驗證器保證層級
美國國家標準與技術研究所(NIST)為實施身分識別解決方案的美國聯邦機構開發技術需求。 NIST SP 800-63B 具有數位驗證實作的技術指導方針,使用驗證器保證層級 (ACL) 架構。 ACL 描述數位身分識別的驗證強度。 您也可以瞭解驗證器生命週期管理,包括撤銷。
標準包含下列類別的 AAL 需求:
允許的驗證器類型
聯邦資訊處理標準 140 (FIPS 140) 驗證等級。 FIPS 140-2 或較新的修訂符合 FIPS 140 需求。
重新驗證
安全性控制項
中間人 (MitM) 阻力
驗證器模擬防護 (網路釣魚防護)
驗證器入侵防護
重新執行阻力
驗證意圖
記錄保留原則
隱私權控制
環境中的 NIST ARL
一般而言,不建議使用 AAL1,因為它接受僅限密碼的解決方案,這是最容易遭到入侵的驗證。 如需詳細資訊,請參閱部落格文章, 您的 Pa$$word並不重要 。
雖然 NIST 在 AAL3 之前不需要驗證者模擬(認證網路釣魚)抵抗,但建議您在所有層級解決此威脅。 您可以選取提供驗證器模擬阻力的驗證器,例如要求裝置加入 Microsoft Entra 識別碼或混合式 Microsoft Entra 識別碼。 如果您使用 Office 365,您可以使用 Office 365 進階威脅防護及其 反網路釣魚原則 。
當您評估組織所需的 NIST AAL 時,請考慮整個組織是否必須符合 NIST 標準。 如果有可以隔離的特定使用者群組和資源,您可以將 NIST AAL 設定套用至這些使用者群組和資源。
提示
我們建議您至少符合 AAL2。 如有必要,請因商務原因、業界標準或合規性需求而符合 AAL3。
安全性控制、隱私權控制、記錄保留原則
從聯合授權委員會,Azure 和 Azure Government 具有在 NIST SP 800-53 高影響 層級運作 (P-ATO) 的 臨時授權權。 此 FedRAMP 認證授權 Azure 和 Azure Government 處理高敏感性資料。
重要
Azure 和 Azure Government 認證滿足 AAL1、AAL2 和 AAL3 的安全性控制、隱私權控制,以及記錄保留原則需求。
Azure 和 Azure Government 的 FedRAMP 稽核包括基礎結構、開發、作業、管理和支援範圍內服務的資訊安全性管理系統。 授與 P-ATO 時,雲端服務提供者需要其合作的政府機構授權(ATO)。 政府機構或組織可以在其安全性授權程式中使用 Azure P-ATO,並將其作為發出符合 FedRAMP 需求的代理 ATO 的基礎。
Azure 支援 FedRAMP 高影響多個服務。 Azure 公用雲端中的 FedRAMP High 符合美國政府客戶的需求,不過具有更嚴格需求的機構會使用 Azure Government。 Azure Government 防護措施包括加強人員篩選。 在 Azure Government 中,Microsoft 列出目前一年的可用 Azure 公共服務、FedRAMP 高界限和服務。
此外,Microsoft 也致力於 使用清楚說明的記錄保留原則來保護和管理客戶資料 。 Microsoft 有一個大型的合規性組合。 若要查看詳細資訊,請移至 Microsoft 合規性供應專案 。
下一步
使用 Microsoft Entra ID 達成 NIST AAL1
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應