 控管
指引範圍
使用文章系列來建置計畫以符合備忘需求。 它會假設使用 Microsoft 365 產品和 Microsoft Entra 租使用者。
深入瞭解: 快速入門:在 Microsoft Entra ID 中建立新的租使用者。
本文系列指示包含機構對 Microsoft 技術的投資,這些技術符合備忘錄的身分識別相關動作。
- 針對機構使用者,機構會採用集中式身分識別管理系統,可與應用程式和通用平臺整合
- 機構使用全企業、強式多重要素驗證 (MFA)
- MFA 會在應用層強制執行,而不是網路層
- 對於代理人員、承包商和合作夥伴,需要防網路釣魚 MFA
- 對於公用使用者,網路釣魚防護 MFA 是一個選項
- 密碼原則不需要特殊字元或定期輪替
- 當機構授權使用者存取資源時,他們會考慮至少一個裝置層級的訊號,其中包含已驗證使用者的身分識別資訊