Cumplimiento de los requisitos de identidad del memorándum 22-09 con Microsoft Entra ID
La orden ejecutiva sobre la Mejora de la ciberseguridad de la nación (14028), insta a los organismos federales a avanzar en las medidas de seguridad que reducen significativamente el riesgo de éxito de los ciberataques contra la infraestructura digital del gobierno federal. El 26 de enero de 2022, para apoyar la orden ejecutiva (OE) 14028, la Oficina de Administración y Presupuesto (OMB) lanzó la estrategia federal Confianza cero en el Memorándum M 22-09 para jefes de departamentos y organismos ejecutivos.
Esta serie de artículos ofrece orientación para emplear Microsoft Entra ID como sistema centralizado de administración de identidades al implementar los principios de Confianza cero, tal y como se describe en el memorando 22-09.
El Memorándum 22-09 apoya las iniciativas de Confianza cero en los organismos federales. Proporciona orientación normativa para las leyes federales de ciberseguridad y privacidad de datos. El Memorándum cita a la Arquitectura de referencia de Confianza cero del Departamento de Defensa (DoD) de EE. UU.:
"El principio fundamental del modelo de Confianza cero es que no se confía en ningún actor, sistema, red o servicio que opere fuera o dentro del perímetro de seguridad. En su lugar, debemos verificar todo lo que intente establecer acceso. Se trata de un drástico cambio de paradigma en la filosofía de cómo protegemos nuestra infraestructura, redes y datos, que pasa de verificar una vez en el perímetro a la verificación continua de cada usuario, dispositivo, aplicación y transacción".
El memorándum identifica cinco objetivos básicos que deben alcanzar los organismos federales, organizados según el modelo de madurez de la Arquitectura de sistemas de información de ciberseguridad (CISA). El modelo de Confianza cero de CISA describe cinco áreas de esfuerzo complementarias, o pilares:
- Identidad
- Dispositivos
- Redes
- Aplicaciones y cargas de trabajo
- data
Los pilares forman intersecciones con:
- Visibilidad
- Análisis
- Automatización
- Orquestación
- Gobernanza
Ámbito de la guía
Usar la serie de artículos para crear un plan que cumpla los requisitos de los memorándum. Supone el uso de productos de Microsoft 365 y un inquilino de Microsoft Entra.
Para saber más: Inicio rápido: Crear un nuevo inquilino en Microsoft Entra ID.
Las instrucciones de la serie de artículos abarcan las inversiones de organismos en tecnologías de Microsoft que se alinean con las acciones relacionadas con la identidad del memorándum.
- Para los usuarios de los organismos, estos emplean sistemas centralizados de administración de identidades que pueden integrarse con aplicaciones y plataformas comunes
- Los organismos usan en toda la empresa una autenticación multifactor (MFA) sólida
- La MFA se aplica en el nivel de aplicación, no en la capa de red
- Para el personal del organismo, contratistas y asociados, se requiere una MFA resistente a la suplantación de identidad (phishing)
- Para los usuarios públicos, la MFA resistente a la suplantación de identidad (phishing) es una opción
- Las directivas de contraseña no requieren caracteres especiales ni rotación normal
- Cuando los organismos autorizan el acceso de los usuarios a los recursos, tienen en cuenta al menos una señal de nivel de dispositivo, con información sobre la identidad del usuario autenticado
Pasos siguientes
- Enterprise de administración de identidades de todo el sistema
- Cumplimiento de los requisitos de autenticación multifactor del memorándum 22-09
- Cumplimiento de los requisitos de autorización del Memorándum 22-09
- Otras áreas de Confianza cero abordadas en el Memorándum 22-09
- Protección de la identidad con Confianza cero