聯邦風險和授權管理計劃(FedRAMP)是雲端服務提供者(CSP)的評估和授權程式。 具體來說,這個過程適用於為聯邦機構提供雲端解決方案產品的 CSP。 Azure 和 Azure Government 已從聯合授權委員會獲得高度影響力層級的臨時操作授權(P-ATO),這是 FedRAMP 認證的最高標準。
Azure 提供的功能可滿足所有控制需求,以便您的 CSO 或聯邦機構達到 FedRAMP 高評等。 貴組織有責任完成其他設定或程式以符合規範。 責任適用於尋求其 CSO 獲得 FedRAMP 高級授權的 CSP,以及尋求運行授權(ATO)的聯邦機構。
Microsoft和 FedRAMP
Microsoft Azure 在 FedRAMP 高影響 層級支援比任何其他 CSP 更多的服務。 雖然 Azure 公用雲端中的這個層級符合許多美國政府客戶的需求,但具有更嚴格需求的機構可能會依賴 Azure Government 雲端。 Azure Government 提供額外的保護措施,例如加強人員篩選。
Microsoft必須每年重新認證其雲端服務,才能維護其授權。 若要這樣做,Microsoft會持續監視及評估其安全性控制措施,並證明其服務的安全性仍符合規範。 如需詳細資訊,請參閱 Microsoft雲端服務 FedRAMP 授權,以及 Microsoft FedRAMP 稽核報告。 若要接收其他 FedRAMP 報告,請將電子郵件傳送至 Azure 聯邦檔。
FedRAMP 授權有多個路徑。 您可以重複使用 Azure 的現有授權套件和這裡的指引,大幅減少取得 ATO 或 P-ATO 所需的時間和精力。
指引範圍
FedRAMP 高基線是由 NIST 800-53 安全性控制目錄修訂 4 的 421 個控制措施及控制增強所組成。 在適用的情況下,我們包含來自 800-53 修訂 5 的釐清資訊。 本文集涵蓋與身分識別相關的控件子集,您必須進行設定。
我們提供相關指引,以協助您在 Microsoft Entra ID 中設定您負責的控制措施,從而達到合規要求。 若要完全解決某些身分識別控制需求,您可能需要使用其他系統。 其他系統可能包含安全性資訊和事件管理工具,例如Microsoft Sentinel。 如果您在 Microsoft Entra ID 之外使用 Azure 服務,則需要考慮其他控制件,而且您可以使用 Azure 已具備的功能來符合控件。
以下是 FedRAMP 資源的清單: