Acerca de los niveles de garantía de los autenticadores

El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) desarrolla los requisitos técnicos de las agencias federales de Estados Unidos que implementan soluciones de identidad. La publicación especial de NIST 800-63B define las directrices técnicas para la implementación de la autenticación digital. Para ello, utiliza un marco de niveles de garantía de los autenticadores (AAL). Dichos niveles caracterizan la solidez de la autenticación de una identidad digital. Las instrucciones también cubren la administración del ciclo de vida de los autenticadores, incluida la revocación.

El estándar incluye los requisitos de AAL para estas categorías de requisitos:

  • Tipos de autenticadores permitidos

  • Nivel de comprobación del estándar federal de procesamiento de información 140 (FIPS 140) (los requisitos de FIPS 140 se cumplen según FIPS 140-2 o revisiones más recientes)

  • Reautenticación

  • Controles de seguridad

  • Resistencia de tipo "man in the middle" (MitM)

  • Resistencia a la suplantación del comprobador (resistencia a la suplantación de identidad [phishing])

  • Resistencia al riesgo del comprobador

  • Resistencia de reproducción

  • Intención de autenticación

  • Directiva de retención de registros

  • Controles de privacidad

Aplicación de AAL de NIST en su entorno

Sugerencia

Se recomienda cumplir al menos el nivel AAL2. Cumpla el nivel AAL3 si es necesario por motivos empresariales, estándares del sector o requisitos de cumplimiento normativo.

En general, no se recomienda el nivel AAL 1 porque acepta soluciones de solo contraseña, y las contraseñas son la forma de autenticación más fácil de poner en peligro. Para obtener más información, lea la siguiente entrada de blog: Su contra$eña no importa.

Aunque NIST no requiere resistencia a la suplantación del comprobador (también conocida como suplantación de credenciales) hasta el nivel AAL 3, se recomienda abordar esta amenaza en todos los niveles. Puede seleccionar autenticadores que proporcionen resistencia a la suplantación del comprobador, como requerir que los dispositivos estén unidos a Azure Active Directory (Azure AD) o a Azure AD híbrido. Si usa Office 365, puede usar la Protección contra amenazas avanzada de Office 365 y, en concreto, las directivas de protección contra suplantación de identidad (anti-phishing).

Cuando evalúe el nivel AAL de NIST adecuado para su organización, considere si toda la organización debe cumplir los estándares de NIST. Si hay grupos específicos de usuarios y recursos que se pueden separar, es posible que pueda aplicar las configuraciones de nivel AAL de NIST solo a un grupo específico de usuarios y recursos.

Controles de seguridad, controles de privacidad y directiva de retención de registros

Azure y Azure Government han obtenido una autorización provisional para operar (P-ATO) en el nivel Alto impacto de la publicación especial NIST SP 800-53 de la Junta de Autorización Conjunta. Este nivel es el más alto para obtener la acreditación de FedRAMP y autoriza el uso de Azure y Azure Government para procesar datos altamente confidenciales.

Estas certificaciones de Azure y Azure Government cumplen los controles de seguridad, los controles de privacidad y los requisitos de directivas de retención de registros para los niveles AAL1, AAL2 y AAL3.

La auditoría de FedRAMP para Azure y Azure Government ha incluido el sistema de administración de seguridad de la información, que abarca la infraestructura, el desarrollo, las operaciones, la administración y la compatibilidad con servicios dentro del ámbito. Cuando se concede una autorización provisional P-ATO, un proveedor de servicios en la nube necesita aún una autorización (ATO) de cualquier organismo público con el que trabaje. En el caso de Azure, un organismo público (o las organizaciones que trabajen con él) puede usar la autorización provisional P-ATO de Azure en su propio proceso de autorización de seguridad. El organismo o la organización puede usarla como base para emitir una autorización ATO de un organismo que cumpla también los requisitos de FedRAMP.

Azure sigue siendo compatible con más servicios en el nivel de alto impacto de FedRAMP High que cualquier otro proveedor de nube. Y, mientras FedRAMP High en la nube pública de Azure satisface las necesidades de muchos clientes de la Administración pública estadounidense, los organismos públicos que tienen requisitos más estrictos confían en Azure Government. Azure Government proporciona medidas de seguridad adicionales, como una revisión más exhaustiva del personal. Microsoft incluye en una lista todos los servicios públicos de Azure que están disponibles actualmente en Azure Government al límite de FedRAMP High, así como los servicios planeados para el año en curso.

Además, Microsoft está totalmente comprometido con proteger y administrar los datos de los clientes mediante directivas de retención de registros establecidas con claridad. Como empresa internacional con clientes en casi todos los países del mundo, Microsoft tiene una sólida cartera de cumplimiento normativo para ayudar a sus clientes. Para obtener una lista completa de las ofertas de cumplimiento normativo, vea Ofertas de cumplimiento de Microsoft.

Pasos siguientes

Introducción a NIST

Más información sobre los AAL

Conceptos básicos sobre autenticación

Tipos de autenticadores de NIST

Logro del nivel 1 de seguridad del autenticador de NIST con Azure Active Directory

Logro del nivel 2 de seguridad del autenticador de NIST con Azure Active Directory

Cómo alcanzar el nivel 3 de garantía del autenticador de NIST con Azure Active Directory